Злоумышленник теряет контроль

Авторы вредоносного ПО всегда стараются скрыть, кто они такие на самом деле, верно? Неверно — даже среди нынешних киберпреступников, которых интересует лишь нажива, находятся такие, кто раскрывает информацию о себе. Удивительно, но вот правдивая история про то, как злоумышленник «представился», чтобы «получить компенсацию» у «Лаборатории Касперского» за проводимые ей антивирусные исследования.

Недавно мы заинтересовались новым сервисом для авторов вредоносных программ — [avtracker точка info]. Это онлайн-служба, позволяющая отслеживать деятельность производителей антивирусов. Главная страница [avtracker точка info] содержит описание сервиса по защите вредоносных программ от анализа со стороны антивирусных исследователей, а также призыв организовывать DDoS-атаки против антивирусных компаний:

Рисунок 1: текст с главной страницы [avtracker точка info]

Более того, наши коллеги-исследователи любезно предоставили нам сетевой запрос, который применялся для передачи информации владельцу ресурса [avtracker точка info]. Этот запрос использовался специальной шпионской программой, которую он распространял среди антивирусных лабораторий. После запуска на компьютере шпионская программа связывалась со своим хозяином и передавала ему информацию о зараженной машине. Мы поработали с этим запросом и заменили имя пользователя и параметры системы на попадавшиеся под руку строки.

Данные службы WHOIS личность владельца ресурса раскрыть не помогли — домен [avtracker точка info] был зарегистрирован анонимно. В этом нет ничего удивительного: киберпреступники обычно регистрируют домены анонимно, чтобы их было труднее вычислить.

До сих пор в этой истории не было ничего странного — обычный день из жизни антивирусной компании. Но вдруг — сюрприз! — владелец сервиса для авторов вредоносного ПО связался с нами сам и раскрыл информацию о себе. Более того, он потребовал заплатить ему 2000 евро в качестве компенсации ущерба, якобы понесенного им в результате нашей попытки «сломать» его новую игрушку.

На момент написания этого текста мы располагали упомянутой выше шпионской программой, которая содержала следующее сообщение в своем коде, указывающее на того же человека, что с нами связался:

Рисунок 2: сообщение от киберпреступника в коде шпионской программы

Конечно, мы собрали все необходимые данные и направили их нашему юристу, который предпримет соответствующие шаги. Если бы все киберпреступники так же охотно шли на контакт, как этот, жизнь антивирусных компаний была бы гораздо проще.