Разделы

Безопасность Бизнес Законодательство

В Корее схвачен россиянин, втемную использованный хакерами для создания опаснейшей программы

Российский гражданин был задержан в аэропорту в Сеуле при попытке вернуться домой. Его арестовали по запросу США. Там подозревают, что он участвовал в разработке TrickBot. Сам подозреваемый утверждает, что его наняли на удаленную работу через традиционный сайт с вакансиями, и что он не знает ничего про вредоносное ПО.

Арест разработчика

В Сеуле арестован предположительный разработчик троянца TrickBot. Сам разработчик, гражданин России, застрявший в Южной Корее в связи с коронавирусными ограничениями, утверждает, что был уверен в полной легитимности своей работы.

TrickBot — серия вредоносов, появившихся в 2016 г. Изначально это был просто банковский троянец, но со временем он превратился в масштабную платформу, способную атаковать все что угодно, от систем под Windows и Linux до устройств интернета вещей. TrickBot используется для внедрения других вредоносов в корпоративные сети, кражи самых разнообразных данных, вплоть до ключей OpenSSH и OpenVPN, обхода двухфакторной авторизации на Android и т. д.

На совести разработчиков TrickBot вредоносные программы BazaLoader, BazaBackdoor, PowerTrick и Anchor. Считается, что шифровальщики Ryuk и Conti являются операциями этой же группировки.

Предполагаемый участник разработки TrickBot вынужденно провел год в Южной Корее: он не смог вернуться обратно из-за из-за пандемии, затем у него истек срок действия загранпаспорта, и ему пришлось ждать, когда его восстановят. Когда же это случилось, выяснилось, что США передали Южной Корее запрос на его задержание.

Работа втемную

Сам обвиняемый, предположительно занимавшийся браузерной разработкой, утверждает, что понятия не имел о вредоносной природе программного обеспечения, над которым работал. Его наняли через обычный сайт для поиска работы и в техническом руководстве про вредоносное ПО не было ни слова, заявил подозреваемый в верховном суде Сеула.

tyurma600.jpg
В Южной Корее арестован возможный участник разработки TrickBot

Задержанный вполне может говорить правду. Некоторое время назад Минюст США выдвинул обвинения против гражданки Латвии Аллы Витте, которую обвинили в пособничестве созданию нового шифровальщика. В судебных документах приводятся логи переговоров между участниками группировки TrickBot, посвященных как раз найму сторонних разработчиков. Далеко не все из них действительно понимали, что работают на киберкриминал.

«Это вполне естественно: учитывая масштабы инфраструктуры TrickBot, значительная, если не большая часть его программных компонентов может выглядеть вполне невинно, — отмечает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — Разработка этих компонентов самих по себе тоже не будет нарушать никаких законов, вопрос лишь в их окончательном назначении. Если наемные разработчики ничего про это не знали, то спрашивать с них можно разве лишь за недогадливость. А ее в суде не докажешь».

Угроза экстрадиции

Юристы, представляющие интересы подозреваемого, всеми силами пытаются воспрепятствовать экстрадиции своего клиента в США, где, по их уверениям, он будет заведомо лишен права на адекватную защиту и, вероятно, подвергнется «избыточному наказанию».

Группировка TrickBot попортила немало крови мировому бизнесу, и американскому в особенности. В октябре 2020 г. Киберкомандование США, Microsoft, ряд ИБ-компаний и других организаций предприняли попытку разом ликвидировать инфраструктуру TrickBot, однако в результате операция оказала лишь временный эффект на деятельность группировки.

Роман Георгиев

Короткая ссылка