Брайан Кребс — американский журналист, занимающийся расследованием киберпреступлений и автор блога KrebsOnSecurity.com, рассказывающего о компьютерной безопасности и киберпреступности. В одном из недавних расследований он нашел некоторые подробности биографии недавно взломанного майнингового сервиса NiceHash.
6 декабря 2017 года пользователей NiceHash обокрали — подробно об этом мы писали тут. В прошедшие после кражи две недели популярными стали две версии: или это действительно хакеры, или майнинговый маркетплейс сам инсценировал кражу. Каково же было удивление пользователей, когда они узнали, что главный технический директор NiceHash отсидел несколько лет в тюрьме за торговлю ботнетами и является создателем англоязычного форума для киберпреступников.
В декабре 2013 года технический директор NiceHash Матьяж Шкорьянц (Matjaž Škorjanc) получил почти пять лет лишения свободы за создание вредоносного программного обеспечения для ботнета Mariposa (в переводе с испанского — «бабочка»), который впервые был обнаружен в 2008 году. За время своего существования Mariposa заразил более 1 млн. компьютеров, став одним из крупнейших ботнетов в мире.
Больше известная среди пользователей как ButterFly Bot вредоносная программа позволяла даже новичкам создавать глобальную сеть, способную собирать данные с тысяч заражённых компьютеров и использовать их для атак на веб-сайты. ButterFly Bot продавался по цене от $500 до $2000.
До ареста в Словении в 2010 году по обвинению в киберпреступлениях Шкорьянц был известен среди своих коллег как Iserdo, администратор и основатель форума Darkode. На Darkode Iserdo продавал своего Butterfly Bot людям, которые использовали его для разных незаконных целей: от кражи паролей и номеров кредитных карт до рассылки спама и сбора данных.
В июле 2015 года американские власти закрыли форум, и несколько его ключевых участников были арестованы. Министерство юстиции США в то время заявляло, что Darkode представляет собой «одну из самых серьёзных угроз для данных на компьютерах в Соединенных Штатах и во всём мире и является самым прогрессивным англоязычным форумом в мире киберпреступности».
Матьяж категорически отрицал какую-либо причастность к исчезновению биткоинов с маркетплейса. В интервью словенскому изданию Delo.si он описал кражу, «как если бы похитили его ребенка и прямо на глазах отрезали ему конечности».
СМИ предположили, что злоумышленники смогли совершить кражу, получив учётные данные пользователя с правами администратора NiceHash — после этого им бы понадобилось менее часа для взлома серверов площадки и кражи 4465 биткоинов.
Источник, связанный с расследованием, сообщил KrebsOnSecurity, что хакеры NiceHash использовали VPN с корейским адресом, хотя словенские следователи не уточняют, идёт ли речь о Северной или Южной Корее. На этой неделе CNN, Bloomberg и ряд других западных СМИ объявили, что северокорейские хакеры активизировались в плане кражи и вымогательства биткоинов в связи с подорожанием криптовалюты.
Блокчейн биткоина позволяет легко увидеть, когда и куда перемещается криптовалюта, и клиенты NiceHash внимательно следили за адресом с украденными средствами. 13 декабря кто-то, кто контролировал этот аккаунт, начал переводить биткоины на другие счета.
На своей домашней странице NiceHash написала, что находится на завершающей стадии повторного запуска. Также компания заявила:
Ваши биткоины были украдены, и мы сотрудничаем с международными правоохранительными органами для поиска преступников и возвращения похищенных средств. Мы понимаем, что это может занять некоторое время, и работаем над решением для всех пострадавших пользователей… Если у вас есть какая-либо информация об атаке, пожалуйста, напишите нам на электронную почту. Наиболее ценную информацию мы оплатим в BTC.
Многие пользователи заявляют, что не вернутся на ресурс, пока не получат обратно похищенные биткоины.
Хотите больше новостей? Facebook. Быстрее всех? Telegram и Twitter. Подписывайтесь!