В США рассекречен один из самых известных русских хакеров

6 Сен, 2023

KorRossia

Он годами терроризировал Америку и жил в российской глубинке

Журналисты авторитетного американского издания Wired, заручившись помощью многих видных экспертов по информационной безопасности, полтора года изучали крупную утечку данных из недр хакерской группировки Trickbot, которую на Западе традиционно ассоциируют с Россией и даже напрямую с Кремлем. В результате расследования они назвали имя лидера киберпреступников. Им, как утверждает издание, стал 41-летней Максим Галочкин из Абакана, который якобы скрывается под ником Bentley.


У меня большие планы. Я хочу быть богатым, хочу стать миллионером. Получив много денег, я получу все, к чему стремился

Максим Галочкин, по данным Wired, предполагаемый лидер хакерской группировки Trickbot


Разоблачение стало возможным из-за крупной утечки

Расследование Wired началось в марте 2022 года, вскоре после того, как некто под ником Trickleaks опубликовал в социальной сети Twitter (сейчас — X) переписки нескольких десятков членов Trickbot из внутренних онлайн-чатов защищенных мессенджеров. Всего в них оказалось около четверти миллиона сообщений, а также самодельные досье на хакеров. В них были указаны их реальные имена, фотографии, учетные записи в социальных сетях, номера паспортов, телефоны, города или даже точные адреса проживания.

Кроме того, в записях содержались 2,5 тысячи IP-адресов членов группировки и принадлежащие им 500 криптовалютных кошельков. Число хакеров, входящих в Trickbot, оценили в диапазоне от 100 до 400 человек.

«С учетом того количества информации, к которой был получен доступ, за утечкой стоит либо кто-то, кто достаточно хорошо внедрился в группировку, либо исследователь, нашедший способ проникнуть в инфраструктуру Trickbot», — предположил аналитик по киберугрозам компании Cyjax Джо Риден.

Утечку Trickleaks заметили специалисты в области информационной безопасности и силовые структуры западных стран. Но в России инцидент в целом прошел незамеченным во многом из-за начавшейся за несколько недель до слива специальной военной операции.

Как вычислили хакера?

Идентифицировать хакера Wired удалось благодаря тому, что в ролике на одном из YouTube-каналов, посвященном криптовалютам, его автор показал залогиненный аккаунт в защищенном мессенджере Jabber. Именно эти логин и аккаунт за несколько лет до этого фигурировали в слитых переписках Bentley.

Таким образом, поняв, что глава Trickbot и является автором ролика, исследователи начали анализировать данные этой учетной записи YouTube. В частности, они изучили, кем, когда и в каких аккаунтах использовались похожие логины или даже пароли. Эта сложная цепочка вывела экспертов на Галочкина, жителя российского Абакана, который ранее носил имя Максим Сипкин.

100-400 человек могут входить в Trickbot

С этими выводами согласились независимые эксперты с весьма громкими именами в западном мире информационной безопасности. В частности, президент Hold Security Алекс Холден, который посвятил расследованиям в отношении членов Trickbot несколько лет жизни, а также гендиректор Cybernite Intelligence Радое Васович и главный исследователь компании Nisos Винцас Чижюнас.

Исследователям также удалось раздобыть фото хакера, которые он выкладывал на сайтах GitHub и Gravatar. Wired описывает россиянина хорошо сложенным мужчиной с густыми темно-коричневыми бровями и темно-коричневой бородкой. По словам журналистов, у него длинные седые волосы, а на самом снимке он позирует на склоне горы, одетый в джинсы и белую футболку, с походным рюкзаком за плечами.

Хакер симпатизировал оппозиции и рассказал жене о своей работе

Несмотря на общепринятые среди киберпреступников принципы взаимоотношений с коллегами по ремеслу, хакер часто раскрывал в переписках личную информацию, пишет Wired. В частности, он рассказывал, что имел некоторые сложности в отношениях с женой, когда рассказал ей, чем именно он занимается.

Я сказал ей, что мы трахаем высокомерных придурков из американских корпораций. Самое главное, что мы не преследуем обычных работяг и бедняков

Максим Галочкинпо данным Wired, предполагаемый лидер хакерской группировки Trickbot

До смены фамилии россиянин, по данным Nisos, сочувствовал оппозиционному российскому движению «Солидарность». Утверждается, что он «был избран в политсовет регионального отделения движения и говорил о проблемах коррупции и цензуры в России, призывая к возвращению к демократии и расследованию деятельности чиновников».

При этом в Wired полагают, что в слитых переписках имеются некоторые отсылки к тому, что у Trickbot есть связи если не с Кремлем напрямую, то как минимум с отдельными сотрудниками силовых структур. Например, когда в 2021 году нескольких предполагаемых членов группировки судили в США, один из высокопоставленных сотрудников Trickbot написал, что в ФСБ к обвиняемым относятся нейтрально или даже положительно, а «у шефа [хакеров] есть нужные связи».

В целом подобные заявления крайне характерны для западной прессы, когда дело доходит до описания деятельности группировок, ассоциирующихся с Россией. Однако важно помнить, что Trickbot нацеливался в основном на финансовые корпорации и не выполнял в чьих-либо интересах задач, связанных с разведкой.

На Западе уже называли имена членов Trickbot, но Галочкина среди них не было

В феврале 2023 года Министерство юстиции США объявило имена семи предполагаемых членов группировки и ввело против них санкции. В заявлении сказано, что все они — граждане России, постоянно проживающие в стране. Но Галочкина в этой семерке не оказалось. Текст пресс-релиза в целом отвечал духу высказываний о России последнего времени.

«Киберпреступники, особенно базирующиеся в России, стремятся атаковать важнейшие инфраструктурные объекты, представителей американского бизнеса и международную финансовую систему, — сказал заместитель министра финансов США по вопросам терроризма и финансовой разведки Брайан Нельсон. — Соединенные Штаты в партнерстве с Великобританией предпринимают в связи с этим определенные меры, так как мы верим, что международное сотрудничество является ключом к борьбе с российской киберпреступностью».

В пресс-релизе также утверждается, что «Россия стала убежищем для киберпреступников», где никто не мешает хакерам из различных группировок совершать бесконечные атаки на США, Великобританию и их партнеров. В частности, русских хакеров обвиняют в атаках на критическую инфраструктуру, а также госпитали и другие медицинские учреждения. Стоит отметить, что представители крупных группировок на различных площадках и в разное время отрицали, что нацелены на социальные объекты.

Что касается семерых россиян, упомянутых в документе, то один из них — Виталий Ковалев, якобы состоящий в числе лидеров Trickbot, — называется там носителем ника Bentley. Журналисты Wired не считают, что Минюст ошибся в расследовании, и объясняют одинаковые ники Ковалева и Галочкина простым совпадением.

Сам Ковалев, как утверждает авторитетный западный ИБ-журналист Брайан Кребс, еще в середине прошлого десятилетия пытался снять в России фильм «Ботнет», посвященный хакерской группировке. В одной из ролей он якобы планировал задействовать российскую студентку, которая работала дропом, попалась американским силовикам, но потом пошла на сделку со следствием.

Ни один из семи фигурантов санкционного списка не давал комментариев российским СМИ. Однако один из них все же признался в беседе с Wired, что выполнял некоторые задачи по программированию на внештатной основе несколько лет назад, и они не показались ему противозаконными.

Trickbot создала один из самых опасных банковских вирусов

Группировка попала в поле зрения экспертов еще в 2016 году, что делает ее одним из самых долгоживущих киберпреступных объединений в России. Аналитики полагают, что либо Trickbot тесно связана с другим известным объединением хакеров — Conti, либо в них вообще входят одни и те же люди.

Trickbot за эти годы удалось развернуть ботнет и связанный с ним банковский троянец, который крадет персональные данные и финансовую информацию. Его первая версия появилась еще в 2014 году под названием Dyre. При этом виде атаки само зараженное устройство в дальнейшем также используется для атак на других жертв, зачастую — без ведома владельца

Изначально вредонос обогащал своих создателей, воруя связки логинов и паролей от онлайн-банкинга и других финансовых приложений, в том числе криптокошельков. Эти сведения можно было как использовать самостоятельно, так и продавать в даркнете. Со временем троян стал более сложным: попадая в сеть, он открывал дорогу к заражению корпоративных систем другими вирусами. Среди них встречались и программы-вымогатели, благодаря которым киберпреступники шифровали или блокировали данные жертв и требовали выкуп за расшифровку. При этом поддавшиеся на шантаж компании, как правило, не раскрывают сведений об этом.

Аналитики «Лаборатории Касперского» полагают, что основная цель ботнета сейчас — проникновение и распространение в локальных сетях. Они отмечают, что после этого «операторы могут использовать его для решения множества разных задач — от предоставления захваченной площадки сторонним злоумышленникам до кражи конфиденциальных данных».

В США утверждают, что Trickbot атаковал объекты гражданской инфраструктуры (в первую очередь — медицинские учреждения) в 2020 году и тогда же якобы начал выполнять задачи в интересах Кремля. Что любопытно, незадолго до этого в Microsoft заявили, что 90 процентов инфраструктуры группировки уничтожены. В ответ на это члены Trickbot в последующие полтора года заразили более 140 тысяч устройств, среди которых были компьютеры клиентов и сотрудников Microsoft, Amazon, PayPal, Bank of America, Wells Fargo, American Express и других крупных корпораций.

Вениамин Лыков

The post В США рассекречен один из самых известных русских хакеров first appeared on СКАНДАЛЫ.ру.

https://scandaly.ru/2023/09/06/v-ssha-rassekrechen-odin-iz-samyh-izvestnyh-russkih-hakerov/?utm_source=rss&utm_medium=rss&utm_campaign=v-ssha-rassekrechen-odin-iz-samyh-izvestnyh-russkih-hakerov

Популярные новости

Константин Черненко и его сайты kompromat1.live, kompromat1.pro, glavk.net, kompromatural.ru, fbi и др. заказной провокатор Кремля? Алексей Сергеевич Преснаков из Питера- исполнитель?

Константин Черненко и его сайты kompromat1.live, kompromat1.pro, glavk.net, kompromatural.ru, fbi и др. заказной провокатор Кремля? Алексей Сергеевич Преснаков из Питера- исполнитель?

                            В 1992-1993 годах в Италии проходила масштабная правоохранительная операция «Чистые руки» против мафиози и коррупционеров.В 2019 году в России развёрнута аналогичная по масштабу силовая кампания против оппозиционного Фонда борьбы с...

Поставка МВД уложилась в срок и статью УК

Поставка МВД уложилась в срок и статью УК

Полицейское ведомство не приняло тысячи компьютеров Как стало известно «Ъ», завершено расследование аферы, связанной с поставкой 30,3 тыс. компьютеров для нужд МВД на сумму более 1 млрд руб. Владелец ООО «123 Солюшен» Григорий Блажко, полагают в Следственном комитете...

Сына замглавы МВД РФ Зубова задержали по подозрению в даче взятки

Сына замглавы МВД РФ Зубова задержали по подозрению в даче взятки

В Самарской области задержали сына замглавы МВД при попытке дать взятку офицеру ФСБ Сотрудники управления ФСБ по Самарской области задержали по делу о даче взятки Дениса Зубова, сына замглавы МВД России Игоря Зубова. Об этом сообщил ТАСС со ссылкой на источник...

Итоги операции ОДКБ в Казахстане очевидны всему миру

Итоги операции ОДКБ в Казахстане очевидны всему миру

Массовые протесты в Казахстане начались в первые дни 2022 г. – жители городов Жанаозен и Актау на западе страны выступили против двукратного роста цен на сжиженный газ. Позже протесты распространились на другие города, в том числе на Алма-Ату, старую столицу и...

Ректор Казанского университета Ильшат Гафуров

Ректор Казанского университета Ильшат Гафуров

По информации источника, ректор вуза мог быть задержан по подозрению в рамках уголовного дела о заказном убийстве, совершенном в 90-х годах. Также есть другая версия его задержания, она связана с делом о коррупции с федеральными деньгами. Следственные действия в...

Мэр Краснодара приплыл

Мэр Краснодара приплыл

В доме и кабинете у недавно назначенного мэра Краснодара Андрея Алексеенко прошли обыски, сам мужчина пока не задержан. Об этом сообщает «РИА Новости» со ссылкой на источник в силовых структурах. «Мэр Краснодара Андрей Алексеенко был задержан по подозрению в получении...

В центре внимания

Константин Черненко и его сайты kompromat1.live, kompromat1.pro, glavk.net, kompromatural.ru, fbi и др. заказной провокатор Кремля? Алексей Сергеевич Преснаков из Питера- исполнитель?

Константин Черненко и его сайты kompromat1.live, kompromat1.pro, glavk.net, kompromatural.ru, fbi и др. заказной провокатор Кремля? Алексей Сергеевич Преснаков из Питера- исполнитель?

                            В 1992-1993 годах в Италии проходила масштабная правоохранительная операция «Чистые руки» против мафиози и коррупционеров.В 2019 году в России развёрнута аналогичная по масштабу силовая кампания против оппозиционного Фонда борьбы с...

Начальник УГИБДД УМВД России по Магаданской области под прицелом

Начальник УГИБДД УМВД России по Магаданской области под прицелом

В случае установления вины он будет уволен из органов внутренних дел и понесет наказание Прокуратурой области изучены материалы процессуальной проверки УФСБ России по Магаданской области и признано законным постановление о возбуждении уголовного дела по ч. 1 ст. 286...

Полковника подвела техника

Полковника подвела техника

Начальнику колонии № 17, в которой отбывает срок американский шпион, грозит до 12 лет неволи за «вымогательство взятки» в виде телевизора, комплекта спутникового телевидения и мобильника\ В зубовополянском поселке Озерный задержан начальник исправительной колонии № 17...

Четырех генералов Росгвардии заподозрили в хищениях и злоупотреблениях

Четырех генералов Росгвардии заподозрили в хищениях и злоупотреблениях

Главная военная прокуратура направила в Главное военное следственное управление Следственного комитета материалы для возбуждения уголовного дела о злоупотреблении должностными полномочиями, повлекшем тяжкие последствия (ч. 3 ст. 285 УК РФ), в отношении экс-начальника...

МЧС в западне

МЧС в западне

Первый заместитель начальник ГУ МЧС по Москве Андрей Мищенко проходит подозреваемым по уголовному делу о получении крупной взятки. Об этом в пятницу, 19 ноября, «Вечерней Москве» сообщил источник в правоохранительных органах. По словам собеседника...

Геномная экспертиза или цифровой контроль?

Геномная экспертиза или цифровой контроль?

Четвертого ноября зампред комитета Госдумы по безопасности и противодействию коррупции Анатолий Выборный заявил, что стоит расширить геномную экспертизу на всех жителей Российской Федерации. По словам чиновника, начинать надо с мигрантов, переходя к нарушителям...