Контакты
Подписка
МЕНЮ
Контакты
Подписка

Операторы латвийского хакерского аналога VirusTotal экстрадированы в США

Операторы латвийского хакерского аналога VirusTotal экстрадированы в США

Операторы латвийского хакерского аналога VirusTotal экстрадированы в США


10.07.2017



Журналистам издания Bleeping Computer стало известно, что правоохранительные органы США предъявили обвинения двум гражданам Латвии: Руслану Бондарю (Ruslans Bondars) и Юрию Мартышеву (Jurijs Martisevs). Их обвиняют в тайном сговоре с целью совершения электронного мошенничества, электронном мошенничестве, подстрекательстве к преступлению, а также в причинении вреда компьютерным системам. По данным Министерства юстиции США, эти двое много лет управляли сервисом для киберпреступников, с помощью которого те могли проверить свою малварь и узнать, "видят" ли ее антивирусные решения.

Подобные сервисы на Западе называют no distribute сканнерами. По сути, принцип их работы аналогичен работе VirusTotal, с той разницей, что нелегальные сканеры не делятся данными с производителями антивирусных продуктов и блокируют телеметрию. Такие ресурсы часто используют разработчики малвари, чтобы убедиться в том, что их пейлоад не вызывает срабатывания защитных решений и механизмов.

Согласно обвинительному акту, составленному сотрудниками Министерства юстиции США, Бондарь и Мартышев администрировали сканер с 2006 года и активно рекламировали свои услуги в даркнете. Название сервиса не раскрывается, но сообщается, что у ресурса было более 30 000 клиентов, и он являлся одним из крупнейших в своем роде. Известно, что ресурс хостился в Amazon Web Services, а оплату администраторы принимали через PayPal, зарегистрированный на Мартышева.

В документах сказано, что малварь, проходившая через данный сканер (трояны, кейлоггеры, криптеры и так далее), позже использовалась в ходе атак на американские предприятия и была хорошо "знакома" сотрудникам ФБР. Кроме того, операторы сканера предлагали своим клиентам API, который можно было интегрировать в их "продукты". К примеру, авторы различных кейлоггеров и RAT могли интегрировать API сканера в свои вредоносы, и пользователи этих тулкитов получали возможность узнать о том, что сгенерированный ими пейлоад может быть обнаружен антивирусами.

Правоохранители пишут, что им удалось идентифицировать одного из клиентов сервиса — это автор кейлоггера, который фигурирует в бумагах как Z.S. По данным следствия, данный кейлоггер был продан более чем 3000 человек и использовался для заражения 16 000 устройств.

Из документов следует, что злоумышленники выполняли разные обязанности. Так, Бондарь занимался поддержанием инфраструктуры сканера и технической стороной дела, тогда как Мартышев осуществлял техническую поддержку клиентов через ICQ, Skype, Jabber и электронную почту.

Интересно, что по информации "Интерфакса", российское посольство в Вашингтоне расценило экстрадицию Юрия Мартышева из Латвии в США как "очередной случай похищения гражданина РФ американскими властями в нарушение двустороннего соглашения о взаимной правовой помощи по уголовным делам". Дело в том, что в бумагах Министерства юстиции Мартышев назван латвийским гражданином, который проживал в Риге (Латвия) и Москве, но, судя по всему, он имел двойное гражданство. Дипломаты заверили, что Мартышеву оказывается "консульская помощь и иное содействие".

Хотя название сканера изъято из всех документов, ИБ-специалисты предполагают, что речь может идти о ресурсе Scan4You, который действительно являлся одним из крупнейших no distribute сканеров в мире и неожиданно прекратил свою работу весной 2017 года. Впрочем, в последнее время из виду так же пропали сайты AnonScanner, RazorScanner и BlackShades Scanner.

Хакер