Unfamer

При открытии этого файла появится стандартное уведомление безопасности Windows, но только в том случае, если соответствующая опция не была отключена в системных настройках. После подтверждения от пользователя, вредоносный файл будет запущен.

Специалисты «Лаборатории Касперского» выявили сразу несколько сценариев реальной эксплуатации бага. Так, атака использовалась для получения контроля над системой жертвы путем изучения окружения и установки дополнительных модулей. На первой стадии такой атаки жертве отправляли загрузчик, написанный на .Net и использующий Telegram API в качестве командного протокола. То есть для управления использовался Telegram-бот, причем команды были реализованы на русском языке.

Перечень доступных команд показывает, что бот мог скрытно разворачивать на целевой системе произвольные бэкдоры, логгеры и другое вредоносное ПО. В таблице ниже перечислен полный список команд.

«Онлайн-Отправить управляющему боту список файлов из своей директории.
«Запус-Запустить исполняемый файл через Process.Start().
«Логгер-Проверяет, запущен ли процесс tor, скачивает logg.zip, распаковывает, удаляет сам архив и запускает содержимое.
«Скачать-Скачать файл в свою директорию.
«Удалить-Удалить файл из своей директории.
«Распаковать-Распаковать архив с указанным паролем из своей директории.
убить-Остановить указанный процесс через process.Kill()
скачат-То же, что «»Скачать», отличается только парсинг команды.
запуск-То же, что «»Запус», отличается только парсинг команды.
удалить-То же, что «»Удалить», отличается только парсинг команды.
распаковать-То же, что «»Распаковать», отличается только парсинг команды.
процессы-Отправить управляющему боту список запущенных на ПК процессов.

Кроме того на устройства пострадавших пользователей устанавливали криптовалютные майнеры. На первой стадии атаки использовался SFX-архив со сценарием, запускающим содержащийся в нем исполняемый файл run.exe. Этот файл на самом деле являлся BAT-файлом. После извлечения самого batch-скрипта он выглядел следующим образом:

Первым делом вредонос открывал файл-приманку, который в рассматриваемом случае являлся картинкой, необходимой для усыпления бдительности жертвы. Далее поочередно стартовали майнеры, причем они запускались как сервисы, с помощью утилиты nssm.exe, упакованной в тот же SFX-архив.

Так, nheq.exe запускал Equihash-майнер для NiceHash (добывал криптовалюту Zcash), способный задействовать ресурсы ЦП и графического ускорителя. В свою очередь, taskmgn.exe — это еще один широко известный майнер, работающий по алгоритму CryptoNight, который майнил криптовалюты Fantomcoin и Monero.

Эксперты обнаружили и другие вариаций данного batch-скрипта, некоторые из которых обладали дополнительными возможностями. К примеру, могли отключать защитные системы Windows, а после этого авторизоваться на FTP-сервере злоумышленников, скачивать и запускать полезную нагрузку. Последняя представляла собой SFX-архив, начиненный новыми майнерами и клиентом Remote Manipulator System — аналогом TeamViewer. Используя скрипты AutoIt, малварь разворачивала на атакуемой системе RMS для последующего удаленного доступа.

Еще один сценарий атаки (см. схему выше), как и в предыдущем случае, начинался с SFX-архива, который при открытии запускал содержащийся внутри VBS-скрипт. Его основная задача так же заключалась в открытии картинки для отвлечения внимания жертвы, а затем он скачивал и запускал полезную нагрузку: SFX-архив со следующим сценарием.

Скрипт svchost.vbs контролировал запуск майнера CryptoNight (csrs.exe), следил за списком процессов и при обнаружении среди них диспетчера задач (taskmgr.exe, processhacker.exe) завершал процесс майнера с последующим перезапуском (после того как диспетчер будет закрыт). Адрес пула соответствовал криптовалюте Monero.

«Мы не обладаем точной информацией о том, как долго и в каких версиях была открыта уязвимость, но, со своей стороны, можем отметить, что случаи эксплуатации начались в марте 2017 года. Мы уведомили разработчиков о проблеме, и на сегодняшний день уязвимость не проявляется в продуктах Telegram», — резюмирует исследователь.

Гонсалес и его сообщники использовали внедрение SQL-кода для развертывания бэкдоров на несколько корпоративных систем для запуска перехватчика пакетов (в частности, ARP спуфинга), которые позволили ему украсть данные внутренних корпоративных сетей.

Во время своего запоя он, как говорили, спустил $75000 на вечеринку ко дню рождения и жаловался на то, что ему приходиться считать $340000 вручную из-за того, что его валютно-счетная машина сломалась. 

Гонсалес получил три федеральных обвинения:

В мае 2008 года в Нью-Йорке по делу Dave & Busters (суд прошел в сентябре 2009 года)
В мае 2008 года в штате Массачусетс по делу TJ Maxx (суд прошел в начале 2010 года)
Августа 2009 года в Нью-Джерси в связи с Heartland Payment.
25 марта 2010 года Гонсалес был приговорен к 20 годам заключения в федеральной тюрьме.

Гонсалес вместе с его командой были представлены в 5-м эпизоде сезона сериала CNBC «Американская Жадность» под названием «Хакеры: Операция Get Rich Or Die Tryin».

Ранняя жизнь

Родители Гонсалеса, которые иммигрировали в Соединенные Штаты с Кубы в 1970-е годы, купили Альберту первый компьютер, когда ему было 8 лет.

Он ходил в среднюю школу Майами, штат Флорида, где был описан как «проблемный» лидер компьютерных ботаников. В 2000 году он переехал в Нью-Йорк, где жил в течение трех месяцев до переезда в Кирни, штат Нью-Джерси.

Гонсалес в 2001 на DefCon в Las Vegas

ShadowCrew

Будучи в Кирни, он был обвинен в том, что является вдохновителем группы хакеров под названием ShadowCrew, которая разместила на продажу 1,5 миллиона украденных кредитных карт и номеров ATM. Хоть и считавшись вдохновителем мошеннической схемы (работающим на сайте под ником «CumbaJohnny»), обвинен он не был. 

Согласно обвинительному заключению, 4000 человек зарегистрировались на сайте shadowcrew.com. После регистрации они могли купить украденные номера счетов или поддельные документы на аукционе или читать учебники и «How-To», описывающие применение криптографии в магнитных полосах кредитных карт, дебетовых карт и банковских карточек так, чтобы их номера можно было использовать. 

Модераторы сайта наказывали членов, которые не соблюдают правила сайта, а так же возвращали деньги, если украденные номера карт оказались недействительными.

В дополнение к номерам карт, многие другие объекты кражи личных данных были проданы на аукционе, в том числе поддельные паспорта, водительские удостоверения, карты социального страхования, кредитные карты, дебетовые карты, свидетельства о рождении, удостоверения студента колледжа и карты медицинского страхования. 

Один из участников продал 18 миллионов учетных записей электронной почты с соответствующими именами пользователей, паролями, датами рождения, а также другой личной информацией. Большинство обвиняемых были участники, фактически продававшие нелегальные вещи. Пользователи, которые держали или модерировали сайт, были обвинены заочно, в том числе и те, кто пытались зарегистрировать доменное имя Shadowcrew.cc

Секретная служба окрестила свое расследование «Операция Firewall» и полагала, что к тому моменту было украдено $ 4,3 млн. т.к. Shadowcrew поделилась своей информацией с другими группами: Carderplanet и Darkprofits. 

Расследование проводили подразделения из США, Болгарии, Белоруссии, Канады, Польши, Швеции, Нидерландов и Украины. Гонсалес был первоначально обвинен в хранении 15 поддельных кредитных и дебетовых карт в Ньюарке, штат Нью-Джерси, хотя он избежал тюремного заключения, предоставляя доказательства для секретной службы Соединенных Штатов против его сообщников. 19 членам ShadowCrew были предъявлены обвинения. Гонсалес затем вернулся в Майами.

TJX Компании

Сотрудничая с властями, он сказал, что планировал взлом TJX компаний, у которых в 2007 за 18 месяцев украли 45,6 млн кредитных и дебетовых карт. В 2005 было взломано 40 миллионов записей в CardSystems Solutions. Гонсалес c десятью сообщниками искали уязвимости в беспроводных сетях вдоль Трассы 1 в Майами. Они взломали карты в клубе BJ's Wholesale Club, DSW, Office Max, Boston Market, Barnes & Noble, Sports Authority и T.J. Maxx.

Обвинители Гонсалеса называли его по никнеймам: «cumbajohny», «soupnazi», «segvec», «kingchilli» и «stanozlolz.»

Взлом был затруднением для TJ Maxx, которые обнаружили взлом в декабре 2006 года. Компания изначально считала, что взлом начался в мае 2006 года, но дальнейшее расследование показало, что все началось в июля 2005 года.

Один из предполагаемых соучастников Гонсалеса, Стивен Ватт, был 7 футов высотой, и известен в мире хакеров как «Unix Terrorist» и «Jim Jones.» Ватт работал в Morgan Stanley в Нью-Йорке и написал программу-перехватчик.

Арест

Гонсалес был арестован 7 мая 2008 года по обвинению во взломе корпоративной сети Dave & Buster в Islandia, Нью-Йорк. Инцидент произошел в сентябре 2007 года, когда украли около 5000 номеров карт. Мошеннические сделки на общую сумму $600 000 были зарегистрированы на 675 карт.

Власти начали что-то подозревать после того, как заговорщики продолжали возвращаться в ресторан, чтобы вновь взломать сеть, чтобы перезапустить атаку, так как она не перезапускается, если компьютеры были выключены.

Гонсалес был арестован в номере 1508 в National Hotel в Майами-Бич, штат Флорида. В связанных с этим делом арестах власти изъяли $1,6 млн наличными (в том числе $1,1 млн в пластиковых мешках в барабане, зарытом на заднем дворе его родителей), его ноутбуки и пистолет Glock.

Чиновники заявили, что Гонсалес жил в скромном доме в Майами.

Он пребывал в столичном Центре заключения в Бруклине, когда ему было предъявлено обвинение в нападениях на Heartland.

Соучастники

По этому же делу с Гонсалесом проходило ещё несколько человек из США. Их обвинили и осуждили следующим образом:

Stephen Watt было предъявлено обвинение в предоставлении инструмента кражи данных в случае кражи личных данных. Стивен Уатт был приговорен к двум годам лишения свободы и 3 годам под наблюдением властей. По распоряжению суда он был также обязан выплатить $171 500 000 реституции.

Damon Patrick Toey признал себя виновным в мошенничестве, мошенничестве с кредитными картами и краже личных данных при отягчающих обстоятельствах и получил пять лет заключения.

Christopher Scott признал себя виновным в заговоре, несанкционированном доступе к компьютерным системам, мошенничестве с устройствами доступа и краже личных данных. Он был приговорен к семи годам.

Платежные системы Heartland

В августе 2009 года Гонсалес был обвинен в Ньюарке, штат Нью-Джерси по делу о взломе Heartland Payment Systems, Citibank банкоматов 7-Eleven и компьютерных системHannaford Brothers. Heartland приняли на себя основную часть атаки, при которой украли 130 млн. номеров карт. У Hannaford было украдено 4,6 млн номеров. Два других розничных торговца не были раскрыты в обвинительном заключении. Тем не менее, адвокат Гонсалеса сказал StorefrontBacktalk, что двое из розничных торговцев были J.C. Penney и Target Corporation. Heartland сообщили, что в результате нападения, включая судебные издержки, она потеряла $ 12,6 млн. Гонсалес якобы назвал схему «Операция Get Rich Or Die Tryin».

Согласно обвинительному заключению, нападение Гонсалеса и двух неизвестных хакеров „в пределах или вблизи России“ вместе с заговорщиком „P.T.“ из Майами началось 26 декабря 2007 года в Heartland Payment Systems, в августе 2007 года на 7-Eleven, и Hannaford Brothers в ноябре 2007 года, а так же две других неидентифицированных компании. Гонсалес и его соратники нацеливались на крупные компании и изучили их терминалы, а затем совершили атаку с подключенных к Интернету компьютеров в Нью-Джерси, Иллинойсе, Нидерладнах, Украине.

Они осуществляли свои атаки через Интернет, используя множество ников в чатах, хранили данные, связанные с их атаками на нескольких хакерских платформах, отключали программы, регистрирующие входящий и исходящий трафик и маскировались за счет использования „прокси“.

Обвинительное заключение гласит, что хакеры проверили свою программу на 20 анти-вирусных программах.

Rene Palomino Jr., адвокат Гонсалеса, обвиняется в блоге на сайте New York Times, в том, что обвинительное заключение выросло из склоки между прокурорами США в Нью-Йорке, штат Массачусетс и Нью-Джерси. Паломино отметил, что Гонсалес был в переговорах с Нью-Йорком и Массачусетсом по поводу сделки о признании вины в связи с делом T.J. Maxx, когда Нью-Джерси огласил свой обвинительный приговор. Паломино раскрыл заговорщика „P.T.“ как Damon Patrick Toey, который признал себя виновным по делу T.J. Maxx. Паломино заявил, что Toey, а не Гонсалес, был лидером дела Heartland. Паломино также сказал: „Г-н Toey сотрудничает с нами с первого дня. Он остановился в квартире Гонсалеса. Вся эта идея создания принадлежала Toey… Это было его детище. Не Альберта Гонсалеса. Я знаю, что он не участвовал во всех цепях, которые были взломаны из Нью-Джерси“.

Паломино сказал, что одним из неназванных российских хакеров в деле Heartland был Максим „Maksik“ Ястремский, который также был обвинен в T.J. Maxx, но в настоящее время отбывает 30 лет в турецкой тюрьме по обвинению во взломе турецких банков, в несвязанном с Гонсалесом деле. По словам следователей, Ястремский и Гонсалес обменялись 600 сообщениями, и что Гонсалес заплатил ему $400000 через e-gold.

Ястремский был задержан в июле 2007 года в Турции по обвинению во взломе 12 банков в Турции. Расследование Секретной службы было использовано для формирования дела против Гонсалес, включая тайный просмотр ноутбука Yastremskiy в в Дубае в 2006 году и обзор образа диска Латвийского компьютера арендуемого от Cronos IT и якобы использовавшегося при атаке.

После предъявления обвинения, в Hearland заявили о том, что не обладают информацией о том, как много номеров кредитных карт было украдено, и не обладают информацией о том, как в правительстве США пришли к цифре в 130 млн номеров.

Сделка с властями

28 августа 2009 года, адвокат Гонсалеса подал документы в окружной суд США по округу штата Массачусетс в Бостоне с указанием, что Гонсалес признает свою вину по всем 19 обвинениям в США по делу Альберта Гонсалеса, 08-CR-10223 (дело TJ Maxx). По имеющимся данным эта сделка о признании вины „решит“ проблемы с делом в Нью-Йорке США против Yastremskiy, 08-CR-00160 в окружном суде Соединенных Штатов по Восточному округу Нью-Йорка (дело Dave and Busters).

25 марта 2010 года, США окружной судья Patti Saris приговорил Гонсалеса к 20 годам тюрьмы за взлом и кражу информации из TJX, Office Max, сети ресторанов Dave and Busters, Barnes & Noble и ряда других компаний. На следующий день, окружной судья Douglas P. Woodlock приговорил его к 20 годам по делу о платежных системах Heartland. Приговоры надлежало выполнять одновременно, что означает, что Гонсалес будет отбывать наказание в общей сложности 20 лет для обоих случаев. Приговор включал в себя конфискацию имущества: денежных средств ($ 1,65 миллиона долларов), кондоминимума в Майами, синего 2006 BMW 330i, компьютеров IBM и Toshiba, пистолета Glock 27, телефона Nokia, бриллиантового кольца Tiffany и трех часов Rolex.

25 марта 2011 года, Гонсалес подал ходатайство о помиловании в окружной суд США в Бостоне. Он утверждал, что в течение времени, когда он совершал свои преступления, он оказывал помощь Секретной службе Соединенных Штатов по поиску международных киберпреступников и заявил, что его адвокаты не могли сообщить ему, что он мог бы таким образом использовать защиту „гос. органа“. Секретная служба отказалась комментировать ходатайство Гонсалеса, которое до сих пор находится на рассмотрении.

Гонсалес в настоящее время отбывает 20-летний срок заключения в исправительной колонии United States Penitentiary в Ливенуорте. Срок тюремного заключения Гонсалеса истекает в 2025 году.

Статья копипаста с habrahabr. Оригинал на забугорном вики, статью переводил MagisterLudi. Спасибо ему большое за перевод, мне было интересно почитать, а Вам?