В 2020 году Соединенные Штаты выдвинули обвинения против четырех человек, обвиняемых в создании хостинговой империи, которая когда-то доминировала в российской индустрии киберпреступности и поддерживала множество организованных групп киберпреступности. Все четверо признали себя виновными в заговоре и рэкете. Но за двумя вовлеченными русскими мужчинами стоит увлекательная и нерассказанная предыстория, которые были совладельцами крупнейшего в мире форума по спаму и тесно сотрудничали с самыми опасными российскими киберпреступниками.
С января 2005 по апрель 2013 года два основных администратора форума по киберпреступности Spamdot (также известного как Spamit), русскоязычного сообщества только по приглашению, занимающегося рассылкой спама и созданием ботнетов на зараженных компьютерах для ретрансляции указанного спама. Администраторы Spamdot использовали псевдонимы Icamis (он же Ика) и Salomon (он же Сэл).
Администратор форума Spamdot “Ика“, он же ”Icamis“, отвечает на сообщение от ”Тарелки", ботмастера ботнета Rustock. Dmsell сказал: “На самом деле я очень рад, что перешел на легальную рассылку спама”, что вызвало насмешки Тарелки и Ики.
Икамис и Сэл ежедневно общались с этими ботмастерами через форум Spamdot и личные сообщения. Коллективно контролируя миллионы зомби, извергающих спам, эти ботмастеры также непрерывно собирали пароли и другие данные с зараженных компьютеров.
Как мы сейчас увидим, Саломон сейчас за решеткой, отчасти потому, что он помог ограбить десятки малых предприятий в Соединенных Штатах, используя некоторые из тех же самых собранных паролей. В настоящее время он содержится в федеральной тюрьме в Мичигане, отбывая последний срок 60-месячного заключения.
Но личность и местонахождение Icamis до недавнего времени оставались загадкой для этого автора. В течение многих лет эксперты по безопасности — и, действительно, многие ведущие киберпреступники партнерской программы Spamit — выражали убеждение, что Сэл и Икамис, скорее всего, были одним и тем же человеком, использующим два разных имени. И было много веских причин поддержать этот вывод.
Например, в 2010 году были взломаны Spamdot и его партнерская программа для рассылки спама Spamit, и база данных пользователей показывает, что Сэл и Икамис часто заходили на форум с одного и того же интернет—адреса - обычно из Череповца, промышленного города, расположенного примерно в 230 милях к северу от Москвы. Кроме того, Icamis часто отвечал, когда участники Spamdot отправляли запрос или жалобу Сэлу, и наоборот.
Тем не менее, другие подсказки предполагали, что Икамис и Сэл были двумя разными людьми. Для начала, они часто меняли статус в своих клиентах обмена мгновенными сообщениями в разное время. Кроме того, каждый из них в частном порядке обсуждал с другими то, что учился в разных университетах.
KrebsOnSecurity начал исследовать реальную личность Icamis в 2012 году, но до недавнего времени не возвращался ни к одному из этих исследований. В декабре 2023 года KrebsOnSecurity опубликовала новые подробности о личности “Рескатора”, российского киберпреступника, который, как считается, тесно связан с утечкой данных Target в 2013 году.
Эта история, в которой упоминалась реальная личность Рескатора, была раскрыта Icamis в апреле 2013 года в рамках пространного прощального письма, которое Ика написал участникам Spamdot, в котором Ика сообщил, что закрывает форум и полностью уходит из бизнеса киберпреступности.
Никого не шокировало, что Икамис не ушел из бизнеса: он просто стал более тихим и осмотрительным в своей работе, которая все больше сосредотачивалась на оказании помощи преступным группам в выкачивании средств с банковских счетов в США. Но история с Rescator стала напоминанием о том, что 10-летние исследования того, кем является Ика / Икамис в реальной жизни, были полностью отложены в сторону. Этот пост - попытка исправить это упущение.
ДЖЕНТЛЬМЕНЫ-МОШЕННИКИ
Icamis и Сэл предложили комплексный пакет товаров и услуг, которые понадобятся любому начинающему или опытному спамеру на повседневной основе: практически неограниченные услуги по регистрации пуленепробиваемых доменов и хостинга, а также услуги, которые помогли ботмастерам обойти списки блокировки спама, созданные такими антиспам-группами, как Spamhaus.org. Вот фрагмент объявления Icamis на Spamdot от августа 2008 года, в котором он обращается к участникам форума с приветствием: “Здравствуйте, господа мошенники”.
Икамис и Сэл часто заявляли, что из-за их сервиса Spamhaus и другие группы по борьбе со спамом отстают на несколько шагов от своих операций. Но ясно, что эти операции по борьбе со спамом оказали реальное и болезненное влияние на доходы от спама, и Salomon был одержим идеей нанести ответный удар по группам по борьбе со спамом, в частности Spamhaus.
В 2007 году Salomon собрал более 3000 долларов от бот-мастеров, связанных с конкурирующими партнерскими программами по спаму, которые хотели, чтобы пострадал Spamhaus, и эти деньги были использованы для финансирования недельной распределенной атаки типа "отказ в обслуживании" (DDoS) против Spamhaus и его онлайн-инфраструктуры. Но вместо того, чтобы отвлекать свои спам-ботнеты от их обычной деятельности и тем самым снижать продажи, ботмастеры проголосовали за создание новой DDoS-ботнета путем покупки установок DDoS-вредоносного ПО на тысячи уже взломанных компьютеров (по цене 25 долларов за 1000 установок).
SALOMON
В качестве партнера Spamdot Salomon использовал адрес электронной почты ad1@safe-mail.net и пароль 19871987gr. Служба отслеживания взломов Constella Intelligence обнаружила, что пароль 19871987gr использовался для адреса электронной почты grichishkin@gmail.com. На этот адрес электронной почты зарегистрировано несколько учетных записей на имя Александр Валерьевич Гричишкин, из Череповца.
В 2020 году Гричишкин был арестован за пределами России по ордеру за предоставление услуг пуленепробиваемого хостинга бандам киберпреступников. Правительство США заявило, что Гричишкин и трое других создали инфраструктуру, использовавшуюся киберпреступниками в период с 2009 по 2015 год для распространения вредоносного ПО и атак на финансовые учреждения и жертв по всей территории Соединенных Штатов.
Среди этих клиентов были мошенники, использующие вредоносные программы, такие как Zeus, SpyEye, Citadel и Blackhole exploit kit, для создания ботнетов и кражи банковских учетных данных.
“Организация и ее члены помогали своим клиентам получать доступ к компьютерам без авторизации, красть финансовую информацию (включая банковские учетные данные) и инициировать несанкционированные банковские переводы с финансовых счетов жертв”, - говорится в жалобе правительства.
Гричишкин признал себя виновным по обвинению в заговоре и был приговорен к четырем годам тюремного заключения. Ему 36 лет, у него жена и дети в Таиланде, релиз намечен на 8 февраля 2024 года.
ИКАМИС, ВЫПУСКНИК PHANTOM
Личность Icamis стала известна, когда KrebsOnSecurity начала искать улики, которые могли бы связать Icamis с Череповцом (очевидный родной город Ики, судя по интернет-адресам, которые он регулярно использовал для доступа к Spamdot).
Исторические записи о владении доменами от DomainTools.com сообщается, что многие адреса электронной почты и домены, подключенные к Icamis, содержат имя “Эндрю Артц”, включая icamis[.]ws, icamis[.]ru и icamis[.]biz. Икамис продвигал свои услуги в 2003 году, такие как массовые домены[.]info, используя адрес электронной почты icamis@4host.info. Из одного из его рекламных роликов 2005 года:
Домены для проектов, рекламируемых спамом я могу зарегистрировать пуленепробиваемые домены для сайтов и проектов, рекламируемых спамом (конечно, они должны быть легальными). Я не могу предоставить DNS для вас, только домены. Цена составит:65 $ за домен [если вы купите менее 5 доменов]50 $ за домен [более 5 доменов]45 $ за домен [более 10 доменов]Эти цены указаны для доменов в зонах .net и .com.Если вы хотите заказать домены, напишите мне по адресу: icamis@4host.info
В 2009 году некий “Эндрю Артц” зарегистрировался на хостинге FirstVDS.com используя адрес электронной почты icamis@4host.infoС пометкой, что название компании, прикрепленное к учетной записи, было “WMPay”. Аналогично, доменный сервис icamis[.]ws был зарегистрирован на имя Эндрю Артца.
Домен wmpay.ru зарегистрирован на фонетически похожее имя “Эндрю Херц” по адресу andrew@wmpay.ru. Поиск по “icamis.ru” в Google появляется его сообщение 2003 года на дискуссионном форуме, созданном и предназначенном для учащихся Amtek, средней школы в Череповце (Icamis комментировал с интернет-адреса в Череповце).
Веб-сайт amtek-foreva-narod.ru все еще работает, и на нем есть ссылки на несколько ежегодников выпускников Amtek. В нем говорится, что ежегодник для класса Amtek за 2004 год размещен по адресу 41.wmpay[.]com.
Фотографии из ежегодника для класса Amtek за 2004 год не проиндексированы в Wayback Machine по адресу archive.org, но имена и прозвища 16 учеников остались. Однако, похоже, что запись для одного студента — администратора сайта Wmpay[.]com — в какой-то момент была удалена.
В 2004 году администратор дискуссионного форума Amtek — выпускник 2003 года, который использовал ник “Grand” — заметил, что было три человека по имени Андрей, которые закончили Amtek в 2004 году, но один из них явно отсутствовал в ежегоднике wmpay[.]ru: Андрей Скворцов.
Чтобы завершить этот круг, Icamis был Андреем Скворцовым, другим россиянином, обвиняемым вместе с Гричискиным (двое других, признавших себя виновными по обвинениям в заговоре, были из Эстонии и Литвы). Все обвиняемые по этому делу признали себя виновными в сговоре с целью участия в коррумпированной организации, находящейся под влиянием рэкетиров (RICO).
СКВОРЦОВ И КОМАНДА JABBERZEUS
Скворцов был приговорен к условному сроку и, предположительно, депортирован. Его текущее местонахождение неизвестно, и с ним невозможно связаться для комментариев по известным ему контактным адресам.
Правительство заявляет, что империя пуленепробиваемых хостингов Ika и Sal оказывала широкую поддержку крайне опасной киберпреступной группировке, известной как JabberZeus Crew, которая тесно сотрудничала с автором троянца Zeus — Евгением Михайловичем Богачевым — в разработке передовой на тот момент разновидности вредоносного ПО Zeus, предназначенной для взлома одноразовых кодов аутентификации. Богачев - ведущий российский киберпреступник, за его голову ФБР назначило награду в 3 миллиона долларов.
Команда JabberZeus крала деньги, постоянно вербуя денежных мулов, людей в Соединенных Штатах и Европе, которых можно было заманить или обманом заставить пересылать деньги, украденные у жертв киберпреступлений. Интересно, что различные адреса электронной почты Icamis связаны с веб-сайтами обширной сети фальшивых технологических компаний, которые утверждали, что им нужны люди с банковскими счетами, чтобы помогать платить своим иностранным сотрудникам.
Icamis использовал адрес электронной почты tech@safe-mail.net на Spamdot, и этот адрес электронной почты привязан к регистрационным записям нескольких фальшивых технологических компаний, которые были созданы для вербовки денежных мулов.
Один из таких сайтов — sun-technology [.]net — рекламировал себя как гонконгскую фирму по производству электроники, которая искала “честных, ответственных и мотивированных людей в Великобритании, США, AU и Новой Зеландии для работы торговыми представителями в вашем конкретном регионе и получения платежей от наших клиентов. Комиссия агента составляет 5 процентов от общей суммы, поступающей на личный банковский счет. Вы можете использовать для этих целей свой существующий банковский счет или открыть новый.”
В январе 2010 года KrebsOnSecurity сообщила новость о том, что команда JabberZeus только что использовала денежных мулов, чтобы украсть 500 000 долларов из крошечного центрального школьного округа Дуанесбург в северной части штата Нью-Йорк. В рамках отбывания наказания Скворцову приказали выплатить 497 200 долларов в качестве компенсации Центральному школьному округу Дуанесбурга.
Команда JabberZeus действовала в основном из Донецка на востоке Украины, который всегда был пророссийским, а сейчас оккупирован российскими войсками. Но когда Россия вторглась в Украину в феврале 2022 года, предполагаемый лидер печально известной банды киберпреступников — Вячеслав Игоревич Андреев (он же. Пенчуков) — сбежал от приказов об обязательной военной службе и был арестован в Женеве, Швейцария. В настоящее время он находится под стражей в федеральном суде в ожидании суда, и завтра (9 января 2024 года) ему должно быть предъявлено обвинение в федеральном суде США. Копия обвинительного заключения против Андреева находится здесь (PDF).
Андреев, он же “Танк”, замечен здесь выступающим в качестве ди-джея в Украине на фотографии без даты из социальных сетей.
Источник: https://krebsonsecurity.com