Microsoft охотится на русских
ФБР и Microsoft обезвредили сеть Citadel, с помощью которой из разных банков было украдено свыше $500 млн. Разработчики доходного вируса общаются в сети на русском языке и утверждают, что их троянец принципиально не заражает русскоязычные компьютеры
Microsoft и ФБР сообщили о том, что они обезвредили сеть из 1462 сетей зараженных компьютеров; каждая из них состояла из нескольких тысяч ПК, на которых был установлен вирус – «троянский конь» Citadel. Все эти сети работали сообща и были созданы с помощью одного набора программ Citadel. По данным Microsoft, конструктор, позволивший заразить 5 млн компьютеров во всем мире и украсть со счетов пользователей $500 млн, можно было приобрести на интернет-сайтах всего за $2400. Больше всего от Citadel пострадали люди в США, Европе, Гонконге, Сингапуре, Индии и Австралии.
На прошлой неделе Microsoft вместе с банками подала гражданские иски к создателям сетей в окружной суд США в Западном округе штата Северная Каролина. В исках говорится, что киберпреступники нарушили законы, совершив «незаконное вторжение, нарушения интеллектуальной собственности и распространение массовой нежелательной электронной почты, причинив тем самым вред компании Microsoft и населению».
Истцы попросили вынести судебный запрет и приказ о конфискации, которые обязали бы хостеров и регистраторов отключить домены злоумышленников и предоставить их серверы следствию. Суд пошел им навстречу. И позавчера судебные исполнители вместе с сотрудниками Microsoft провели выемки – в частности, изъяли серверы из двух дата-центров в штатах Нью-Джерси и Пенсильвания. Microsoft также передала сведения о Citadel правоохранительным органам других стран.
«Лаборатория Касперского» ежедневно получает по нескольку сотен образцов вируса Citadel – это значит, что число зараженных пользователей значительно, рассказывает антивирусный эксперт «Лаборатории» Мария Гарнаева. По ее данным, с помощью этих вирусов украли деньги клиентов Commerzbank, Santander, BNP Paribas, Unicredit, Deutsche Bank, Intesa Sanpaolo, ING и многих других.
Решения суда по иску Microsoft против 82 «Джонов Доу» (так в США называют людей, имя которых не известно) были опубликованы в интернете на английском и русском языках. Многие из обвиняемых находятся предположительно в США и России, а также в других странах Европы, Бразилии, Китае и Австралии.
При этом разработчик вирусного пакета Citadel, скрывшийся под именем AquaBox, прежде не очень прятался. Например, на сайте exploit.in до сих пор находится обсуждение (на русском) «претензии к AquaBox, продавцу троя (вируса. – «Ведомости») Citadel на $2399».
В нем возмущенный покупатель Defunkt сетует, что купил нерабочую версию Citadel, и AquaBox подтверждает, что действительно продал версию программы 4 февраля 2012 г.
В ходе перепалки выясняется, что у покупателя на компьютере с англоязычной версией Windows была установлена и русская раскладка клавиатуры, а Citadel на таких компьютерах категорически не работает. «Наш софт НЕ работает на русскоязычных системах, если обнаруживается русская или украинская раскладка – софт дает отказ в работе <...> относитесь к этому, как хотите, для нас это табу», – сообщает еще один участник дискуссии.
Хакеры делают все, чтобы не давать повода жителям России написать на них жалобу в правоохранительные органы, а ФБР до них дотянуться намного сложнее, объясняет исполнительный директор Peak Systems Максим Эмм. Кроме того, в СНГ мало распространены кредитные карты, а с дебетовых можно украсть гораздо меньше денег – только те, что есть, при этом затраты на кражу такие же, объясняет эксперт.
Судя по настройкам AquaBox на сайте exploit.in, тот находится в населенном пункте с местным временем на час меньше московского – т. е., например, на Украине, в странах Прибалтики или Калининграде. В декабре 2012 г. на этом сайте обсуждали исчезновение AquaBox.