В конце ноября спецслужбы 40 стран устроили масштабную операцию под кодовым названием «Лавина», целью которой стала группировка хакеров, создавшая 20 самых опасных вредоносных программ и укравшая более 100 миллионов евро. «Лента.ру» выяснила, как простой украинец руководил самой прибыльной фишинговой сетью в мире и несколько лет успешно обманывал правоохранителей.
Кошелек или экран
В ноябре генеральный прокурор штата Пенсильвания признался, что местным властям пришлось выплатить неизвестным хакерам 1400 долларов в биткоинах. Причиной стало фишинговое письмо: сотрудник прокуратуры открыл подозрительную ссылку, которая в конечном счете парализовала работу всего окружного ведомства. Специалисты по информационной безопасности оказались бессильны перед баннером-вымогателем, который украшал все экраны компьютеров в учреждении.
Авторами письма оказались хакеры группировки Avalanche — создатели самой прибыльной фишинговой сети в мире, которую пытались выследить правоохранительные органы 40 стран мира. Злоумышленники создали ее еще в 2009 году, и вскоре она стала мировым лидером по общему числу атак. Всего за 10 месяцев сеть провела более 84 тысяч фишинговых нападений — две трети всех киберпреступлений мира.
Первыми тревогу забили спецслужбы Германии. Спустя три года после того, как хакеры начали активно наживаться на пользователях сети, немецкие правоохранители заметили, что несколько вредоносных программ используют одну и ту же инфраструктуру.
Проведя внутреннее расследование и посоветовавшись с безопасниками, успевшими выпустить несколько докладов о деятельности Avalanche, немцы поняли, что столкнулись с невиданным доселе масштабом киберпреступлений. Было очевидно, что некто использует огромные ресурсы с мощными серверами и штат опытных программистов, причем одновременно из нескольких стран.
В следующие четыре года к расследованию подключились Европол, Интерпол, ФБР, а также крупнейшие специалисты по информационной безопасности и правоохранительные органы из десятков стран мира.
Хакеры массово рассылали фишинговые письма. . Фото: Menahem Kahana / AFP / East News
Однако пока расследование не перешло в активную фазу, киберсеть успела заразить и сделать частью огромного ботнета более 500 тысяч устройств, атаковать миллионы пользователей в 180 странах и нанести суммарный ущерб в несколько сотен миллионов евро. По данным немецкой прокуратуры, только в Германии хакеры перевели на свои счета около 6 миллионов евро.
Сход «Лавины»
Во время многолетней охоты за хакерами ключевой деталью для следствия стали обнаруженные в 2012 году сходства в коде вредоносных программ. Специалисты пытались отследить их происхождение, в чем им помог инцидент в Пенсильвании, где хакеры замахнулись не только на местную прокуратуру, но и на несколько финансовых учреждений. Анализ атак навел правоохранителей на следы серверов в Австралии, Румынии и на Украине.
Новые атаки происходили практически ежедневно, и в середине ноября следователи решили действовать наудачу, полагаясь лишь на имеющиеся данные. Уже через сутки стартовала первая фаза операции «Лавина». Всего за день спецслужбы 40 стран совместно с Интерполом и Европолом захватили 800 тысяч доменов, изъяли 39 и отключили еще 220 подозрительных серверов. Кроме того, специалистам пришлось экстренно проанализировать более 130 терабайт данных о каждом действии хакеров, которое удалось зафиксировать во время атак.
Сегодня детали «Лавины» держатся в строжайшем секрете, ни одна из участвовавших в расследовании стран не уточняет, как удалось вычислить конкретных организаторов атак. Имена и личные данные задержанных также держатся в тайне. Исключением стал лишь главарь группировки — украинец Геннадий Капков.
Его арест доверили украинской киберполиции, которая на всякий случай призвала на помощь группу спецназа. Задержание нескольких хакеров в Полтаве, которое стражи порядка запечатлели на видео, прошло достаточно тихо. Похитители миллионов оказались жителями обычной квартиры в многоэтажке с советской мебелью и бабушкиным ковром на стене. В самом жилище правоохранители нашли 72 тысячи долларов — скромную сумму по сравнению с общим объемом украденных средств, а также множество банковских карт и пару паспортов.
Во время штурма один из хакеров попытался оказать сопротивление и достал откуда-то автомат Калашникова, но в итоге, судя по видеороликам, был выведен на снежный балкон, где покорно ожидал ареста.
Правда, спустя несколько дней после задержания суд отказался выдать разрешение на арест Капкова, после чего тот скрылся от правоохранителей и, как утверждают украинские СМИ, вновь оказался в бегах. По данным местных изданий, именно он пытался оказать сопротивление при задержании.
Охотники за деньгами
Отличительная особенность возглавляемых украинцем хакеров заключалась в том, что их не интересовали ставшие модными среди киберпреступников взломы правительственных серверов, они не представлялись глубокомысленными никнеймами и не контактировали с журналистами. Единственной целью Avalanche были деньги, и ради них они не скупились на ухищрения.
Несмотря на необщительность, на хакерских форумах они быстро прославились своими вредоносными программами — на одной и той же инфраструктуре были созданы и свободно запускались около 20 троянов и вирусов. Ежедневно злоумышленники рассылали письма с фишинговыми ссылками на миллионы почтовых адресов, а затем приступали к взлому тех ресуров, в которых были заинтересованы конкретные клиенты.
Основными клиентами Avalanche стали преступные группировки. Именно они размещали заказы на взлом компьютеров жертв и кражу средств с их банковских счетов. Некоторые просили парализовать работу конкурентов, другие — собрать как можно больше компромата на противников. Хакеры не брезговали даже банальным отмывом денег и охотно находили «денежных мулов» — добровольцев, которые временно скрывали украденные средства на своих счетах.
Особой гордостью группировки стал их личный ботнет, включавший полмиллиона зараженных устройств. С его помощью они проводили мощные DDoS-атаки, которые обычно заканчивались падением серверов и последующим внедрением фирменной вредоносной программы. При этом преступников оказалось практически невозможно отследить: из-за того, что хакеры жили в разных странах, киберполиции пришлось потратить годы на то, чтобы запрашивать информацию у заграничных коллег и координировать усилия.
Неудивительно, что спецслужбы назвали операцию «Лавина» своим главным успехом в борьбе с хакерами, хотя до сих пор не раскрыли ни количества участников группировки, ни конкретных цифр нанесенного ими ущерба. Все это наводит специалистов на мысли, что пойманные преступники — лишь верхушка айсберга.