Поделиться
Силовики разгромили инфраструктуру знаменитого трояна Warzone. Два киберпреступника арестованы
В результате международной операции нейтрализована инфраструктура MaaS-троянца Warzone, а его операторы оказались под арестом.
Он же Ave Maria
Власти США объявили о перехвате инфраструктуры вредоносной программы Warzone RAT, использовавшейся в большом количестве кибератак. Также стало известно об аресте двух предполагаемых операторов Warzone.
Warzone RAT, также известный под названием Ave Maria, представляет собой троянца для установки удаленного доступа к компьютеру жертвы. Впервые он был обнаружен в январе 2019 г., в ходе расследования атаки на итальянскую организацию из нефтегазового сектора. «Доставка» троянца осуществлялась посредством фишинговых сообщений, содержащими эксплойт к старой уязвимости в Microsoft Excel (CVE-2017-11882). Warzone может использоваться как средство похищения информации и установления удаленного контроля над целевой системой. Среди его функций - просмотр файлов, создание скриншотов, перехват нажатий клавиш, кража реквизитов доступа и включение веб-камер без ведома и согласия пользователя.
Установка такого троянца в систему внутри корпоративной инфраструктуры позволила бы в дальнейшем развивать атаку на ее внутрисетевые ресурсы.
Интересно, что, по данным фирмы Zscaler ThreatLabz, вредоносная программа обменивается данными с сервером, не используя протокол HTTP. Соединение шифруется по алгоритму RC4. Сама по себе программа написана на языках C и C++.
Вредонос предлагался по арендной модели Maas (Malware-as-a-service, вредонос-как-услуга) за $38 в месяц или $196 в год. Причём злоумышленники использовали интернет-домены, а не площадки даркнета. В сообщении министерства юстиции США упоминается домен www.warzone[.]ws «и три других».
На одном из сайтов операторы рекламировали эту программу как «надёжную и простую в использовании». Для связи с создателями предлагалось использовать почтовые адреса, Telegram, Skype, Discord, а также «клиентскую секцию» на самом сайте.
Незаконная продажа и рекламирование
Разгром инфраструктуры Warzone начался с приобретения агентами ФБР копий самого троянца и исследования его функциональности. Вслед за этим стартовала подготовка операции, к которой в итоге подключились правоохранительные органы и власти Австралии, Канады, Хорватии, Финляндии, Германии, Японии, Мальты, Нидерландов, Нигерии и Румынии. В операции также принимал участие Европол.
Пока арестованы лишь двое операторов - 27-летний Даниэль Мели (Daniel Meli), которого задержали власти Мальты, и 31-летний нигериец Принс Оньеозири Одинакачи (Prince Onyeoziri Odinakachi).
Обоим предъявлены обвинения в нанесении ущерба защищённым компьютерным системам. Мели также обвиняется в незаконной продаже и рекламировании электронных средств перехвата информации и соучастии в компьютерных преступлениях по предварительному сговору.
Следователи считают, что Мели предлагал различные хакерские услуги и вредоносные программы как минимум с 2012 г. и был хорошо известен на хакерских форумах. До Warzone RAT он торговал аналогичной программой Pegasus RAT (не имеет отношения к шпионской программе NSO Group).
Одинакачи осуществлял «клиентскую поддержку» арендаторам Warzone.
«С одной стороны, может показаться, что улов невелик - всего двое, с другой - даже два "затейника" могут нанести ущерба на миллиарды, прямо или косвенно», — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. По ее словам, самое главное, что уничтожена Maas-инфраструктура и восстановить ее быстро не получится.
Эксперт добавила, что с высокой вероятностью правоохранительным органам удастся установить и привлечь к ответственности и арендаторов Warzone, то есть, тех, кто непосредственно осуществлял атаки с его помощью.
Издание The Hacker News отмечает, что Warzone использовали не только мелкие киберпреступные группы, но и APT-образования, такие как YoroTrooper и несколько других.
Короткая ссылка
