Сотрудники МВД при участии экспертов Group-IB, международной компании, специализирующейся на защите кибербезопасности, задержали в Новокузнецке (Кемеровская область) администратора ботсетей, состоящих из нескольких десятков тысяч заражённых компьютеров российских и зарубежных пользователей.
Задержанный предлагал киберпреступникам ряд услуг: на арендованных серверах он разворачивал, тестировал и обслуживал административные панели троянов, а также сам похищал учетные записи – логины и пароли почтовых клиентов и браузеров для последующей продажи на подпольных форумах. Сейчас следствие выясняет, с какими из действующих преступных групп был связан задержанный.
Расследование началось с масштабного инцидента весной 2018 года, когда c помощью трояна Pony Formgrabber, предназначенного для кражи учётных записей, хакер заразил около тысячи персональных компьютеров жителей России и других стран, получив доступ к их почтовым ящикам и переписке. Данная ботсеть просуществовала почти год – с осени 2017 года по август 2018 года, всё это время собирая с персональные данные и учётные записи. Также, задержанный предлагал на форумах в дарквебе услуги администратора и получал от киберпреступников заказы на настройку серверов управления ботсетями.
В ходе расследования эксперты Group-IB вышли на 25-летнего жителя Новокузнецка. С 15 лет он подрабатывал разработкой вебсайтов для компьютерных игр и был завсегдатаем хакерских форумов. Приобретя опыт, юноша начал получать заказы на создание и обслуживание административных панелей для управления вредоносными программами, а впоследствии стал продавать готовые админки. За настройку одной админки, по словам задержанного, он получал в среднем от тысячи до пяти тысяч рублей в криптовалютах.
Задержанный специализировался на троянах класса RAT (Remote Access Toolkit), которые позволяли получить полный доступ к заражённому компьютеру – Pony, SmokeBot, BetaBot, Novobot, njRAT, Neutrino, DiamondFox, Tresure Hunter RAMScraper (для POS-терминалов) и др.
В ходе оперативно-розыскных мероприятий на ноутбуке задержанного было обнаружено несколько десятков панелей вредоносных программ, предназначенных для управления ботсетями, которыми он руководил только за последние три месяца. Таким образом, задержанный мог администрировать ботсети, объединяющие как минимум 50 000 инфицированных компьютеров.
Задержанному предъявлено обвинение по ч. 1 ст 273 УК РФ (Создание, использование и распространение вредоносных компьютерных программ), он полностью признал вину.