Google подала в суд на двух россиян за создание ботнета, заразившего более 1 млн компьютеров с Windows Статьи редакции
Компания требует возместить ущерб от взломов и навсегда прекратить использование сервисов Google.
Google подала иск в Окружной суд Нью-Йорка на Дмитрия Старовикова и Александра Филиппова, сообщает TechCrunch.
Компания называет двух разработчиков основными операторами ботнета Glupteba, ссылаясь на данных их учётных записей Gmail и Google Workspace, которые «они создали для управления преступным предприятием».
Google следила за Glupteba с 2020 года и выяснила, что большинство компьютеров заразились через загрузку бесплатных программ на сайтах. Количество таких устройств увеличивается на тысячи ежедневно. Ботнет крадет учётные и другие данные пользователей Google, тайно добывает криптовалюту и настраивает прокси для перенаправления трафика.
Компания считает, что вымогатели могут использовать Glupteba «в любой момент для мощной атаки». Сеть невозможно полностью обезвредить из-за её «технической сложности» и работы на блокчейне для защиты от сбоев, говорится в иске Google.
Кстати, иск предъявлен не только двум лицам, но ещё 15 неназванным лицам, чьи имена Google не знает. Плюс все действие было организовано из Башни Федерация с точность до офиса, по их словам. Там много интересных деталей — пишу про это в канале, там же оригинал иска: https://t.me/lazzy_ventures/181.
— Иск предъявлен не только к двум конкретным лицам, как сказано в большинстве СМИ. Имена других 15 человек истец не зна...
— Иск предъявлен не только к двум конкретным лицам, как сказано в большинстве СМИ. Имена других 15 человек истец не знает, поэтому они именуются в иске как Does 1-15.
— Иск предъявлен в Федеральный окружной суд Южного округа Нью-Йорка (SDNY) — это федеральный суд первой инстанции. Почему этот суд? Потому что, по утверждению истца, ответчики намеренно причиняли вред на территории штата Нью-Йорк и в США в целом. Поскольку ответчики не являются резидентами США, истец сам праве выбрать суд для предъявления иска в США.
— Специалисты по кибербезопасности впервые заметили Glupteba ещё в 2011 году. Летом 2020 года Google обратил внимание, что вирус активно распространяется на сторонних сайтах с бесплатным софтом или медиа-файлами.
— В отличие от многих других ботов, Glupteba использовал в своей архитектуре блокчейн Bitcoin. Зачем и как это работало? Дело в том, что любой бот находится под управлением C2-сервера (command & control). Адреса этих серверов записаны в самом боте. Если бот теряет сигнал с одним сервером, он автоматически ищет другой. Правоохранительные органы могут выяснить эти серверы и прикрыть их. Таким образом, злоумышленники теряют контроль над своими ботами. Боты Glupteba были хитрее. Если они не могли найти необходимый C2-сервер, они начинали парсить блокчейн Bitcoin, чтобы найти зашифрованные адреса серверов. Злоумышленники могли отправить адрес такого сервера в любой момент, даже если все заранее запрограммированные в боте сервера оказались бы прикрытыми.
— Боты Glupteba фармили информацию об аккаунтах Google. Затем эта информация продавалась через сайт dont[.]farm. В иске описана подробная схема с использование виртуальных машин.
— Хакеры продавали данные кредитных карт для использования в украденных аккаунтах Google Ads. Google считал такие кредитки легитимными и давал им небольшой аванс для работы. Но когда Google пытался списать средства, это оказывалось невозможным. Кредитки, по всей видимости были выпущены русским банком.
— В иске назван адрес, из которого предположительно действовала группировка или ее часть: 123112, Moscow, Presnenskaya Embankment 12, Office 5 — это Башня Федерация.
— С помощью своих ботов хакеры также продавали прокси доступ к зараженным устройствам, что могло использоваться для сокрытия криминальных действий другими злоумышленниками. Наконец, зараженные устройства также использовались для майнинга крипты.
— В иске сказано, что Glupteba заразил более миллиона устройств. Крупнейшие DDoS-атаки последнего времени были совершены ботом "Meris", который некоторые исследователи связывают с Glupteba.
— Главным доменом группы в иске назван Voltronwork[.]com, который впоследствии был заменен на Undefined[.]team.
Комментарий недоступен