У Хмельницькому судили програміста, який заражав комп’ютери інших користувачів вірусами. Розповідаємо деталі історії.
У Хмельницькому судили програміста, який заражав комп’ютери інших користувачів вірусами. Розповідаємо деталі історії.
12 березня 2024 року Хмельницький міськрайонний суд розглядав справу відносно програміста, який вирішив стати хакером і розповсюджувати шкідливе програмне забезпечення задля несанкціонованого доступу до комп’ютерів інших користувачів і заробітку.
З метою реалізації свого злочинного наміру, спрямованого на розповсюдження шкідливого програмного засобу айтівець зареєструвався на спеціалізованому хакерському форумі LOLZ.GURU, створивши обліковий запис, де періодично публікував повідомлення із темами «Посоветуйте чекерлогов?», «Ищу качественого отработчика СНГ», «Посоветуйте vds сервачок для рата», «Какие помимо этого есть кошельки, чтоб крипту можно отработать с логов?».
Вже у вересні 2022 року програміст орендував сервер у російської компанії FirstVDS, де налаштував адміністративну панель шкідливого програмного забезпечення DarkCrystal RAT, що давало можливість айтівцю контролювати та переглядати список комп`ютерів, заражених шкідливим програмним засобом, а також вивантажувати персональні дані користувачів вказаних комп`ютерів.
З метою розповсюдження шкідливих програмних засобів, в період часу з 12 вересня по 1 лютого 2023, програміст використовував канал на YouTube, на якому публікував відеозаписи, орієнтовані на поціновувачів онлайн-відеогри GTA San Andreas Multi Player (GTA SAMP). Вони містили відомості про результати встановлення бажаних модифікацій до вказаної комп`ютерної гри.
Під приводом надання можливості на встановлення модифікації, яка висвітлена на відеозаписі, програміст публікував посилання в описовій частині під вказаними відеозаписами, переходячи по якому, користувач мережі інтернет, який переглянув відеозапис, міг завантажити архівний файл, що мав би дати змогу внести зміни до налаштування комп’ютерної гри. Надалі, завантаживши вказаний архівний файл, користувач мережі інтернет, мав ввести пароль, що містився в опублікованому описі. Однак, при натисканні користувачем на виконуваний файл формату «ехе», який в назві містив слово «cheat», користувач не отримував модифікації до гри, які висвітлено на відеозаписі, а натомість запускав роботу шкідливого програмного засобу, який розповсюдив.
Таким способом айтівець розповсюджував шпигунське програмне забезпечення, яке можна використовувати як частину методу ін`єкції; — наполегливість; воно створює підроблений системний процес; планує виконання завдання на певний час і дату; породжує багато процесів; записує дані у віддалений процес мережева активність до керівника серверу з IP-адресою і рф, фіксує відбиток пальця; містить можливість отримати інформацію про поточну систему; виконує запити WMI, щоб виявити локальні програми безпеки; запитує інформацію налагоджувача ядра; запитує конфіденційні налаштування безпеки IE; містить можливість перевірити, чи працює налагоджувач; містить можливість завершити процес; виконує запити WMI, які, як відомо, використовуються для виявлення віртуальної машини; вхідний файл містить посилання на API, які не входять до таблиці адрес імпорту (IAT); можливо, намагається уникнути аналізу, багато разів засинаючи; довго намагається заснути (понад дві хвилини); мережева активність до керівного сервера з IP-адресою в росії.
Вказані розповсюджувані файли є компонентом шкідливого програмного забезпечення DarkCrystal RA». DarkCrystal RAT (він же DCRat), має модульну конструкцію, може використовуватися для різних завдань, включаючи динамічне виконання коду, крадіжку даних, стеження та організацію, DDoS-атак. Функціональність можна розширити за допомогою сторонніх плагінів, розроблених афілійованими особами з використанням спеціальної IDE DCRatStudio, а передплатникам надається доступ до списку підтримуваних плагінів.
Після запуску на комп`ютері жертви DCRat збирає системну інформацію і передає на керівний сервер такі дані, як імена хостів і користувачів, дані про місцеперебування, привілеї, встановлені захисні рішення, дані про материнську плату і BIOS, а також версії Windows.
DarkCrystal здатний робити скриншоти, перехоплювати натискання клавіш і красти різні типи даних із системи, включаючи вміст буфера обміну, файли cookie, паролі, історію браузера, дані банківських карток, також облікові записи Telegram, Discord, Steam, FileZilla.
У сам продукт включені три компоненти: виконуваний файл для стилера/клієнта, інтерфейс C&C і виконуваний файл, написаний на JPHP, який являє собою інструмент для адміністратора. Останній спроєктований таким чином, щоб користувач (хакер) мав можливість непомітно активувати рубильник, тобто зловмисник може віддалено зробити інструмент непридатним для використання. Також він дозволяє підписникам спілкуватися з керівним сервером, віддавати команди зараженим ендпоінтам (боти, заражені комп`ютери). Таким чином, програміст вчиняв розповсюдження шкідливого програмного засобу, призначений для несанкціонованого втручання в роботу електронних комунікаційних систем.
Згідно з матеріалами суду, злочинець планував збути інформацію з обмеженим доступом, яка зберігалась в заражених комп`ютерах, через Telegram. Свій намір він реалізував, отримавши за це на картку ПриватБанку 4740 грн такі операції він проводив неодноразово.
Загалом, за даними слідства, ділок отримав персональні дані із 7327 комп`ютерів користувачів мережі інтернет, з метою подальшого збуту вказаних даних.
Хакер свою провину повністю визнав.
Його звинуватили за трьома пунктами статті за несанкціоновані збут або розповсюдження інформації з обмеженим доступом, яка зберігається в комп’ютерах, автоматизованих системах, комп’ютерних мережах або на носіях такої інформації
За сукупністю злочинів суд призначив айтівцю покарання у вигляді 3 років позбавлення волі. Та потім вирок пом’якшив, надавши злочинцю випробувальний термін на один рік до відбування реального строку.
Також хакер має сплатити на користь держави витрати на залучення експертів в сумі 34 413,12 грн за проведення експертизи.
