Тройной удар по «Зевсу» — первые результаты

64 ареста, 103 обвинительных акта, 16 обысков — таков предварительный итог проведения интернационального расследования по пресечению деятельности криминальных группировок, грабивших интернет-пользователей с помощью банковских троянцев ZeuS.

Спецоперация Trident Breach (можно перевести как «Удар по тройственному союзу», дословно «сломать трезубец») была запущена ФБР в мае прошлого года. (Если название операции – очередной экскурс в мир мифических персонажей, то инструмент для «Зевса» выбран неудачно 🙂 Масштабы и специфика кибератаки, приковавшей внимание агентов, явно указывали на ее трансграничный характер, поэтому ФБР подключила к расследованию другие американские спецслужбы и обратилась за помощью к властям Великобритании, Нидерландов и Украины.

За полтора года на территории США было зафиксировано 390 успешных попыток ограбления с применением ZeuS. Преступники действовали примерно по одной и той же схеме: проводили целевые вредоносные рассылки на адреса небольших организаций, собирали конфиденциальную информацию и выводили деньги с чужих счетов на подставные, а затем пересылали их за рубеж. По предварительным оценкам, общая сумма потерь от проведения этих кибератак составляет 70 млн. долларов, хотя мошенники пытались украсть гораздо больше — порядка 220 миллионов.

Оперативники задались целью выявить не только инициаторов этих кибератак, но и авторов вредоносной программы, а также нейтрализовать немаловажное звено в криминальной инфраструктуре — пособников в отмывании краденых денег (отсюда, видимо, и название операции). Насколько известно, последних на территории США более 3,5 тысяч, как местных граждан, так и иностранцев. В Нью-Йорке даже была создана Рабочая группа по «дропам», Money Mule Working Group.

Недавно в Южном округе Нью-Йорка были выдвинуты обвинения против 37 частных лиц, помогавших легализовать капиталы, незаконно присвоенные операторами ZeuS. Практически одновременно окружной прокурор Манхэттена огласил (http://www.manhattanda.org/whatsnew/press/2010-09-30b.shtml) исковые претензии к 36-ти другим подозреваемым, которые за 2 последних месяца вывели с 34 американских счетов около 867 тыс. долларов. Все ответчики — студенты из России, Казахстана, Беларуси и с Украины, приехавшие в США в порядке обмена. Прокуратура Манхэттена не впервые оказывает правовую поддержку в рамках Trident Breach: в этом округе уже начат процесс против 19-ти задержанных, которые совокупно украли у 14-ти американцев около 100 тыс. долларов.

В Великобритании в рамках совместной операции арестованы 20 выходцев из стран СНГ; 11-ти из них предъявлены обвинения. Британские полицейские провели 8 обысков. Служба безопасности Украины (СБУ) задержала пятерых из 20-ти подозреваемых, которые, как можно догадаться, занимались отнюдь не отмыванием «грязных» денег на территории страны. По мнению ФБР, эти лица непосредственно взаимодействовали с разработчиком ZeuS, который поставлял им заказные версии этого зловреда. Совокупный ущерб, причиненный данной группировкой держателям банковских счетов, украинцы оценили в 40 млн. долларов (подсчеты ФБР оказались гораздо скромнее). СБУ также провело 8 обысков и изучает изъятые улики, которые должны послужить основанием для возбуждения уголовного дела. Участие голландской полиции в проведении Trident Breach объясняется тем, что злоумышленники использовали компьютерные ресурсы этой страны. Кроме того, среди пострадавших есть и жители Нидерландов.

Тем не менее, если заглянуть на страницу Zeus Tracker, проведение операции Trident Breach никак не отразилось на размерах глобальной популяции ZeuS. На настоящий момент количество активных C&C, управляющих этим зловредом, составляет 180 единиц. 53 из них находятся на территории России, 45 — в США, 36 на Украине, 17 в Румынии, 14 в Молдове. 18 командных серверов ZeuS размещены в сетях молдавского хостинг-провайдера StarNet, 12 — у московского хостера ООО «Вилайн Телеком» (Vline Telecom LLC), 10 на информационном портале Ялта-инфо. Чемпионом по регистрации доменов, обеспечивающих жизнедеятельность ботнетов ZeuS, является «Наунет СП» (41 домен; вся статистика приведена по состоянию на 5 октября).

Любопытно было бы проверить, как меняются эти цифры в том случае, когда одновременно с арестами функционеров соответствующие интернет-провайдеры и регистраторы наносят скоординированный удар по его сетевой инфраструктуре. Хотя при существующей, хорошо отлаженной, системе лицензирования ZeuS бот-сети на его основе не скоро переведутся.