Уважаемые читатели, злопыхатели, фанаты и PR-агенты просим продублировать все обращения за последние три дня на почту [email protected] . Предыдущая редакционная почта утонула в пучине безумия. Заранее спасибо, Макс

Кибергруппа «Али-Баба и 4» выкачала $2 млн. в открытую

06.02.2020 13:36


Соцсеть Facebook идентифицировала пятерых членов группы «Али-Баба и 4», которая заразила сотни тысяч компьютеров по всему миру, распространяя вирус Koobface через блог-сервисы и Facebook, и планирует назвать их имена, сообщила вчера газета The New York Times. Вирус Koobface был обнаружен еще в июле 2008 г. Пользователи соцсетей стали получать от друзей ссылки на видео; тех, кто кликал по ним, система призывала обновить Flash-плейер, и вместе с обновлением они получали вирус. В 2010 г., на пике активности сеть зараженных компьютеров Koobface объединяла 400 000-800 000 ПК, оценивала «Лаборатория Касперского».

Предполагаемые авторы Koobface — петербуржцы Антон Коротченко, Станислав Авдейко, Святослав Полищук, Роман Котурбач и Александр Колтышев, пишет The New York Times. Впервые их вычислил еще два года назад и назвал участникам интернет-рынка и правоохранительным органам независимый исследователь из Германии Ян Дремер. Теперь же Facebook решила предать их имена гласности.

Предполагаемые участники «Али-Баба и 4» и не думают прятаться — они общаются в соцсетях, вывешивают личные фото в интернете, а Коротченко даже пользуется сервисом Foursquare, по которому легко узнать о его местопребывании (включая расположение офиса).



На фотохостинге Picasa корреспондент «Ведомостей» нашел фотоальбомы Авдейко со снимками его коллег, квартиры и автомобиля с госномером. А болгарский специалист по информационной безопасности Данчо Данчев разместил на своем сайте фотографии Коротченко (на одной из них виден номер его загранпаспорта), ссылки на его страницы в Livejournal, «В контакте» и даже номера его мобильных телефонов.


Антон Коротченко


Антон Коротченко

По одному из этих номеров дозвонился и корреспондент «Ведомостей». «Это все ложь» — так прокомментировал Коротченко публикацию в The New York Times, а на вопрос о готовности судиться с этой газетой рассмеялся.

С весны 2011 г. Koobface прекратил рассылать сообщения в Facebook, говорит главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев. Имена россиян раскрыли потому, что против них нет весомых доказательств или российские правоохранительные органы не считают их убедительными, рассуждает директор по развитию новых технологий Inpas Максим Эмм. Теперь же россиянам могут усложнить путешествия за пределы страны, ожидает он.

Роман Дорохов

****

Как ловили "червя" Koobface

[…] Создатели компьютерного «червя» Koobface, атакующего социальную сеть Facebook, живут в Санкт-Петербурге, не отказывают себе в расходах на курортах и регулярно отмечаются на геолокационном сервисе Foursquare, рассказали The New York Times в службе безопасности Facebook и нескольких независимых исследовательских фирмах, специализирующихся на аудите интернет-угроз.

По данным аналитиков социальной сети, «червя» запустили программисты Антон Коротченко, использующий псевдоним KrotReal, Станислав Авдейко, известный в сети как leDed, Святослав Полищук — PsViat и PsycoMan, Роман Котурбач с псевдонимом PoMuc и Александр Колтышев с ником Floppy.

Они проживают в Санкт-Петербурге, пишет NYT, отпуск проводят в Монте-Карло, Турции или на Бали. [...]

Koobface gang была основана в 2008 году. Группа рассылала пользователям Facebook предложения посмотреть забавные ролики или же видео сексуального характера. Те, кто нажимал ссылку, получали сообщение с информацией об обновлении программного обеспечения Adobe Flash.

На самом деле в компьютер загружалось вредоносное ПО от Koobface.

Сетевых «червей» в соцсетях MySpace и Facebook обнаружили эксперты Лаборатории Касперского в 2008 году. По их информации, «черви» Net-Worm.Win32.Koobface.a и Net-Worm.Win32.Koobface.b заражали компьютеры для создания так называемых ботнетов, с которых в дальнейшем происходила рассылка спама.

Распространение червей в социальных сетях происходило через добавление различных комментариев к профилям друзей пользователя в MySpace и через рассылку спамовых сообщений в Facebook.com., содержащих следующие тексты: «Examiners Caught Downloading Grades From The Internet» («Экзаменаторы поймали выпускников на скачивании из интернета»), «Hello; You must see it!!! LOL. My friend catched you on hidden cam» («Здорово! Ты должен это увидеть. Мой друг снял тебя на скрытую камеру»), «Is it really celebrity? Funny Moments and many others» («Это и правда знаменитость? Забавные моменты и многое другое»).

По данным Лаборатории Касперского, сеть Koobface насчитывала в 2010 году от 400 до 800 тысяч зараженных компьютеров по всему миру, а пользователи часто не подозревали, что их компьютеры являлись разносчиками вредоносного ПО.

В 2010 году технический аналитик канадской исследовательской компании Information Warfare Monitor Нарт Вильнев представил исследование, в котором раскрыл структуру бизнеса ботнетов. [...]

После обнародования информации о членах Koobface gang компания по IT-безопасности Sophos опубликовала собственное независимое расследование, которое она проводила в отношении группы. Результаты относятся к периоду с октября 2009 года по февраль 2010 года.

«Это невероятная детективная история безостановочного расследования, в ходе которого очищался интернет, проводились поиски документации и использовались ошибки, которые были сделаны хакерами, их семьями и друзьями в социальных сетях. Мы знаем имена членов банды, их телефонные номера, местонахождение их офиса, их лица, марки их авто и номера мобильных телефонов, — цитирует The next web ведущего технического консультанта Sophos Грэма Клули. — Теперь остается ждать, какие меры предпримут правоохранительные органы в отношении Koobface gang». […]
Анастасия Матвеева

Газета.Ру, 17.01.2012

****

За год ботнет Koobface собрал $2 млн

Поздно вечером в пятницу были остановлены управляющие серверы одного из интереснейших ботнетов современности — Koobface. Об этом сообщил PC World со слов ведущего сотрудника SecDev Group Нарта Вильнева (Nart Villeneuve). [...]

Эксперт сумел доказать принадлежность трех серверов, подключенных через английского провайдера Coreix, к Koobface. После того, как SecDev привлекла к расследованию английскую полицию, провайдер лишил серверы доступа к Сети. [...]

Червь Koobface известен более двух лет. Он примечателен тем, что стал первым ботнетом, активно использующим для заражения компьютеров Facebook, и само его имя представляет собой анаграмму названия крупнейшей в мире социальной сети.

Для вовлечения пользовательских компьютеров во вредоносную сеть ботнет рассылает по контактам уже зараженных компьютеров предложение кликнуть на смешной видеоролик, для чего пользователю требуется обновить flash-плеер. После перехода по ссылке на компьютер жертвы устанавливается вредоносное Java-приложение. Помимо Facebook, Koobface распространяется через MySpace, Twitter и другие соцсети.



Koobface просит пользователей соцсетей обновить флеш-плеер. Вместо плеера на их компьютер устанавливается троян

Другая интересная особенность Koobface — его работоспособность на компьютерах под управлением Mac OS X. Операционная система, разработанная Apple, считается чрезвычайно устойчивой к заражениям. О ее подверженности Koobface стало известно в 2010 г.

Заражая компьютеры своих жертв, Koobface перенаправляет пользователей на страницы с ложными антивирусами, требующими оплаты за лечение со счета в банке или по SMS. Как сообщает Нарт Вильнев, выручку хозяевам червя обеспечивали именно владельцы этих страниц.

Один из центральных серверов, обезвреженных этой ночью, Mothership, использовался для отслеживания финансовых потоков группы владельцев Koobface. Собственно, предположение о принадлежности Koobface выходцам из России основано на том, что сервер ежедневно отправлял SMS на четыре российских мобильных номера — в них содержался краткий отчет о дневном движении средств на счетах. […]

Основываясь на данных Mothership, исследователи ботнета говорят, что за сутки хозяевам Koobface удавалось как потерять $1,014 тыс. (15 января 2010 г.), так и заработать $19,9 тыс. (23 марта 2010 г.).

В целом Koobface был довольно прибыльным бизнесом. Будучи первым ботнетом, который начал работать с Facebook, за год между июнем 2009 г. и июнем 2010 г. он принес своим владельцам больше $2 млн.

Владислав Мещеряков

Cnews.ru, 13.11.2010