Пляжи, карнавалы и киберпреступность: Бразильское подполье – взгляд изнутри

Введение

К бразильскому преступному миру принадлежат несколько самых активных и изобретательных киберпреступников. Их кибератаки, как и атаки их собратьев из Китая и России, имеют ярко выраженный местный колорит. Чтобы их понять, нужно пожить в этой стране, изучить ее язык и культуру.

Бразильское подполье создает довольно много киберугроз – в основном это банковские троянцы и фишинговые кампании. Эти атаки могут быть довольно изобретательными и проводиться с учетом местных реалий. В 2014 г. Бразилию признали cамой опасной страной с точки зрения финансовых атак, а бразильский банковский троянец из семейства ChePro стал вторым по распространенности троянцем в мире после ZeuS.

Картина фишинговых атак мало чем отличается, здесь Бразилия также занимает первое место в мире. Неудивительно, что в списке наиболее часто атакуемых присутствует много бразильских брендов и компаний.

Для совершения серии геораспределенных атак бразильские киберпреступники используют в своих вредоносных программах методы, заимствованные из Восточной Европы. Это могут быть массированные атаки против интернет-провайдеров, модемов и сетевых устройств или атаки против популярных национальных платежных систем, таких как Boletos.

Чтобы понять, что происходит в бразильском киберпреступном подполье, предлагаем совершить путешествие в этот мир, изучить стратегию нападения киберпреступников и понять ход их мыслей. Мы заглянем на черный рынок краденых банковских карт и персональных данных, рассмотрим новые методы, используемые во вредоносном ПО, и узнаем, как бразильские киберпреступники взаимодействуют со своими собратьями из других стран.

Для многих людей Бразилия – это страна, известная своей культурой; страна пляжей, самбы и карнавалов. Но специалистам по безопасности она также известна как крупный источник банковских троянцев.

Сумасшедшая жизнь, как у Бонни и Клайда

Первое, что бросается в глаза: бразильские киберпреступники любят бравировать тем, сколько денег они украли и какую красивую жизнь в результате ведут. Они сравнивают себя с Робин Гудом: ведь они обкрадывают «богатых» (каковыми в их глазах являются банки, финансовые системы и правительство) в пользу «бедных» (то есть самих себя). Это широко распространенное убеждение: они считают, что воруют не у людей, пользующихся услугами онлайн-банкинга, а у банков, потому что, согласно местному законодательству, финансовые учреждения обязаны возместить пострадавшему всю украденную сумму.

Господствует чувство безнаказанности, во многом потому, что до недавнего времени в бразильском законодательстве киберпреступление не было юридически определено как преступное деяние. В 2013 г. был принят Закон Каролины Дикман, названный так в честь известной актрисы, из компьютера которой киберпреступники похитили фотографии, на которых она была снята обнаженной. Но этот закон оказался не очень эффективным, так как он предусматривает слишком мягкое наказание, а юридическая система слишком неповоротлива. Часто злоумышленников арестуют по три и даже четыре раза, а затем отпускают, даже не предъявив обвинения. Усугубляют ситуацию отсутствие эффективного законодательства по борьбе с киберпреступностью и высокий уровень коррупции в полиции.

Хорошим индикатором того, насколько безнаказанными чувствуют себя киберпреступники, служит то, насколько легко можно найти в интернет их видео и фотографии или получить доступ к их профилям в социальных сетях. Часто можно видеть, как они хвастаются крадеными деньгами, наслаждаются красивой жизнью, оплачивают услуги проституток в Рио во время карнавала и т. п.

Бразилия известна во всем мире как место, где типы, подобные Бонни и Клайду, ведут роскошную жизнь. Сколько они крадут? Достаточно много. По данным Бразильской Федерации банков (FEBRABAN), в 2012 г. местные банки потеряли 1,4 млрд. реалов (примерно 500 млн. долларов США) в результате мошенничества, совершенного посредством интернет-банкинга, по телефону или путем клонирования банковских карт.

Целевая аудитория киберпреступников в Бразилии достаточно велика: в стране насчитывается более 100 млн. интернет-пользователей; 141 млн. граждан имеет право использовать систему электронного голосования; более 50 млн. человек, ежедневно пользуются услугами интернет-банкинга.

В интернете можно найти видео, прославляющие преступную жизнь, и композиции, подобные песне «Rap dos Hackers» («Хакерский рэп»). В ней восхваляются киберпреступники, которые используют свои знания, чтобы украсть данные банковских счетов и пароли:

[youtube https://www.youtube.com/watch?v=ID2GUCqUhH0&w=560&h=315]

В песне говорится: «Я виртуальный террорист, я преступник; я сею ужас в Интернете, у меня нервные пальцы; берегись, я проникну в твой ПК; ты проиграл, плэйбой, теперь твои пароли стали моими».

Злоумышленники, занимающиеся скиммингом, тоже прославляют себя и хвастаются доходами в песне «Рэп клонированных банковских карт», которую можно найти на YouTube:

[youtube https://www.youtube.com/watch?v=Em8WXhVgi0U&w=560&h=315]

В этой песне есть такие слова: «Ты работаешь или воруешь, а мы клонируем карты, я – 171, профессиональный мошенник и клонер, мы крадем у богатых, как Робин Гуд, Я – Рауль…»

Недавно Федеральная полиция Бразилии арестовала владельца роскошного особняка стоимостью 3 млн. реалов, купленного на средства, украденные с помощью вредоносной программы Boleto. В Бразилии быть киберпреступником выгодно. Очень выгодно.

Операции C2C: От киберпреступника – киберпреступнику

Подобно другим нелегальным группировкам, бразильские киберпреступники организованы в небольшие и средние по размерам группы, каждая из которых обладает квалификацией в определенной области и продает свои услуги другим группам или действует совместно с ними. Встречаются и «независимые» киберпреступники, но обычно для достижения успеха им приходится сотрудничать друг с другом.

Чаще всего для ведения переговоров, покупки и продажи услуг бразильский киберпреступный мир использует каналы IRC-сети (Internet Relay Chat). Некоторые используют и социальные сети, такие как Твиттер или Facebook, но основной контент спрятан в каналах IRC-сети и на закрытых форумах, доступ к которым можно получить только по приглашению или при поддержке действующих членов форума. В этих IRC-чатах преступники обмениваются информацией об атаках, оказывают друг другу услуги и продают персональные данные со взломанных сайтов. Кодеры продают свои вредоносные программы, а спамеры – свои базы данных и услуги. Это настоящие операции C2C (от киберпреступника – киберпреступнику). Две самые популярные IRC-сети, используемые для проведения таких операций, – FullNetwork и SilverLords.

Однако широко распространенной проблемой в киберпреступном мире является так называемое «calote» (жульничество), или неплательщики – то есть люди, которые воруют у воров: они нелегально приобретают у киберпреступников услуги или программы, но не платят за них. Месть бывает быстрой, для этого используется один из двух способов. Во-первых, нечестного игрока могут «раскрыть»: опубликовать его подлинные личные данные с целью оповещения правоохранительных органов. Во-вторых, его имя могут добавить в большую базу данных, где хранятся сведения о хороших и плохих заемщиках. Списки разрешенных и запрещенных позволяют криминальному сообществу защитить себя: прежде чем вести дело с покупателем, проверяется его репутация.

Нелегальная репутационная система в сети Fullnetwork.org для защиты от неплательщиков

«Раскрытие» и другие атаки на конкурирующие преступные группировки – обычное дело в преступном мире Бразилии. Некоторые из группировок даже празднуют арест других кибермошенников. Именно так и произошло с Алехандре Перейра Барросом (Alexandre Pereira Barros), ответственным за сеть SilverLords. Он вместе с тремя другими киберпреступниками был арестован Федеральной полицией Бразилии в апреле 2013 г. после мошеннических атак на финансовые системы, клонирования банковских карт, политических хакерских атак и многого другого. Их группа, владевшая в штате Гояс лотерейной компанией, ответственна за кражу 250 000 долларов. Празднуя их арест, другие киберпреступники разместили на YouTube видео – в отместку за неуплаченные долги:

Бразильские киберпреступники, арестованные в 2013 г. К сожалению, до тюрьмы дело не дошло.

Типичная бразильская киберпреступная группировка состоит из четырех или пяти членов, хотя некоторые группы могут быть и более многочисленными. У каждого члена группы своя роль. Главный персонаж в этом сценарии – кодер. Он отвечает за разработку вредоносной программы, приобретение эксплойтов, создание системы контроля качества вредоносной программы, построение статистической системы для подсчета жертв и объединение всех этих компонентов в пакет, которым можно будет легко торговать и который смогут легко использовать другие киберпреступники. Некоторые кодеры не ограничивают себя рамками одной группы и могут работать сразу с несколькими группами. Обычно они предпочитают «не пачкать руки» крадеными деньгами, а зарабатывают продажей своих творений другим киберпреступникам. Кодер может быть руководителем группы, но такое встречается не часто. Их редко арестовывают.

В каждой группе бывает один-два спамера. Они отвечают за приобретение списков рассылки, виртуальных выделенных серверов (VPS) и разработку «engenharia» (приемов социальной инженерии, используемых в почтовых сообщениях, которые рассылаются жертвам). Их задача – распространить заражение как можно шире. Часто спамеры имеют опыт «дефейса», что позволяет им внедрять вредоносные плавающие фреймы в зараженные сайты. У спамеров нет твердого оклада: их доход зависит от количества зараженных пользователей. Именно поэтому кодировщик встраивает во вредоносную программу счетчик жертв, чтобы можно было рассчитать сумму, которую должен получить спамер.

Кроме того, в группе имеется агент по найму (рекрутер), который отвечает за наем «денежных мулов» (их еще называют «laranjas» – «апельсины»). У рекрутера очень важная задача, так как он напрямую контактирует с другими людьми и несет ответственность за внешние операции: координацию действий по переводу денежных средств или снятию денег в банкоматах, оплату счетов (обычно в лотерейной компании) и получение товаров, приобретаемых через интернет с помощью украденных банковских карт, – то есть за «correria» (налет). Обычно рекрутеры нанимают в качестве «денежных мулов» членов своей семьи, так как они могут получить до 30% от украденной суммы, распределенной по счетам «денежных мулов». Во время полицейских операций первыми, как правило, арестовывают «денежных мулов», а затем рекрутера.

Реальный руководитель группы отвечает за координацию действий остальных членов группы и за все операции, за согласование новых кейлогеров с кодером, запрос новой «engenharia» у спамеров и организацию «correria» агентами. Он также отвечает за набор новых членов группы и продажу их продуктов другим киберпреступным группировкам. Роли жестко не закреплены: некоторые члены группы могут выполнять сразу несколько функций или работать в нескольких группах, их доходы могут меняться. Некоторые киберпреступники предпочитают работать независимо и продавать свои услуги и продукты нескольким группам.

Другие киберпреступники открывают интернет-магазины, где продают свои изделия и рекламируют услуги более простым и удобным образом. В этих магазинах можно купить шифратор, хостинг, услугу написания новых троянцев и т. д. Для таких целей создавался, в частности, отключенный сейчас «BlackStore». Посмотрим, сколько же стоят такие «изделия»:

Как и в обычном магазине, вам могут выдать товарный чек на приобретенные товары:

Честные воры: подтверждение вашей нелегальной покупки

Профессионализация организованной киберпреступности, которую мы наблюдаем в Восточной Европе, достигла и преступного мира Бразилии. Инвестиции в технологии и маркетинг призваны увеличить прибыль преступников. На некоторых закрытых форумах киберпреступники даже начали рекламировать свои услуги, явно стремясь привлечь новичков, не привыкших разрабатывать собственный инструментарий.

Здесь написано: «Приобретая любой пакет приемов социальной инженерии, вы получаете в придачу пакет банкера, данные банковских карт и мили для Программы поощрения постоянных пассажиров. 1 миллион бесплатных спам-сообщений от Интеллектуальных решений Бруно Диаша». Среди других часто рекламируемых услуг – веб-сайты, предлагающие «вредоносное ПО как услугу», шифраторы, полностью не обнаруживаемые вредоносные программы (FUD) и комплексная система управления информацией об украденных банковских счетах:

«FUD как услуга»: услуга шифрования уже обнаруженных троянцев

Панель администратора управляет комплексной системой, с помощью которой злоумышленники могут контролировать зараженные машины, собирать данные банковских карт и обходить двухфакторную аутентификацию (2FA) любого вида: SMS-сообщения, ключи, карты с одноразовыми паролями и пр. Некоторые системы позволяют контролировать сайты и домены, используемые для распространения вредоносных программ, рассылать спам и управлять списками рассылки в рамках единого решения.

Нелегально продаваемая программа удаленного доступа для обхода двухфакторной аутентификации в бразильских банках

Продаются и DDoS-атаки. Используя мощность тысяч зараженных компьютеров, нетрудно помочь другим киберпреступникам организовать «отказ в обслуживании», используя синхронную атаку, усиленную UDP-атаку или другие виды атак. Цены показаны ниже: 300 секунд – 8,3 доллара, 450 секунд – 13 долларов, 1000 секунд – 28 долларов, 3600 секунд – 40 долларов.

DDoS-атаки напрокат: стоимость атаки зависит от ее продолжительности

Сколько стоит ваша банковская карта?

Самая ценная информация, которой обмениваются преступники, – это данные банковских карт. Банковские карты часто клонируют, используя «чупакабры» (скиммеры) в банкоматах и платежных терминалах, фишинговые страницы, клавиатурных шпионов, внедренных в компьютеры жертв, и другие способы.

По данным Всемирного банка, в Бразилии очень много банкоматов. Есть 160 000 мест, где мошенники могут установить скиммеры, и они это делают постоянно. Даже в дневное время можно видеть, как они слоняются поблизости, расслабленные, в шлепанцах и пляжной одежде и устанавливают скиммеры в переполненном посетителями отделении банка.

[youtube https://www.youtube.com/watch?v=-iCs3dEHCyQ&w=560&h=315]

Что касается клонирования банковских карт, в Бразилии действуют самые изобретательные и активные киберпреступники. К счастью, в большинстве карт используется встроенная технология CHIP and PIN. Несмотря на последнюю информацию об обнаружении брешей в системе безопасности этого протокола, карты с пин-кодом остаются более защищенными и труднее поддаются клонированию, чем магнитные. Поскольку такие чипы EMV используются по всей стране, большинство операций клонирования производится в режиме онлайн: через фишинговые атаки, поддельные страницы банков, поддельные раздачи банковских карт и взломанные порталы электронной торговли, где предлагаются дорогие продукты по очень привлекательной цене. Если вы занимаетесь каким-либо видом онлайн-бизнеса, рано или поздно ваша карта будет атакована с использованием фишинговой атаки или через взломанный портал электронной торговли.

Данные банковских карт пользуются большим спросом; их можно купить на специальных сайтах или по каналам IRC-сети. В этот нелегальный бизнес вовлечены не только кардеры и киберпреступники, но и множество «обычных» преступников, занимающихся наркоторговлей и другой противозаконной деятельностью.

Цена клонированных банковских карт колеблется в зависимости от банка, страны происхождения и других факторов.

• Карты Infinity: карты таких флагманов, как American Express, и международные карты продаются по 42 доллара за штуку
• Карты Platinum: карты многонациональных банков, по 40 долларов за штуку
• Карты Black: по 30 долларов за штуку
• Карты Gold/ Premier: по 25 долларов за штуку
• Карты Classic: карты национальных банков, по 22 доллара за штуку

Реклама киберпреступника, который продает данные краденых банковских карт: вы сможете даже расплатиться за них своей банковской картой

Утечки данных как старт кибератак

Бразильское подполье жаждет получить доступ к персональным данным — это позволяет киберпреступникам монетизировать «кражу личности», открывая возможности для приобретения продуктов с помощью «laranjas», или «денежных мулов». Используя собранные данные, они могут опустошить ваш банковский счет, так как некоторые интернет-услуги запрашивают персональные данные для подтверждения личности клиента.

К сожалению, в стране пока нет специальных законов о защите персональных данных; политики еще только оценивают различные варианты. В результате широко распространены взлом и кража данных в государственных организациях и частных компаниях. В настоящее время пострадавшие компании по закону не обязаны даже связываться с клиентами, пострадавшими от взлома, и информировать их о случившемся.

За последнее время произошло несколько серьезных случаев утечки данных, от которых пострадали крупные веб-сайты, базы данных правительства, Федеральной налоговой службы (ФНС) и других организаций. Обычно украденные базы данных продаются нелегально. Например, базу данных DETRAN (Департамента дорожного движения), где хранятся данные о пяти миллионах граждан, можно купить всего за 50 долларов США:

Особенно опасны уязвимости государственных веб-сайтов. В 2011 г. две очень серьезных уязвимости на сайте Министерства труда сделали доступной всю базу данных, в которой хранились данные за шесть месяцев обо всех гражданах страны. Брешь в системе безопасности сайта открыла доступ к конфиденциальным данным. Для получения дополнительной информации о человеке требовался только номер CPF (бразильский аналог ИНН).

Для человека, живущего Бразилии, CPF – один из основных документов. Этот номер уникален и требуется при выполнении целого ряда операций: открытия банковских счетов, получения или обновления водительского удостоверения, приобретения и продажи недвижимости, получения ссуды, устройства на работу (особенно в государственный сектор), получения паспорта и банковских карт. Утечка данных позволяет киберпреступнику выдать себя за жертву и выкрасть его персональные данные, например, чтобы взять ссуду в банке.

Не обходится и без фишеров, подобную информацию можно получить только через утечку данных. Неудивительно, что в бразильских СМИ часто рассказывают о киберпреступниках, которые продают компакт-диски с множеством конфиденциальных данных из системы Федеральной налоговой службы Бразилии, включая номера CPF. Вы можете встретить преступников, которые всего за 100 долларов продают компакт-диски с множеством баз данных, украденных из разных источников. Используя такие утечки данных, бразильские фишеры проводят свои атаки. В поддельных сообщениях они указывают полное имя и номер CPF своей жертвы, чтобы таким образом придать сообщению видимость легитимности. Атаки, подобные показанной ниже, проводятся регулярно, начиная с 2011 г.

Фишинговое сообщение с указанием полного имени и номера CPF жертвы

Обилие персональных данных, украденных из различных источников, позволяет бразильским киберпреступникам предоставлять интернет-услуги поиска в базе данных, содержащей персональные данные миллионов граждан. Несмотря на все попытки властей закрыть такие сайты, ежемесячно возникают новые сервисы.

Для получения всех персональных данных человека достаточно указать его номер CPF

Проблема брокеров данных

Другой проблемой, связанной с плохим управлением персональными данными, стали «брокеры данных», то есть компании, которые занимаются сбором и продажей данных другим компаниям. Те, в свою очередь, используют полученные данные для адресной рекламы и маркетинга в определенных группах, для проверки личности в целях защиты от мошенничества или же продают эту информацию отдельным лицам и организациям, чтобы те могли изучить данные конкретных людей.

Местные компании, такие как Serasa (теперь поглощена компанией Experian), часто становятся мишенью атак фишеров и авторов вредоносных программ. Учитывая, что они предлагают доступ к крупнейшей в стране базе данных с защитой от мошенничества и хранят полный профиль персональных данных каждого гражданина, то украденные учетные данные, открывающие доступ к этой базе, высоко ценятся среди мошенников.

Поэтому неудивительно, что многие мошенники перепродают результаты доступа к сервисам брокеров данных с использованием украденных учетных данных. Стоимость пакета – 30 долларов США за 15 дней или 50 долларов США за 30 дней полного доступа.

Другие преступники идут дальше и создают собственные сервисы брокеров данных. Владельцы этих сервисов продают их другим мошенникам, предлагая обширный пакет поисковых баз данных, полученных из частных источников или в результате утечек из государственных организаций. Такая масштабная деятельность создает впечатление, что в Бразилии киберпреступность настигнет каждого человека в любом случае.

Совместная база данных из государственных источников и от брокеров данных в одном нелегальном сервисе

Для рекламы своих услуг мошенники используют все возможные каналы, в том числе социальные сети, такие как Facebook. В досье, опубликованном на сайте Tecmundo, представлены свидетельства того, что в эту схему вовлечены и государственные служащие, торгующие базами данных и учетными данными.

Реклама доступа к сервису краденых данных на Facebook

Как фишинговая атака разрешила вырубку леса в Амазонии

Можете ли вы представить себе фишинговую атаку, которая позволила бы провести вырубку деревьев в самом большом тропическом лесу в мире? Именно это случилось с IBAMA, Бразильским институтом окружающей среды и возобновляемых природных ресурсов. Институт IBAMA отвечает за ограничение вырубки лиственных деревьев в регионе Амазония и разрешает производить вырубку только уполномоченным компаниям.

В результате нескольких атак на сотрудников IBAMA (вероятно, с помощью фишинговой рассылки, похожей на показанную ниже) бразильские киберпреступники смогли выкрасть учетные данные и взломать онлайн-систему института. После этого они разблокировали 23 компании, временно отстраненные от работ за экологические преступления, и позволили им возобновить лесодобычу. Всего за 10 дней эти компании добыли древесины на 11 миллионов долларов. Этой нелегально добытой древесины хватило, чтобы нагрузить 1400 грузовиков.

Фишинговая страница института IBAMA для кражи учетных данных

Подпольное сотрудничество с Восточной Европой

У нас достаточно доказательств сотрудничества бразильских киберпреступников с группировками из Восточной Европы, ответственными за создание ZeuS, SpyEye и других банковских троянцев в этом регионе. Это сотрудничество напрямую влияет на качество и уровень опасности бразильского вредоносного ПО, так как его авторы начинают использовать в своих программах новые приемы.

Бразильских киберпреступников можно встретить на российских нелегальных форумах, где они ищут вредоносные образцы, покупают новых зловредов, вредоносное ПО для банкоматов и платежных терминалов, ведут переговоры и предлагают свои сервисы. Первым результатом такого сотрудничества стало появление новых атак, подобных той, от которой пострадала платежная система Boletos в Бразилии.

Бразильский злоумышленник на очень плохом русском предлагает купить доступ к 400 зараженным платежным терминалам

Бразильские киберпреступники уже начинают использовать инфраструктуру своих собратьев из Восточной Европы, иногда покупая или арендуя абузоустойчивый хостинг. Один из них, Жуау де Санту Кришту (вымышленный персонаж популярной бразильской песни), купил и предоставил хостинг в России 14 доменам вредоносной программы Boleto:

Неудивительно, что нам стали встречаться взломанные российские сайты, предоставляющие хостинг Boleto:

Это доказывает, что бразильские киберпреступники осваивают новые приемы в результате сотрудничества со своими европейскими собратьями. По нашему мнению, это лишь верхушка айсберга, и такой обмен опытом будет расширяться по мере того, как бразильские киберпреступники будут изобретать и искать новые способы атак на компании и рядовых пользователей.

Прогресс в разработке бразильского вредоносного ПО

Контакты с киберпреступниками из Восточной Европы влияют на качество бразильского вредоносного ПО. Так, например, мы обнаружили во вредоносной программе Boleto ту же схему шифрования, что и в пакетах троянца ZeuS Gameover.

Зашифрованный пакет вредоносной программы Boleto: используется та же схема шифрования, что и у ZeuS

Мы также впервые столкнулись с бразильскими вредоносными программами, использующими алгоритм генерации доменных имен (DGA). Одна из таких программ, Trojan-Downloader.Win32.Crishi, распространяет сообщения, подобные следующему:

Другим свидетельством прогресса в разработке бразильского вредоносного ПО в результате сотрудничества с киберпреступниками из Восточной Европы стало использование в атаках Boleto доменов fast flux.

Заключение

Бразилия является одним из самых динамичных и перспективных рынков в мире благодаря ведущей роли в Латинской Америке и своей специфике. Постоянный мониторинг вредоносной деятельности бразильских киберпреступников позволит компаниям, занимающимся вопросами IT-безопасности, обнаружить новые атаки с использованием финансового вредоносного ПО. В некоторых случаях эти атаки бывают очень оригинальными (как, например, использование вредоносных PAC-файлов).

Сообщение от злоумышленников автору этих строк во вредоносном PAC-файле: реакция на обнаружение

Чтобы хорошо понимать киберкриминальную обстановку в Бразилии, антивирусные компании должны обращать особое внимание на реалии страны, вести сбор файлов в местном масштабе, создавать локальные ловушки и содержать штат местных аналитиков для мониторинга атак, главным образом, потому что киберпреступники Бразилии обычно ограничивают область заражения и распространения своих программ пользователями этой страны. Подобно тому, как это происходит в России и Китае, бразильские киберпреступники создали свою уникальную реальность, которую трудно понять постороннему.