В Хмельницком судили программиста, заражавшего компьютеры других пользователей вирусами. Рассказываем подробности истории.
В Хмельницком судили программиста, заражавшего компьютеры других пользователей вирусами. Рассказываем подробности истории.
12 марта 2024 года Хмельницкий горрайонный суд рассматривал дело в отношении программиста, который решил стать хакером и распространять вредоносное программное обеспечение для несанкционированного доступа к компьютерам других пользователей и заработка.
С целью реализации своего преступного намерения, направленного на распространение вредоносного программного средства, айтишник зарегистрировался на специализированном хакерском форуме LOLZ.GURU, создав учетную запись, где периодически публиковал сообщения с темами «Посоветуйте чекерлогов?», «Ищу качественного отработчика СНД для рата», «Какие кроме этого есть кошельки, чтобы крипту можно отработать с логов?».
Уже в сентябре 2022 года программист арендовал сервер у российской компании FirstVDS, где настроил административную панель вредоносного программного обеспечения DarkCrystal RAT, что давало возможность айтишнику контролировать и просматривать список компьютеров, зараженных вредоносным программным средством, а также выгружать персональные данные пользователей.
С целью распространения вредоносных программных средств, в период времени с 12 сентября по 1 февраля 2023 г., программист использовал канал на YouTube, на котором публиковал видеозаписи, ориентированные на ценителей онлайн-видеоигры GTA San Andreas Multi Player (GTA SAMP). Они содержали сведения о результатах установления желаемых модификаций к указанной компьютерной игре.
Под предлогом предоставления возможности на установку модификации, которая освещена на видеозаписи, программист публиковал ссылку в описательной части под указанными видеозаписями, переходя по которой, пользователь сети интернет, просмотревший видеозапись, мог скачать архивный файл, позволяющий внести изменения в настройки компьютера и игры. В дальнейшем, загрузив указанный архивный файл, пользователь сети интернет должен был ввести пароль, который содержался в опубликованном описании. Однако, при нажатии пользователем на исполняемый файл формата «эхе», который в названии содержал слово «cheat», пользователь не получал модификации к игре, которые освещены на видеозаписи, а запускал работу вредоносного программного средства, распространившего.
Таким способом айтишник распространял шпионское программное обеспечение, которое можно использовать как часть метода инъекции; — настойчивость; оно создает поддельный системный процесс; планирует выполнение задания на время и дату; рождает много процессов; записывает данные в удаленный процесс сетевая активность к управляющему серверу с IP-адресом и рф, фиксирует отпечаток пальца; содержит возможность получить информацию о текущей системе; выполняет запросы WMI для обнаружения локальных программ безопасности; запрашивает информацию отладчика ядра; запрашивает конфиденциальные настройки безопасности IE; содержит возможность проверить, работает ли отладчик; содержит возможность завершить процесс; выполняет запросы WMI, которые, как известно, используются для обнаружения виртуальной машины; входной файл содержит ссылки на API, не входящие в таблицу адресов импорта (IAT); возможно, пытается избежать анализа, много раз засыпая; долго пытается уснуть (более двух минут); сетевая активность к управляющему серверу с IP-адресом в россии.
Указанные распространяемые файлы являются компонентом вредоносного программного обеспечения DarkCrystal RA». DarkCrystal RAT (он же DCRat), имеющий модульную конструкцию, может использоваться для различных задач, включая динамическое выполнение кода, кражу данных, слежку и организацию, DDoS-атак. Функциональность можно расширить с помощью сторонних плагинов, разработанных аффилированными лицами с использованием специальной IDE DCRatStudio, а подписчикам предоставляется доступ к списку поддерживаемых плагинов.
После запуска на компьютере жертвы DCRat собирает системную информацию и передает на управляющий сервер такие данные, как имена хостов и пользователей, данные о местонахождении, привилегии, установленные защитные решения, данные о материнской плате и BIOS, а также версии Windows.
DarkCrystal способен делать скриншоты, перехватывать нажатия клавиш и воровать различные типы данных из системы, включая содержимое буфера обмена, файлы cookie, пароли, историю браузера, данные банковских карт, а также учетные записи Telegram, Discord, Steam, FileZilla.
В сам продукт включены три компонента: исполняемый файл для стилера/клиента, интерфейс C&C и исполняемый файл, написанный на JPHP, представляющий собой инструмент для администратора. Последний спроектирован таким образом, чтобы пользователь (хакер) имел возможность незаметно активировать рубильник, то есть злоумышленник может удалённо сделать инструмент непригодным для использования. Также он позволяет подписчикам общаться с управляющим сервером, отдавать команды зараженным эндпоинтам (боты, зараженные компьютеры). Таким образом, программист производил распространение вредоносного программного средства, предназначенного для несанкционированного вмешательства в работу электронных коммуникационных систем.
Согласно материалам суда, преступник планировал сбыть информацию с ограниченным доступом, хранившуюся в зараженных компьютерах, через Telegram. Свое намерение он реализовал, получив за это на карту ПриватБанка 4740 грн такие операции он производил неоднократно.
В общем, согласно данным следствия, делец получил персональные данные из 7327 компьютеров пользователей сети интернет, с целью дальнейшего сбыта указанных данных.
Хакер свою вину полностью признал.
Его обвинили по трем пунктам статьи за несанкционированный сбыт или распространение информации с ограниченным доступом, хранящейся в компьютерах, автоматизированных системах, компьютерных сетях или на носителях такой информации
По совокупности преступлений суд назначил айтишнику наказание в виде 3 лет лишения свободы. Но затем приговор смягчился, предоставив преступнику испытательный срок на один год до отбывания реального срока.
Также хакер должен уплатить в пользу государства расходы по привлечению экспертов в сумме 34 413,12 грн за проведение экспертизы.
