O osem rokov neskôr sa prípad proti malvérovému gangu Mariposa pohne v USA dopredu

  • Sep 06, 2023

Federálne úrady predložili dôraznejšie žaloby proti tvorcovi Mariposa a zakladateľovi fóra Darkode.

snímka obrazovky-2018-09-06-at-17-29-01.png

Pozri al

  • 10 nebezpečných zraniteľností aplikácií, na ktoré si treba dať pozor (bezplatný PDF)

Osem rokov po tom, čo orgány činné v trestnom konaní v USA otvorili prvý prípad v operáciách lode Mariposa (Butterfly Bot, BFBOT) malware gang, úradníci teraz postupujú vpred s novými obvineniami a zatykačmi na štyroch podozrivých.

Pôvodný prípad začalo v máji 2011, keď predstavitelia USA prvýkrát podali sťažnosť na troch európskych hackerov. Vyšetrovanie operácií tejto skupiny odhalilo ríšu kyberzločinu a nakoniec viedlo k zrušeniu neslávne známeho hackerského fóra Darkode, známeho miesta stretávania špičkových hackerov.

Minulý týždeň americkí predstavitelia odpečatili nové dokumenty v rámci tohto vyšetrovania, vrátane obvinení voči štvrtému hackerovi so sídlom v USA.

Štyria podozriví sú teraz:

  • Matjaz Skorjanc, alias iserdo aka serdo, 32, Maribor, Slovinsko;
  • Florencio Carro Ruiz, známy ako NeTK alias Netkairo, 40, z Vizcaya, Španielsko;
  • Mentor Leniqi, známy ako Iceman, 35, Gurisnica, Slovinsko;
  • Thomas McCormick, známy ako fubar, 26-ročný, zo štátu Washington, v Spojených štátoch.

Škodlivý softvér Mariposa

Podľa nových súdnych dokumentov získané od ZDNettíto štyria sú poverení vytvorením a spustením škodlivého softvéru Mariposa (v súdnych dokumentoch označovaného ako Butterfly Bot alebo BFBOT; „mariposa“ znamená v španielčine „motýľ“).

Presnejšie povedané, predstavitelia USA tvrdia, že Skorjanc vytvoril malvér a potom sa spojil s Ruizom a Leniqim, aby ho inzerovali na Darkode, hackerskom fóre, ktoré Skorjanc pomohol vytvoriť a spravovať.

Americkí predstavitelia tvrdia, že títo traja dali malvér na predaj na Darkode za cenu 350 EUR od roku 2008. Podľa jej reklamy by sa malvér mohol šíriť do iných počítačov, keď infikoval obeť, mohol by ukradnúť bankové poverenia a vykonávať DDOS útoky.

Skorjanc bol autorom malvéru, ale Ruiz a Leniqi poskytli zákaznícku podporu a pomoc.

McCormick bol používateľom Darkode, ktorý kúpil a neskôr predal robota Mariposa ako pridružená spoločnosť. Predával tiež kópie bankového trójskeho koňa Zeus a tiež pracoval ako „sales manager“ pre ďalší malvérový kmeň s názvom ngrBot, ktorý vytvorili ďalší dvaja nemenovaní podozriví.

Štyria nielenže predávali kópie robota Mariposa, ale tiež aktívne infikovali obete a predávali prístup k infikovaným hostiteľom v schémy „platby za inštaláciu“, ktoré umožňujú iným počítačovým zločincom inštalovať do týchto systémov ďalší malvér, ako napríklad ransomvér alebo bankovníctvo trójske kone.

Odstránenie Mariposa a Darkode

V krátkom období iba dvoch rokov sa Mariposa stala jedným z najväčších existujúcich botnetov, ktorý infikoval viac ako milión počítačov.

Botnet sa rozrástol príliš veľa na to, aby ho bolo možné ignorovať, a bol agresívnejší ako väčšina ostatných, kvôli svojim samošíriacim sa vlastnostiam. Španielska polícia spolupracujúca s FBI, vypnúť botnet Mariposa v roku 2010.

Zastavenie šírenia bolo koordinované so zatýkaním, pričom španielske úrady zatkli Ruiza a dvoch ďalších spolusprisahancov, zatiaľ čo slovinská polícia zatkla Skorjanca a jeho priateľku.

Skorjanc dostal štyri roky a desať mesiacov väzenia v decembri 2013 a vlani ho slovinské úrady prepustili z väzenia.

Bezpečnosť

  • 8 návykov vysoko bezpečných vzdialených pracovníkov
  • Ako nájsť a odstrániť spyware z telefónu
  • Najlepšie služby VPN: Ako sa porovnáva 5 najlepších?
  • Ako zistiť, či ste zapojený do porušenia ochrany údajov - a čo robiť ďalej

Práca na vyšetrovaní operácií Mariposa však tiež nasmerovala úrady na miesto, kde sa predávala, na hackerské fórum Darkode.

Dokonca až do dnešného dňa si meno Darkode udržuje svoju povesť jedného z najznámejších hackerských fór na webe. Fórum nemalo viac ako 300 používateľov, ale všetci to boli špičkoví hackeri, ako napr tvorca malvéru Dendroid, tvorca malvéru GovRAT (taktiež známy ako BestBuy alebo Popopret), autor malvéru SpyEYE, členovia Lizard Squad a rôzne skupiny spammerov.

V lete 2015, FBI, Europol a policajné agentúry na celom svete zatvorili Skorjancovu druhú tvorbu – fórum Darkode – a zatkli viac ako 70 ľudí.

Oneskorené poplatky

Dôvody, prečo americkí predstavitelia držali obvinenia proti Skorjancovi, Ruizovi, Leniqimu a McCormickovi zapečatené až do roku 2019, nie sú jasné. Je možné, že chceli počkať, kým si Skorjanc odpyká trest odňatia slobody v Slovinsku.

Môže sa tiež stať, že chceli do svojho prípadu začleniť údaje zo zabavenia Darkode, čo sa zdá, že urobili. Nové súdne dokumenty sú plné citácií na súkromné ​​správy, ktoré si štyria vymieňali na fóre Darkode, ktoré neboli zahrnuté v pôvodnej sťažnosti z roku 2011.

Zatiaľ čo McCormick je už vo väzbe v USA a je zatknutý od decembra 2018, Skorjanc, Leniqi a Ruiz stále zostávajú na slobode.

Najhľadanejší kyberzločinci FBI

Pokrytie súvisiaceho malvéru a počítačovej kriminality:

  • Staroveký malvér ICEFOG APT sa opäť objavil v novej vlne útokov
  • 440 miliónov používateľov systému Android si nainštalovalo aplikácie s agresívnym reklamným doplnkom
  • Nemecko: Backdoor sa nachádza v štyroch modeloch smartfónov; 20 000 infikovaných používateľov
  • Microsoft varuje pred e-mailovou spamovou kampaňou zneužívajúcou zraniteľnosť balíka Office
  • I2P sieť navrhnutá ako ďalší úkryt pre kriminálne operácie
  • Botnet hrubo núti viac ako 1,5 milióna serverov RDP po celom svete
  • Dark web je menší a môže byť menej nebezpečný, ako si myslímeTechRepublic
  • Hra o tróny obsahuje najviac malvéru zo všetkých pirátskych televíznych reláciíCNET