Την Πέμπτη, ένας Ρώσος υπήκοος ομολόγησε την ενοχή του για κατηγορίες που σχετίζονται με τη συμμετοχή του στην ανάπτυξη και ανάπτυξη του κακόβουλου λογισμικού Trickbot, το οποίο χρησιμοποιήθηκε σε επιθέσεις εναντίον νοσοκομείων, εταιρειών και ατόμων στις Ηνωμένες Πολιτείες και παγκοσμίως.
Σύμφωνα με
δικαστικά έγγραφα
ένα άτομο 40 ετών, γνωστό και ως FFX, επέβλεψε την ανάπτυξη του στοιχείου έγχυσης του προγράμματος περιήγησης TrickBot ως προγραμματιστής κακόβουλου λογισμικού.
Σύμφωνα με τους ισχυρισμούς, η σύνδεση του Dunaev με το σωματείο κακόβουλου λογισμικού TrickBot ξεκίνησε τον Ιούνιο του 2016 αφού προσλήφθηκε ως προγραμματιστής μετά από μια δοκιμή πρόσληψης που του ζητούσε να δημιουργήσει μια εφαρμογή που προσομοιώνει έναν διακομιστή SOCKS και να αλλάξει το πρόγραμμα περιήγησης Firefox.
Το
ν Σεπτέμβριο του 2021 συνελήφθη στη Νότια Κορέα ενώ προσπαθούσε να αναχωρήσει. Λόγω των ταξιδιωτικών περιορισμών του COVID-19 και ενός ληγμένου διαβατηρίου, αναγκάστηκε να παραμείνει στη Νότια Κορέα για περισσότερο από ένα χρόνο. Η διαδικασία έκδοσης ολοκληρώθηκε στις 20 Οκτωβρίου 2021.
«Όπως ορίζεται στη συμφωνία ένστασης, ο Βλαντιμίρ Ντούναεφ έκανε κατάχρηση των ειδικών του δεξιοτήτων ως προγραμματιστής υπολογιστών για να αναπτύξει τη σουίτα κακόβουλου λογισμικού Trickbot», δήλωσε η εισαγγελέας των ΗΠΑ Rebecca C. Lutzko.
«Ο Ντούναεφ και οι συναδέλφισσες του κρύφτηκαν πίσω από τα πληκτρολόγιά τους, πρώτα για να δημιουργήσουν το Trickbot και μετά το χρησιμοποίησαν για να μολύνουν εκατομμύρια υπολογιστές σε όλο τον κόσμο – συμπεριλαμβανομένων αυτών που χρησιμοποιούνται από νοσοκομεία, σχολεία και επιχειρήσεις – εισβάλλοντας στην ιδιωτική ζωή και προκαλώντας ανείπωτη αναστάτωση και οικονομική ζημιά».
Το κακόβουλο λογισμικό TrickBot βοήθησε τους χειριστές του να συλλέξουν προσωπικές και ευαίσθητες πληροφορίες (συμπεριλαμβανομένων διαπιστευτηρίων, πιστωτικών καρτών, email, κωδικών πρόσβασης, ημερομηνίες γέννησης, SSN και διευθύνσεις) και να κλέψουν χρήματα από τους τραπεζικούς λογαριασμούς των θυμάτων τους.
Ντουνάεφ
υπέβαλε δήλωση ενοχής
για κατηγορίες που σχετίζονται με συνωμοσία για απάτη υπολογιστών και κλοπή ταυτότητας, παράλληλα με κατηγορίες συνωμοσίας για απάτη μέσω εμβάσματος και τραπεζικής απάτης. Η ποινή του έχει οριστεί για τις 20 Μαρτίου 2024 και αντιμετωπίζει μέγιστη ποινή φυλάκισης 35 ετών και για τα δύο αδικήματα.
Το αρχικό κατηγορητήριο κατηγορούσε τον Ντούναεφ και οκτώ συν-κατηγορούμενους για την υποτιθέμενη εμπλοκή τους στην ανάπτυξη, ανάπτυξη, διαχείριση και κέρδος από την επιχείρηση Trickbot.
|
Ημερομηνίες |
Περιγραφή κώδικα |
| Ιούλιος 2016 – χρόνος σύλληψης | Τροποποίηση του προγράμματος περιήγησης ιστού Firefox |
| Δεκέμβριος 2016 | Ερώτημα μηχανής που επιτρέπει στο TrickBot να προσδιορίζει την περιγραφή, τον κατασκευαστή, το όνομα, το προϊόν, τον σειριακό αριθμό, την έκδοση και το περιεχόμενο του καταλόγου αρχείων ρίζας ενός μολυσμένου μηχανήματος |
| Αύγουστος 2016 – Δεκέμβριος 2018 | Κώδικας που παίρνει και αποθηκεύει από το πρόγραμμα περιήγησης το όνομά του, το αναγνωριστικό, τον τύπο, τα αρχεία διαμόρφωσης, τα cookies, το ιστορικό, την τοπική αποθήκευση, τα τοπικά κοινά αντικείμενα Flash/LSO (cookies Flash) |
| Οκτώβριος 2016 – χρόνος σύλληψης | Κώδικας που αναζητά, εισάγει και φορτώνει αρχεία στους φακέλους «προφίλ» του προγράμματος περιήγησης Ιστού. Αυτά περιέχουν cookies, αποθήκευση, ιστορικό, Flash LSO cookies. Συνδέεται επίσης με τις βάσεις δεδομένων του προγράμματος περιήγησης για να υποβάλει ερωτήματα και να τα τροποποιήσει |
| Ιούλιος 2016 – χρόνος σύλληψης | Μια εκτελέσιμη εφαρμογή/βοηθητικό πρόγραμμα για την εκκίνηση και τη διαχείριση ενός προγράμματος περιήγησης ιστού |
| Ιούλιος 2016 – χρόνος σύλληψης | Κώδικας που συλλέγει και τροποποιεί τις καταχωρίσεις δεδομένων στη βάση δεδομένων LevelDB του Google Chrome, συμπεριλαμβανομένου του ιστορικού περιήγησης |
Ο Dunaev είναι ο δεύτερος προγραμματιστής κακόβουλου λογισμικού της συμμορίας TrickBot που συνελήφθη από το Υπουργείο Δικαιοσύνης των ΗΠΑ. Τον Φεβρουάριο του 2021, ο Λετονός υπήκοος Alla Witte (γνωστός και ως Max) συνελήφθη και κατηγορήθηκε ότι βοήθησε στη σύνταξη του κώδικα που χρησιμοποιείται για τον έλεγχο και την ανάπτυξη ransomware στα δίκτυα των θυμάτων.
Τον Φεβρουάριο και τον Σεπτέμβριο, οι Ηνωμένες Πολιτείες και το Ηνωμένο Βασίλειο επέβαλαν κυρώσεις σε συνολικά 18 Ρώσους υπηκόους που συνδέονται με τις συμμορίες εγκλήματος στον κυβερνοχώρο TrickBot και Conti για τη συμμετοχή τους στον εκβιασμό τουλάχιστον 180 εκατομμυρίων δολαρίων από θύματα σε όλο τον κόσμο. Επίσης, προειδοποίησαν ότι ορισμένα μέλη της ομάδας Trickbot συνδέονται με ρωσικές υπηρεσίες πληροφοριών.
Αρχικά επικεντρώθηκε στην κλοπή τραπεζικών διαπιστευτηρίων όταν εμφανίστηκε το 2015, το κακόβουλο λογισμικό TrickBot εξελίχθηκε σε ένα αρθρωτό εργαλείο που αξιοποιήθηκε από οργανώσεις εγκληματικότητας στον κυβερνοχώρο όπως το Ryuk και το Conti ransomware για αρχική πρόσβαση σε παραβιασμένα εταιρικά δίκτυα.
Μετά από αρκετές απόπειρες κατάργησης, η συμμορία Conti
cybercrime
απέκτησε τον έλεγχο του TrickBot, αξιοποιώντας το για να αναπτύξει πιο εξελιγμένα και κρυφά στελέχη κακόβουλου λογισμικού, συμπεριλαμβανομένων των Anchor και BazarBackdoor.
Ωστόσο, μετά την εισβολή της Ρωσίας στην Ουκρανία, ένας Ουκρανός ερευνητής διέρρευσε τις εσωτερικές επικοινωνίες του Conti σε αυτό που
σήμερα
είναι γνωστό ως «Conti Leaks».
Λίγο
μετά, μια ανώνυμη φιγούρα που χρησιμοποιεί το
TrickLeaks
Το moniker άρχισε να διαρρέει λεπτομέρειες σχετικά με την επιχείρηση TrickBot, περιγράφοντας περαιτέρω τους δεσμούς της με τη συμμορία Conti.
Τελικά, αυτές οι διαρροές επέσπευσαν τον τερματισμό της λειτουργίας ransomware Conti, με αποτέλεσμα τον κατακερματισμό του σε πολλές άλλες
ομάδες
ransomware, όπως το Royal, το Black Basta και το ZEON.
VIA:
bleepingcomputer.com
