Слідчі затримали ключову фігуру, яка стоїть за шкідливою програмою Raccoon Infostealer у Нідерландах після того, як хакер втік від бойових дій в Україні.

Марка Соколовського звинувачують у тому, що він є ключовою фігурою у шкідливій програмі Raccoon Infostealer, яка пов’язана з крадіжкою мільйонів облікових даних для входу в усьому світі.

Через три тижні після того, як наприкінці лютого росія почала бомбордувати Україну, талановитий молодий хакер на ім’я Марк Соколовський сів у Porsche Cayenne зі своєю дівчиною, щоб втекти від бойових дій.

Пара проїхала через Польщу, а потім Німеччину, перш ніж зупинитись у Нідерландах, де вони вважали себе у безпеці. Вони навіть не підозрювали, що ФБР США та слідчі в Європі весь час стежили за ними.

26-річний Соколовський був згаданий наприкінці минулого року в закритому кримінальному обвинувальному акті у федеральному суді Техасу, у якому стверджувалося, що він був ключовою фігурою за розповсюдженим типом шкідливого програмного забезпечення, відомого як Raccoon Infostealer, яке, за словами прокурорів, заразило мільйони комп’ютерів у всьому світі, крадучи фінансові дані для входу та гроші незліченної кількості жертв.    

Марка Соколовського звинувачують у тому, що він є ключовою фігурою у шкідливій програмі Raccoon Infostealer, яка пов’язана з крадіжкою мільйонів облікових даних для входу в усьому світі.

Через кілька днів після того, як Соколовський перетнув кордон з Нідерландами, голандська поліція заарештувала його в Амстердамі за звинуваченнями в комп’ютерному шахрайстві, шахрайстві з електронною поштою, відмиванні грошей та викраденні особистих даних. Йому загрожує понад 20 років ув’язнення, якщо його визнають винним, і він залишається під вартою в Нідерландах, борючись із процедурою екстрадиції, яка має відправити його до США

Існування справи було закрито до минулого тижня, коли влада оголосила про арешт Соколовського в рамках спроб розшуку можливих жертв. Після його арешту, за словами слідчих, їм вдалося зламати гігантський кеш викрадених даних, що становить мільйони адрес електронної пошти та логінів.

В рамках справи прокурори та ФБР оголосили про створення веб-сайту, де люди, які підозрюють, що вони є жертвами, можуть перевірити, чи міститься їх особиста інформація серед даних, відновлених слідчими.

«Це дуже-дуже масштабна глобальна справа», — сказав Ешлі Хофф, прокурор Західного округу Техасу, де було порушено справу.

«Ми викрадаємо, ви ведете справи»

Raccoon Infostealer — це все більш популярний клас програм під назвою Malware-as-a-Service або MaaS. Програмісти, які розробляють програми Maas, зазвичай не крадуть інформацію людей самі, а надають ліцензії на програмне забезпечення іншим кіберзлочинцям, які використовують його, щоб обманювати людей. Копія всієї викраденої інформації також збереглася в операторів Raccoon.

Експерти з кіберзлочинності кажуть, що, як і будь-яке легальне програмне забезпечення, Raccoon Infostealer надає цілодобову підтримку клієнтів і часто випускає оновлення програмного забезпечення. Вартість становила 75 доларів на тиждень або 200 доларів на місяць.

Raccoon Infostealer вперше з’явився на початку 2019 року і спочатку виставлявся на продаж на популярних серед кіберзлочинців російськомовних платформах, а потім і на англомовних. Під гаслом «Ми викрадаємо, ви ведете справи», це стало хітом і швидко потрапило в поле зору експертів з кібербезпеки.

«Оскільки він поширювався як MaaS або зловмисне програмне забезпечення як послуга, його використовував не лише один суб’єкт загрози чи група, а кілька кіберзлочинців, тому він був досить широко поширений», — каже Олег Скулкін з Group-IB, компанії з кібербезпеки, фірми, що базується в Сінгапурі. «Більшості кіберзлочинців набагато простіше купити або орендувати шкідливе програмне забезпечення. Це просто дешевше».

У березні, невдовзі після арешту Соколовського, оператори Raccoon розіслали клієнтам повідомлення про те, що їм потрібно припинити роботу, оскільки війна росії в Україні перервала роботу.

«На жаль, через «спецоперацію» нам доведеться закрити наш проект Raccoon Stealer», – заявили в групі. «Члени нашої команди, які відповідали за важливі компоненти продукту, більше не з нами. Дякую за цей досвід і час, за кожен день, на жаль, за все, рано чи пізно для кожного настає кінець світу». 

 У росії — особливо в перші дні вторгнення в Україну — путін змусив людей використовувати термін «спецоперація» для опису вторгнення. Ті, хто називав це війною чи вторгненням, ризикували отримати значний термін ув’язнення .

Хоча багато хто в просторі кібербезпеки інтерпретував повідомлення про завершення роботи Raccoon як те, що ключових програмістів було вбито в перші дні боїв, натомість це могло бути посиланням на арешт Соколовського.

За словами експертів, через кілька місяців була перезапущена нова версія зламаного програмного забезпечення з деякими критичними змінами в його програмуванні.

На ходу

Соколовський родом із міста Харкова на сході України, навчався там у університеті. У перші дні війни місто зазнало потужних бомбардувань російських військ.

Згідно з обліковим записом у блозі Брайана Кребса, репортера та аналітика з кібербезпеки, влада змогла підключити Соколовського до Raccoon через його iCloud AAPL, -1,75% обліковий запис, який використовувався для налаштування певних облікових записів, приєднаних до шкідливої ​​програми.

Це дозволило правоохоронним органам відстежувати пересування Соколовського, повідомив Кребс. Це також дозволило їм відновити фотографію Соколовського, який тримає біля обличчя велику пачку грошей.

Місяцями слідчі спостерігали, як Соколовський стрибає туди-сюди між Харковом і столицею України Києвом. Потім наприкінці березня він опинився в Польщі, біля кордону з Німеччиною. Було зроблено фото, на якому Соколовський їхав до Німеччини на Porsche Cayenne зі своєю дівчиною на пасажирському сидінні.  

Тоді українцям-чоловікам віком до 60 років не дозволяли залишати Україну, оскільки в країні було запроваджено військовий стан. Слідчі вважають, що Соколовський міг підкупити прикордонників для виїзду з країни, повідомив Кребс.

Через кілька днів влада змогла зосередитися на Соколовському в Амстердамі після того, як його дівчина опублікувала в Instagram їхні спільні фотографії, повідомив Кребс.

У вересні суд Нідерландів задовольнив клопотання США про екстрадицію Соколовського до Техасу для висунення звинувачень, але він подав апеляцію на це рішення.

Глобальна доступність

Прокурори кажуть, що хоча Соколовський грав ключову роль у розробці програми «Єнот», у нього було кілька спільників. За словами прокурорів, влада Італії та Нідерландів надала допомогу в розслідуванні.

Серед даних, вилучених ФБР, було близько 50 мільйонів унікальних облікових записів, включаючи адреси електронної пошти, дані для входу в банківські рахунки, адреси криптовалют і номери кредитних карток, заявили прокурори. Вони кажуть, що не вірять, що знайшли всі дані, вкрадені за допомогою Raccoon Infostealer, і продовжують розслідування.

Згідно з судовими документами, деякі з відновлених даних включали інформацію для входу в декілька американських компаній і для військовослужбовців, які мали доступ до систем збройних сил США.

За матеріалами: MarketWatch