const ghostSearchApiKey = '93722e96ae625aaeb360b7f295'

Разоблачение Trickbot, одной из ведущих мировых киберпреступных группировок

Код машин 9 сент. 2023 г.

Расследование WIRED, проведенное на основе кэша документов, размещенных неизвестным лицом, раскрывает секреты группы Trickbot, занимающейся распространением вымогательского ПО, в том числе личность одного из ее центральных членов.

‌‌МАКСИМ СЕРГЕЕВИЧ Г.

Чрезвычайно активен в Интернете. В своем рабочем чате 41-летний мужчина переписывается с коллегами днем и ночью. Он жалуется, что теряет деньги на торговле криптовалютой, говорит, что "чертовски зависим" от Metallica, и соглашается с коллегой, что криминальный триллер "Хакеры" - идеальный фильм для выходных. Галочкин признается своему коллеге, что предпочитает работать в офисе, там ему легче сосредоточиться - жена "ругает" его, когда он дома. И он знает, чего хочет в жизни.

‌‌"У меня большие цели", - сказал он коллеге в сентябре 2021 года. "Я хочу быть богатым. Миллионером". Его более идеалистичный коллега называет деньги "ерундовой целью". Но у мужчины есть план. "Нет, - отвечает он, - деньги - это средство для достижения желаемого".

‌‌Он может показаться обычным офисным работником, но на самом деле выбрал правильную профессию, которая позволяет ему зарабатывать большие деньги. По данным многочисленных исследователей киберпреступности, мужчина является одним из ключевых членов печально известного российского киберпреступного синдиката Trickbot, который за последние годы организовал тысячи кибератак, нанеся ущерб предприятиям, больницам и даже правительствам по всему миру. Коллеги по Trickbot знают его по сетевым псевдонимам: Бентли и Мануэль.

‌‌Разоблачение  стало результатом многомесячного расследования, проведенного WIRED с участием нескольких российских экспертов по кибербезопасности и киберпреступности, которые связывают его с псевдонимом Bentley. Анализ включает в себя подробную оценку огромного объема данных, которые  утекли из группы вымогателей и размещены в Интернете. Данное расследование также проливает свет на внутреннее устройство киберпреступного синдиката Trickbot, позволяет связать его ключевых участников с более широким кругом киберпреступников и обнаружить связи между этими преступными группами.

‌‌В марте 2022 года аккаунт в Twitter, известный как "Trickleaks", опубликовал тысячи журналов онлайн-чатов, снятых примерно с 35 членов группировки. Общий размер группы Trickbot оценить сложно, но, по оценкам исследователей, в нее входит от 100 до 400 человек. Анонимный наводчик опубликовал 250 тыс. внутренних сообщений Trickbot и серию самодельных досье, раскрывающих людей, предположительно стоящих за этой группировкой. Находка включает в себя настоящие имена, фотографии, учетные записи в социальных сетях, номера паспортов, телефоны, города проживания и другие личные данные предполагаемых членов банды.

В кэш также включены 2500 IP-адресов, 500 криптовалютных кошельков, тысячи доменов и адресов электронной почты.‌‌ В совокупности эти файлы представляют собой один из крупнейших в истории сливов данных киберпреступных группировок.

На момент публикации в начале 2022 года файлы Trickleaks были практически не замечены общественностью, поскольку внимание мировой общественности было сосредоточено на других проблемах и очередной крупной утечке данных от группы разработчиков вымогательского ПО Conti, которая, по мнению исследователей, имеет тесные связи с Trickbot.‌‌

Но утечка Trickleaks не осталась незамеченной мировыми правоохранительными органами, которые оценили эти данные. Ее публикация в прошлом году произошла на фоне согласованных усилий США и Великобритании по пресечению деятельности российских киберпреступников, включая некоторых членов Trickbot.

Однако такие правительственные расследования зачастую отстают от текущей повестки на годы и предполагают долгосрочную стратегическую координацию.‌‌ Для киберпреступников, стремящихся к анонимности, очень важно сохранять дистанцию со своими коллегами.

Но когда вы переписываетесь друг с другом целый день, даже самые конфиденциальные и заботящиеся о безопасности люди могут раскрыть какую-то личную информацию. И в случае с Бентли такие оплошности невольно помогли раскрыть его истинную личность, считают исследователи.‌‌

Например, в июне 2020 года участник программы Trickbot под ником Defender попросил у Бентли адрес в службе мгновенного обмена сообщениями Jabber, чтобы они могли общаться вне внутренних каналов группы. По словам исследователей из компании Nisos, занимающейся кибербезопасностью, которые по просьбе WIRED провели расследование, Бентли отправил своему коллеге электронный адрес пользователя.

Главный исследователь Nisos Винцас Чизюнас связал Jabber-контакт с адресом электронной почты  и аккаунтом YouTube с аналогичным названием, на котором размещались видеоролики о торговле  криптовалютами. На одном из видеороликов, размещенных на YouTube под ником "Mrvolhvb", видно, что пользователь также входит в Jabber-аккаунт в другом окне. "Он использует логин во многих местах", - сказал Чижюнас.

Виталий Кремез, давний исследователь в области кибербезопасности, который много работал над Conti и Trickbot, также заметил ошибку в видеоролике. В марте 2022 года Кремез, погибший в конце прошлого года в результате несчастного случая при погружении с аквалангом, утверждал, что за ником Bentley скрывается "Макс".

Благодаря информации о российской телефонной индустрии, утечкам данных и другим сведениям, полученным компанией Nisos, аккаунт Gmail был связан с номером телефона Бентли. Эта связь помогла раскрыть личность человека в офлайне. Записи, полученные компанией Nisos, связали номер телефона Бентли с адресом в  городе Абакан. Дальнейшее исследование компании показало, что он родился в мае 1982 года, а его идентификационный номер налогоплательщика свидетельствует о том, что ранее он носил юридическое имя Максим Сергеевич С. Как выяснила компания Nisos, эти имена связывают одинаковая дата рождения и номер российского паспорта.

Другие исследователи в области кибербезопасности, следившие за Trickbot, согласны с тем, что за Bentley стоит Максим Сергеевич.

Алекс Холден (Alex Holden), президент и директор по информационной безопасности компании Hold Security и исследователь, который следит за Trickbot уже несколько лет, говорит, что данные о личности Бентли "очень хорошо согласуются" с его предыдущими выводами.

Радое Васович, генеральный директор компании Cybernite Intelligence, анализировавший данные Trickleaks и проводивший исследования в открытых источниках, также уверен, что этот человек - это Бентли. В декабре 2022 года немецкая газета Die Zeit также опубликовала расследование о Конти, в котором Бентли был идентифицирован как "Максим Г.".

Разоблачение  имеет большое значение. По словам Холдена, Бентли является одним из "ключевых людей", управляющих Trickbot, отчасти благодаря своему опыту и связям в мире киберпреступности. Хотя существует множество российских киберпреступных группировок, представляющих значительную глобальную угрозу, Trickbot привлекает особое внимание и вызывает репрессии из-за серьезности своих преступлений. Например, в преддверии выборов 2020 года в США Киберкомандование США провело необычайно публичную атаку, направленную на уничтожение ботнета Trickbot. В последующие недели компании, в том числе Microsoft, предприняли юридические и технические меры по обезвреживанию сети Trickbot в рамках защиты избирательной и других критически важных инфраструктур.

Киберпреступники часто избегают ответственности, оставаясь безымянными и безликими. Но можно составить подробную картину их деятельности как внутри, так и вне Trickbot.

На фотографии, появившейся в профилях киберпреступника на GitHub и Gravatar, он выглядит хорошо сложенным мужчиной, с густыми темно-коричневыми бровями и такой же темно-коричневой бородой. У него длинные седые волосы, он позирует на склоне горы, с туристическим рюкзаком, в джинсах и белой футболке. Когда была сделана фотография, неизвестно.

Утечка сообщений также свидетельствует о том, что работа Бентли могла стать причиной напряженности в его личной жизни. В одном из сообщений он рассказывает коллеге, что его жена смирилась с тем, чем он занимается. "Я говорю ей, что мы портим жизнь высокомерным мудакам из американских корпораций", - говорится в одном из сообщений. "Главное, чтобы мы не преследовали простых бедных людей".

Странное происхождение

Никто не знает, откуда взялись данные Trickleaks, и никто никогда не брал на себя ответственность за утечку. "При том объеме информации, к которому они имели доступ, это был либо кто-то, кто хорошо внедрился в систему, либо исследователь, который нашел бы способ проникнуть довольно глубоко в их инфраструктуру", - говорит Джо Вриден, аналитик по киберугрозам из Cyjax, составивший единственный крупный публичный отчет о Trickleaks и проанализировавший сообщения Бентли для WIRED.

Размещенные Trickleaks разведывательные досье обнаруживают ряд сходств между предполагаемыми членами банды. Все они - мужчины. Многие публично заявляют, что работают в сфере технологий. В основном они базируются в России, некоторые - в крупных городах, таких как Москва и Санкт-Петербург, другие - в небольших населенных пунктах. Утверждается, что один из членов банды проживает в Беларуси. Возраст всех предполагаемых членов банды, указанных в утечке, составляет от 25 до 40 лет.

По словам Вридена, тот, кто составлял досье, скорее всего, объединил внешнюю информацию с данными из собственных систем группировки, поскольку такие детали в документах, как налоговые номера и трудовые книжки, в просочившихся сообщениях чата не фигурируют.

Хотя неясно, все ли лица, названные в утечках, работают на Trickbot, Холден говорит, что многие детали совпадают с тем, что он видел ранее. Например, сведения о члене Trickbot, известном под именем Tropa, опубликованные Trickleaks, совпадают с именем, возрастом и электронной почтой, указанными в санкционных документах.

Однако есть и некоторые несоответствия, говорит Холден, в том числе случаи, когда некоторые члены банды не показаны в данных Trickleaks, хотя другие исследования доказывают, что они должны были находиться в тесном контакте.

WIRED попытался связаться с 20 предполагаемыми членами Trickbot, используя адреса электронной почты, опубликованные в файлах Trickleaks. В запросе на комментарий содержатся вопросы о том, насколько точна личная информация, содержащаяся в утечке, и связаны ли эти люди с Trickbot. Многие из адресов электронной почты больше не действуют. Другие, по-видимому, работают, но WIRED не получил от них ответа.

Однако WIRED получил четыре ответа. Эти люди отрицали свою связь с Trickbot, и большинство из них заявили, что не знали о том, что их личная информация была опубликована в Интернете. Некоторые из них заявили, что являются легальными работниками технических служб. Один из них спросил, не является ли он объектом атаки. Другой сообщил, что работает водителем автобуса. WIRED попытался направить Бентли подробные вопросы по электронной почте и в WhatsApp, но ответа не получил.

По материалам https://www.wired.com/

Теги

Все представленные на сайте материалы предназначены исключительно для образовательных целей и не предназначены для медицинских консультаций, диагностики или лечения. Администрация сайта, редакторы и авторы статей не несут ответственности за любые последствия и убытки, которые могут возникнуть при использовании материалов сайта.