Οι ρωσικές αρχές συνέλαβαν έναν συγγραφέα κακόβουλου λογισμικού στα τέλη Σεπτεμβρίου, μια ενέργεια που είναι εξαιρετικά σπάνια σε μια χώρα που είναι γνωστό ότι συνήθως είναι απαλή στους hackers.
Σύμφωνα με το ρωσικό Υπουργείο Εσωτερικών, ο ύποπτος είναι ένας 20χρονος από την περιοχή της Βόρειας Οσετίας –Αλανίας.
Οι ρωσικές αρχές ισχυρίζονται ότι μεταξύ Νοεμβρίου 2017 και Μαρτίου 2018, ο ύποπτος δημιούργησε πολλά στελέχη κακόβουλου λογισμικού, τα οποία αργότερα χρησιμοποίησε για να μολύνει περισσότερους από 2.100 υπολογιστές σε ολόκληρη τη Ρωσία.
Οι αρχές δήλωσαν ότι εκτός από τη λειτουργία του ίδιου του κακόβουλου λογισμικού, ο ύποπτος συνεργάστηκε επίσης με έξι άλλους για να διανείμει το κακόβουλο λογισμικό, το οποίο τελικά κέρδισε στην ομάδα περισσότερα από 4,3 εκατομμύρια ρωσικά ρούβλια (~ 55.000 $) σε κέρδος.
Ενώ η ρωσική επιβολή του νόμου δεν μοιράστηκε το όνομα του συγγραφέα κακόβουλου λογισμικού, ο Benoit Ancel, αναλυτής κακόβουλου λογισμικού στο CSIS Security Group, δήλωσε την περασμένη εβδομάδα και σήμερα στο Twitter ότι ο ύποπτος είναι ένας Ρώσος χάκερ που παρακολουθούν και άλλοι ερευνητές ασφαλείας με το ψευδώνυμο “1ms0rry”
Η Ancel είναι σε ιδανική θέση να αναγνωρίσει αυτόν τον προγραμματιστή κακόβουλου λογισμικού. Τον Απρίλιο του 2018, η Ancel συνεργάστηκε με άλλους ερευνητές ασφαλείας για να εντοπίσει τις διαδικτυακές λειτουργίες και το οπλοστάσιο κακόβουλου λογισμικού της 1ms0rry.
Σύμφωνα με αυτήν την αναφορά, η Ancel συνέδεσε το 1ms0rry με στελέχη κακόβουλου λογισμικού όπως:
- 1ms0rry-Miner: ένα trojan που, μόλις εγκατασταθεί σε ένα σύστημα, ξεκινά κρυφά την εξόρυξη κρυπτονομισμάτων για να αποφέρει κέρδος για τον συντάκτη του.
- N0f1l3: ένα trojan info-stealer που μπορεί να εξαγάγει και να κλέψει δεδομένα από μολυσμένους υπολογιστές. Οι δυνατότητες του περιλαμβάνουν τη δυνατότητα κλοπής κωδικών πρόσβασης προγράμματος περιήγησης, αρχείων διαμόρφωσης πορτοφολιού κρυπτογράφησης, διαπιστευτηρίων Filezilla FTP και συγκεκριμένων αρχείων που είναι αποθηκευμένα στην επιφάνεια εργασίας ενός χρήστη.
- LoaderBot: ένα trojan που μπορεί να χρησιμοποιηθεί για να μολύνει τα θύματα σε ένα πρώτο στάδιο και στη συνέχεια να αναπτύξει άλλα κακόβουλα προγράμματα κατά παραγγελία κατά τη διάρκεια ενός δεύτερου σταδίου (γνωστό και ως “loader”).
Ο Γάλλος ερευνητής ασφαλείας δήλωσε ότι ο 1ms0rry πούλησε τα στελέχη του κακόβουλου λογισμικού σε ρωσόφωνα φόρουμ χάκερ και ότι μερικές από τις δημιουργίες του χρησιμοποιήθηκαν τελικά για να δημιουργήσουν ακόμη πιο ισχυρά στελέχη κακόβουλου λογισμικού, όπως το Bumblebee (βασισμένο στο 1ms0rry-Miner), FelixHTTP (βασισμένο σε N0f1l3), και EnlightenedHTTP και το πολύ δημοφιλές Evrial (που μοιράστηκε κάποιο κώδικα με τις δημιουργίες του 1ms0rry).
Η έκθεση του 2018 αποκάλυψε επίσης την πραγματική ταυτότητα του 1ms0rry ως ταλαντούχου νεαρού προγραμματιστή από την πόλη Vladikavkaz, ο οποίος σε κάποιο σημείο έλαβε ακόμη και επαίνους από τις τοπικές αρχές για τη συμμετοχή του στον τομέα της ασφάλειας στον κυβερνοχώρο.
Ωστόσο, ο νεαρός προγραμματιστής έκανε ένα μεγάλο λάθος επιτρέποντας στο κακόβουλο λογισμικό του να μολύνει Ρώσους χρήστες.
Δεν είναι μυστήριο σε αυτό το σημείο ότι οι ρωσικές αρχές κλείνουν τα μάτια στις επιχειρήσεις εγκλήματος στον κυβερνοχώρο, εφόσον οι εγκληματίες στον κυβερνοχώρο δεν στοχεύουν Ρώσους πολίτες και τοπικές επιχειρήσεις.
Για την τελευταία δεκαετία, οι ρωσικές ομάδες εγκλήματος στον κυβερνοχώρο έχουν μείνει ατιμώρητες για επιχειρήσεις που διεξάγονται εκτός των συνόρων της Ρωσίας, με Ρώσους αξιωματούχους να αρνούνται να εκδώσουν Ρώσους χάκερ παρά τις επανειλημμένες κατηγορίες από τις αρχές των ΗΠΑ.
Σήμερα, όλα τα μεγάλα ρωσόφωνα φόρουμ πειρατείας και ιστότοποι μαύρης αγοράς καθιστούν πολύ σαφές στους κανόνες τους ότι απαγορεύεται στα μέλη να επιτεθούν σε χρήστες στον πρώην σοβιετικό χώρο, γνωρίζοντας ότι εάν δεν επιτεθούν σε Ρώσους πολίτες, θα λειτουργούν χωρίς προβλήματα.
Λόγω αυτών των κανόνων του φόρουμ, ένας μεγάλος αριθμός στελεχών κακόβουλου λογισμικού είναι σήμερα κωδικοποιημένοι για να αποφευχθεί η μόλυνση των Ρώσων χρηστών.
Ωστόσο, ο 1ms0rry φαίνεται ότι είτε δεν γνώριζε αυτόν τον κανόνα είτε επέλεξε να τον αγνοήσει σκόπιμα για πρόσθετα κέρδη, για τα οποία φαίνεται ότι θα πληρώσει το τίμημα.
[signoff]
