Недавно был вскрыт один из самых крупных сговоров с целью ограбления банков.

Российские киберпреступники собирались при помощи многочисленных фиктивных денежных переводов украсть миллионы долларов у 30 крупных финансовых институтов США.

По словам аналитиков из сферы безопасности, свое преступление они планировали осуществить до весны 2013 года.

Главная причина, по которой проект "Блицкриг" был разоблачен, состояла в том, что предполагаемый организатор преступной схемы, киберпреступник с хакерским псевдонимом vorVzakone, размещал на подпольном форуме в онлайне объявления, набирая себе в группировку сообщников.

Послания "вора в законе", включая картинки с его компьютерными настройками, экранные снимки его хакерских программ, а также общее описание плана по сбору армии из 100 "ботмастеров" для проведения атак на банки, были весьма соблазнительны, но и очень подозрительны - по крайней мере, вначале.

А может, это хвастовство просто свидетельствует о действиях российской полиции, которая готовит операцию с внедрением агента для поимки потенциальных киберворов?

Нет. Новые данные говорят, что сговор вполне реален, и в рамках подготовки преступления уже многое сделано с того момента, как о нем стало впервые известно в октябре. Об этом говорится в сообщении, которое опубликовала фирма кибербезопасности McAfee из калифорнийского города Санта-Клара.

"McAfee считает, что проект "Блицкриг" - это реальная угроза финансовой отрасли, и, похоже, он продвигается по плану", - говорится в сообщении.

"Мы не только нашли доказательства, подтверждающие осуществление первоначальной пробной операции под руководством "вора в законе" и его группировки с использованием трояна Prinimalka, которым было заражено как минимум 300-500 компьютеров в США, но также сумели отследить дополнительные операции по сообщениям на форуме", - отмечают в McAfee.

Вместе с тем, в релизе отмечается, что, благодаря обнаружению сообщений вора в законе", подготовка преступления была заторможена.

Другие аналитики сообщают, что реализация сговора из-за разоблачения могла замедлиться, быть полностью сорванной или продолжаться в соответствии с планом, как утверждает фирма McAfee.

"Вор в законе" в своем первом сообщении преступному киберподполью от 9 сентября 2012 года предлагал провести доселе невиданную массовую атаку, собрав воедино неорганизованные ячейки хакерского преступного сообщества.

Замысел заключался в организации взаимодействия и использовании слабостей банков США в установлении подлинности телеграфных денежных переводов.

Фото malisham.by

"Цель - совместно, массово и одновременно обработать большой объем обусловленного материала, прежде чем будут усилены меры борьбы с обманом", - написал в своем сообщении "вор в законе". Перевод его сообщения сделал блогер из сферы кибербезопасности Брайан Кребс.

McAfee в своих выводах в основном подтвердила и расширила более ранние разоблачения, которые сделало подразделение корпорации EMC Corp из Бедфорда RSA, занимающееся вопросами кибербезопасности. Оно опубликовало свои выводы о проекте "Блицкриг" в блоге компании в октябре.

McAfee и RSA сходятся во мнении, что "вор в законе" пытался включить потенциальных сообщников в процесс "начальной подготовки", в рамках которого "производится индивидуальный отбор ботмастеров и их обучение, после чего они получают право на долю от украденных со счетов жертв средств".

Как сообщили в октябре аналитики RSA, эти средства планируется перевести на счета посредников, которые контролирует банда хакеров.

"Чтобы гарантировать настойчивую и упорную работу всех, каждый ботмастер отбирает собственного "инвестора", который выделит деньги, необходимые для покупки оборудования в целях проведения операции, а за это получит свою долю от незаконных доходов. Банда и ее многочисленные сообщники также получат свою долю украденного. Деньги получат и разработчики вредоносных программ".

Ключевой особенностью преступного замысла стала идея закупки оборудования для перегрузки телефонных линий, чтобы банки, стремящиеся связаться с жертвами и проверить, настоящий денежный перевод или нет, не смогли до них дозвониться, потому что цифровые линии будут заблокированы.

В это время мошенники смогут звонить в банки, представляясь владельцами счетов, и подтверждать операции по переводу.

Как считают RSA и McAfee, в запланированной атаке преступники намерены использовать особенно неприятную вредоносную программу Prinimalka. Это малоизвестный частный вариант преступного хакерского вредоноса Gozi, созданного специально для кражи банковских логинов и прочей информации.

Коварная разница между двумя этими программами в том, что Prinimalka клонирует компьютер жертвы, отсылая в Россию все его переменные параметры, чтобы "виртуальная машина" могла собрать поддельную версию компьютера жертвы со всеми идентификационными файлами, маркерами, с той же самой операционной системой и с идентичной конфигурацией ПО.

Фото mgm.com.ua

После этого на поддельном компьютере можно работать в России, а системы безопасности банка будут принимать его за вполне нормальную машину жертвы, которая сидит и работает за своим компьютером где-то в США.

"Их метод заключается в том, чтобы клонировать компьютер жертвы. В таком случае клоном можно будет управлять из любой точки мира. Банку же будет казаться, что компьютер принадлежит какому-нибудь Джо, сидящему где-то в Америке" - говорит глава подразделения RSA Дэниел Коэн.

McAfee отмечает, что до сих пор проект "Блицкриг" был вполне реален в плане осуществления. Компания проследила вредоносные программы, установленные на машинах жертв по всей территории США. Однако вполне возможно, что после его разоблачения заговор преступников был сорван. Либо они просто затаились.

"В некоторых последних сообщениях утверждается, что "вор в законе" отменил свою атаку, потому что о ней стало известно. Однако нельзя исключать, что разоблачение просто заставило его уйти в глубокое подполье и оттуда продолжать свою деятельность", - отмечается в отчете McAfee.

Когда эту тему подхватила пресса, отмечает Коэн, "вор в законе" написал: "Ситуация слишком накалилась, слишком много внимания СМИ".

"Человек, отвечающий за перегрузку телефонных линий, написал на форуме, что он сейчас без работы и готов выслушать любые предложения. Мы следим за "вором в законе", но не замечаем его сообщений. А члены форума жестко критикуют его за то, что он привлек к ним слишком много ненужного внимания".

Оригінал публікації: "Project Blitzkrieg": Are Russian cybercriminals about to invade US banks?

Переклад російською: ИноСМИ