Когда-то давно деревья были большими, а разработка вирусов была сродни искусству. Сначала велись теоретические изыскания, а потом дело дошло и до практики. Подгоняемый многочисленными вирмейкерами и троянописателями локомотив разработки вредоносного кода все сильнее набирает скорость, оставляя за бортом имена тех, для кого разработка малвари была идеологией жизни. На смену гуру пришли никому не известные личности, поставившие производство на поток. В этом материале мы приведем «горячую» десятку имен из VX-сцены, которые до сих пор у всех на слуху.
Роберт Моррис: Червь с большой буквы
2 ноября 1988 года сеть ARPANET (прототип наших интернетов) была атакована программой, впоследствии получившей название «червь Морриса» — по имени его создателя, студента Корнельского университета Роберта Морриса — младшего. «Червь Морриса» был первым в истории развития IT образцом вредоносной программы, который использовал механизмы автоматического распространения по сети. Для этого эксплуатировались несколько уязвимостей сетевых сервисов, а также некоторые слабые места компьютерных систем, обусловленные недостаточным вниманием к вопросам безопасности в то время.
По словам Роберта Морриса, которому в 1988-м было 22 года, червь был создан в исследовательских целях. Его код не содержал в себе никакой «полезной» нагрузки (деструктивных функций). Тем не менее из-за допущенных ошибок в алгоритмах работы распространение червя спровоцировало DoS-атаку, когда ЭВМ были заняты выполнением многочисленных копий червя и переставали реагировать на команды операторов.
По некоторым оценкам, червь Морриса инфицировал порядка 6200 компьютеров. Сам разработчик, осознав масштабы результатов своего поступка, добровольно сдался властям и обо всем рассказал. Слушанье по его делу закончилось 22 января 1990 года. Изначально Моррису грозило до пяти лет лишения свободы и штраф в размере 250 тысяч долларов. В действительности приговор был достаточно мягок, суд назначил 400 часов общественных работ, 10 тысяч долларов штрафа, испытательный срок в три года и оплату расходов, связанных с наблюдением за осужденным.
Инцидент с «червем Морриса» заставил специалистов в области IT серьезно задуматься о вопросах безопасности. В частности, именно после этого для повышения безопасности системы стало внедряться использование пауз после неправильного ввода пароля и хранение паролей в /etc/shadow, куда они перенесены из доступного на чтение всем пользователям файла /etc/passwd. Но наиболее важным событием стало создание в ноябре 1988 года координационного центра CERT (CERT Coordination Center, CERT/CC), деятельность которого связана с решением проблем безопасности в интернете. Первым появившимся в декабре 1988 года бюллетенем безопасности CERT стало сообщение об уязвимостях, использованных червем. Примечательно, что многие технические решения в «черве Морриса», такие как перебор паролей, компиляция кода загрузчика на удаленной ЭВМ под управлением *NIХ-систем (Slapper) или сканирование сети для выявления целей, применяются и в современных образцах малвари.
Интересно, что в том же самом 1988 году небезызвестный Питер Нортон довольно резко высказался в печати против самого факта существования компьютерных вирусов, называя их «мифом» и сравнивая шум вокруг этой темы с «рассказами о крокодилах, живущих в канализации Нью-Йорка». Всего два года спустя после заявления Нортона вышла первая версия Norton AntiVirus...
И напоследок — в 1988 году, под впечатлением от атаки червя Морриса, американская Ассоциация компьютерного оборудования объявила 30 ноября международным днем защиты информации (Computer Security Day), который отмечается и по сей день.
Сам Моррис сделал успешную научную карьеру в Массачусетском технологическом институте, имеет звание профессора и одно время даже занимал должность главного ученого в Национальном центре компьютерной безопасности США, одном из подразделений АНБ. В 1995-м он основал сервис Viaweb, стартап компании, разрабатывающей программное обеспечение для создания интернет-магазинов. Viaweb был продан за 48 миллионов долларов Yahoo, которая переименовала его в «Yahoo! Store». В 2008-м отметился выпуском языка Arc — диалекта языка Лисп.
Dark Avenger
В начале девяностых годов произошел так называемый «экспоненциальный вирусный взрыв». Количество новых вирусов для MS-DOS, обнаруживаемых в месяц, стало исчисляться десятками, а в дальнейшем и сотнями. Эпицентром этого взрыва была Болгария. Почему именно она? Очевидно, это была первая страна социалистического лагеря, начавшая серийно выпускать IBM PC совместимые компьютеры. Охрана авторского права? Не, не слышали. Ответственностью за несанкционированное копирование программ никто не заморачивался, поэтому чуть менее чем все программы были пиратским, что, естественно, крайне способствовало распространению вирусных эпидемий. Именно Болгария спровоцировала зарождение вирусной сцены как таковой. И одним из наиболее известных анонимусов VX-сцены Болгарии стал вирмейкер под псевдонимом Dark Avenger. Его перу принадлежит целое семейство вирусов Eddie, обладающих деструктивным функционалом, — при каждом 16-м заражении вирус переписывал случайный сектор на диске частью своего тела.
Первое упоминание в качестве автора появилось в вирусе Eddie. 1800, содержащем строку «This program was written in the city of Sofia (C) 1988-89 Dark Avenger». Вирусная эпидемия Eddie не только охватила Европу, но и перекинулась за океан в США, что привлекло широкий интерес средств массовой информации к персоне Dark Avenger. Исследователи семейства вирусов Eddie отмечали высокий профессионализм автора, а также его тягу к красивым программным решениям. В качестве примера можно привести выравнивание текстовыми строками длины тел различных версий вируса до значений, кратных ста, — 1800, 2000, 2100. Dark Avenger известен также как разработчик первого полиморфного генератора для вирусов в среде MS-DOS — MtE (Mutation Engine), который был выпущен в 1991 году в виде объектного модуля с подробной инструкцией по применению. Данный движок иногда ошибочно называют DAME — Dark Avenger Mutation Engine, тогда как DAME — Dark Angel’s Multiple Encryptor — движок, выпущенный в 1993 году командой канадских вирмейкеров Phalcon/Skism.
По некоторым признакам Dark Avenger — ярый фанат музыки в стиле heavy metal. Об этом свидетельствует строка «Eddie lives... somewhere in time», тут Eddie — отсылка к маскоту группы Iron Maiden (Somewhere in Time — название их шестого альбома). Также в одном из своих немногочисленных интервью журналистке Саре Гордон Dark Avenger упомянул, что его псевдоним выбран в честь одной старой песни — по всей видимости, композиции группы Manowar, которая так и называется — Dark Avenger.
С Dark Avenger неразрывно связано имя Веселина Бончева — специалиста в области исследования вирусов, к которому Dark Avenger испытывал сильную неприязнь. Настолько сильную, что вирусы Eddie.2000 и Eddie.2100 содержали строку «(c) 1989 by Vesselin Bontchev».
Одним из вероятных кандидатов на роль Dark Avenger является Тодор Тодоров, также известный как Commander Tosh. Тодоров в бытность студентом болгарской национальной математической школы проявлял завидный интерес к написанию вирусов. Он являлся сисопом Virus Exchange BBS, на которой все желающие могли обмениваться исходниками вирусов. При этом Тодоров принимал на обмен только новые исходные коды, что провоцировало обменивающихся на написание новых вирусов, при этом их сложность не имела значения, главное — чтобы они были рабочими. Dark Avenger был частым посетителем Virus Exchange BBS, и любой допущенный к обмену вирусами мог свободно с ним переписываться.
В 1993-м Тодоров исчез, многие говорили, что он уехал учиться в США, и это событие удивительным образом совпало с прекращением деятельности Dark Avenger. Тодоров вновь появился в Софии в декабре 1996 года, после трехлетнего отсутствия. А в январе 1997 года хакер с псевдонимом Dark Avenger взломал компьютеры в Софийском университете, которые входили в сеть Болгарской академии наук. Опять подозрительное совпадение! Однако был ли Тодоров «мстителем» на самом деле, так и остается загадкой.
LovinGod - непризнанный дуче киберфашизма
Фигура эта очень колоритная и в своем роде уникальная. LovinGod — духовный лидер Stealth Group, крупнейшей группировки вирусописателей, действующей на территории ex-USSR. С ним мало кто был знаком лично, кроме очень узкого круга друзей. Практически ничего не известно о том, как его на самом деле зовут, как он выглядит... Забавно, что нет достоверных сведений даже о том, какие вирусы он написал сам, да и написал ли что-либо вообще. Одного не отнять — журнал Infected Voice в свое время был достаточно кошерен.
Бурную деятельность по сколачиванию своей вирус-банды LovinGod начал в 1994 году. Благодаря многочисленным срачам в ФИДО группа получила определенную известность, и состав ее начал расти, как снежный ком. Плюс ко всему на процесс становления вирусмейкерства в Украине повлиял тот факт, что статья за распространение вирусов здесь появится только через десять лет. Не исключено, что именно деятельность Stealth Group спровоцировала российский «экспоненциальный вирусный взрыв», который до этого произошел в Болгарии.
SG просуществовала шесть с половиной лет, после чего была официально закрыта в феврале 2001-го. Однако на этом ее деятельность не закончилась: полгода она действовала как сильно законспирированная организация с жестким отбором кандидатов (по другим сведениям, это уже была какая-то секта, благо LG мозги промывать умел мастерски).
От событий, связанных с Stealth Group, офигевали не только местные, но и все мировое сообщество. Американская фирма iDefense, состоящая из бывших разведчиков и собирающая инфу на продажу, подготовила подробный отчет о деятельности Stealth Group, озаглавленный «Ukrainian-Russian Hackers the Stealth Group and Its Leader, LovinGOD». Как говорится, пацан пришел к успеху. Особо интересными в отчете выглядят пассажи о связях русских хакеров с Аль-Каидой и о том, что LovinGOD — засланный казачок от ФСБ.
В конце концов ФСБ добралась до LG — по засвеченному IP была установлена его личность, и о его деятельности было сообщено текущему работодателю, который, не долго думая, уволил его. Что характерно, LovinGOD'у ничего предъявить не смогли, поэтому его и не посадили. После всех этих событий LovinGOD стал открыто враждовать со сценой, пытаясь донести до ее участников, что время сцены кончилось и ничего хорошего от афиширования своей деятельности их не ждет. Полагают, LG несколько огорчило, что киберфашизм (идеология превосходства людей с компьютерно-техническим взглядом ума, навеянная, со слов самого LG, книгой «Майн Кампф» и шестью бутылками темной «Балтики»), к которому он так стремился, уже реализован, но армию вирусописателей возглавляет не он, а какие-то корпорации и правительства.
Многие склоняются к мысли, что LovinGod был весьма посредственным вирмейкером, однако выдающимся беллетристом и идеологом. В настоящее время поток его сознания доступен на сайте dooma.ru, кроме того, он присутствует в LiveJournal и в контактике. Вроде бы даже пишет музыку. Вот цитата одного анонимуса: «Ваш Мистер Фриман (aka Mr.Freeman) является не чем иным, как воплощением больного на голову LovinGOD’a. Весь смысл сюжета, кажется, пропитан глубоким смыслом, но это только на первый взгляд так. Все дело в неврозе и вытекающей отсюда жажде славы даже в таком виде, как принижение всех и вся».
Фраза очень емко характеризует LG.
zOmbie: метаморфных дел мастер
Группа 29A — одна из самых известных вирмейкерских команд. Ее первоначальный состав сформировался внутри Dark Node BBS из Испании. В середине девяностых годов станция была уже полностью посвящена вирусам и участие в дискуссиях на ней принимали многие известные представители VX scene. Для многих вирмейкеров DN стала местом релиза их проектов. 29А изначально не была вирус-группой. 29A — это название журнала, а также интернациональной группы людей, причастных к его созданию.
Далеко не последнюю роль в 29A играл некто z0mbie, очень видный вирмейкер и, между прочим, наш соотечественник. Кратко его деятельность можно охарактеризовать так: новизна идей и нестандартный подход при некоторой кривости реализации. Одним из преобладающих факторов в его работе была модульность всего, что он сделал, и простота повторного использования. Например, весь его стаф был хорошо задокументирован и содержал понятные примеры, как и что делать. Наработки z0mbie можно найти на сайте z0mbie.host.sk.
Основным интересом для z0mbie было совершенствование технологий полиморфизма и метаморфизма для разработки самораспространяющихся программ. Под это дело было разработано много движков по дизассемблированию и вычислению длины команд процессора. Также интерес представляет движок, генерирующий мусорные инструкции для расшифровщика с заданным распределением и энтропией. Так как программы на языках высокого уровня содержат какой-то определенный набор инструкций, полиморфные вирусы первых поколений легко определялись путем несложных математических вычислений некоторых параметров частей секции кода. Апофеозом разработок zOmbie стал метаморфныи вирус Mistfall. Кратко алгоритм его работы можно уложить в три пункта:
• дизассемблировать файл;
• интегрировать файл с телом вируса;
• ассемблировать файл.
То есть инструкции исполняемого файла оказывались перемешанными с инструкциями вируса. Естественно, это работало не для всех файлов и потребляло до фига памяти, но сама идея впечатляет.
Личность z0mbie (в просторечии — зомба) так и осталась загадкой для широкой общественности, хотя предположения о его нынешней виртуальной личности высказываются с завидной регулярностью. Широко распространены два мнения: BHC (Bugger Hukker Crew) — электронный журнал, который начал выпускаться с сентября 2005 года, — от имени нескольких виртуальных персонажей вел именно z0mbie, а также что его новый ник — VaZoNeZ (Vx a Zombie on Next entry Z). На такие выводы наталкивает некоторая стилистическая преемственность всех обозначенных персонажей, однако по факту все это может быть просто подражательством, подобным па-донкафскому сленгу или луркспику.
Из 29A z0mbie окончательно вышел в 2007 году, а вещать под своим широко известным ником перестал с 2008 года, тогда же, когда почил в бозе и журнал 29A. Все это было связано со смертью VX-сцены как таковой, потому что все большее количество вновь прибывающих вирмейкеров стали повернуты больше на деструктивности и получении профита в виде денежных знаков, чем на новаторстве и развитии новых технологий.
Чэнь Ин Хао - автор «Чернобыля»
Чэнь Ин Хао (ChenYing Hao) родился 26 апреля 1975 года на Тайване. Многим обывателям он известен по аббревиатуре, составленной из его инициалов, — CIH. Именно так называется вирус, имеющий второе, более популярное название — «Чернобыль», которое он получил из-за даты срабатывания своей деструктивной составляющей. Кстати, сам автор эту дату выбрал, потому что это была дата его рождения. Вирус работал в среде операционной системы Windows 95 и отличался относительно малым размером — один килобайт.
CIH считается первым вирусом, способным выводить из строя аппаратную часть компьютера. Деструктивная составляющая предусматривала два действия: перезапись содержимого BIOS, а затем — уничтожение данных на жестком диске. Так как микросхема ПЗУ зачастую была впаяна в материнскую плату, для восстановления нужна была перепайка ПЗУ с ее предварительным перепрограммированием. Однако в большинстве случаев материнки просто выбрасывались на свалку.
CIH обнаружен «в живом виде» в Тайване в июне 1998 года — автор вируса заразил компьютеры в местном университете Датун (Тайбей), где он в то время проходил обучение. В интервью, данном много лет спустя, Чэнь Ин Хао вспоминал, как он пришел к идее написания вируса: по его словам, ОС Windows 95 представляла собой один большой системный баг. Он поставил перед собой цель написать максимально компактный код, получающий ядерные привилегии из пользовательского режима. Что касается перезаписи BIOS — решил проверить, действительно ли есть проблема, что вирус может его перезаписать. Как говорится, результат проверки превзошел все ожидания — через некоторое время вирус выбрался за пределы Тайваня. Спустя примерно месяц зараженные файлы были обнаружены на нескольких американских веб-серверах, распространяющих игровые программы.
Не ожидавший такого быстрого развития событий, Чэнь Ин Хао сам выложил исходный асмовский код и принес публичные извинения всем тем, кто пострадал от воздействия CIH. Исходники спровоцировали появление различных пересобранных версий вируса.
26 апреля 1999 года (примерно через год после распространения) настал час X. По различным оценкам, в этот день во всем мире пострадало около полумиллиона компьютеров.
Отсутствие официальных жалоб со стороны тайваньских компаний и существующая нормативная база позволили Чэню в апреле 1999 года избежать наказания. Более того, CIH сделал его знаменитым: благодаря написанию вируса Чэнь Ин Хао получил престижную работу в крупной компьютерной компании Wahoo International Enterprise в качестве тестировщика компьютерного оборудования. Чэнь Ин Хао был арестован только 20 сентября 2000 года, когда один из тайванских студентов все-таки подал иск на возмещение ущерба, причиненного CIH. Ему грозило до трех лет лишения свободы, однако ход следствия и сам приговор так никогда и не были обнародованы. О дальнейшей судьбе Чэнь Ин Хао известно, что он c 2006 года работал инженером в Gigabyte Technology, в настоящий момент основатель стартапа с подозрительно знакомой аббревиатурой CIH.
Марек Стрихавка - Бенни, но не Хилл
Из деанонимизированных членов 29A наиболее известен Марек Стрихавка (Marek Strihavka) aka Benny. Родился он 24 марта 1982 года в Брно, Чехия. Его коньком всегда была концептуальность, он старался писать вирусы так, как никто до него не делал. Среди самых известных его проектов были такие пионеры своих областей:
• DotNET — вирус для платформы .NET;
• Stream — вирус, использующий альтернативные потоки данных NTFS;
• Winux — кросс-платформенный вирус, работоспособный и в Windows, и в Linux;
• Leviathan — многопоточный вирус;
• Serotonin — вирус, использующий генетические алгоритмы.
Из состава 29A Стрихавка ушел в начале 2003-го по причине разочарования в новоявленных вирмейкерах. По его словам, в 29A его интересовал технический прогресс, изобретение и создание новых технически совершенных и интересных вирусов, а не само распространение.
Между тем некоторые его черви использовали серверы IRC для получения команд и дальнейшего распространения, что ставит его слова под сомнения.
В ноябре 2004 года чешская антивирусная компания Zoner Software приняла Марека на работу — Benny был назначен главным разработчиком Zoner Anti-Virus (ZAV). Представитель Zoner Software Эрик Пайпер (Erik Piper) так прокомментировал действия своей компании: «Деятельность Benny в области написания вирусов стала хорошим доказательством того, что он понимает схему работы вирусных атак. Создатели вирусов часто подчеркивают, что подход к созданию защиты в том или ином продукте оказывается примитивным. Мы уверены, что о разработках Benny такого сказать будет нельзя».
После устройства на работу в Zoner личность Марека Стрихавки стала достоянием общественности в связи с рейдом полиции, в ходе которой был конфискован его персональный компьютер. Рейд проводился по подозрению его в причастности к разработке сетевого червя SQL Slammer, что, однако, не подтвердилось. По другой информации, в личной переписке Benny признался, что действительно написал Slammer, но никогда не выпускал его в сеть. Он только выложил исходники для ознакомления, которые кто-то скомпилировал и запустил на выполнение.
Несмотря на все передряги, Марек Стрихавка до сих пор работает в Zoner Software.
Александр Демченко - автор Pinch
Pinch — одна из наиболее активно используемых троянских программ в рунете, первые версии которой были написаны Александром Демченко aka coban2k в 2003 году. Ее исходный код, по его собственным словам, выложили в интернет, запретив использовать его в любых противоправных целях. И тут все заверте... Всеобщую известность Pinch приобрел с копирайтами damrai и Scratch.
Структурно Pinch состоит из нескольких частей — билдера (builder) бота, административной панели и парсера (расшифровщика сграбленной информации). Соответственно, damrai допиливал билдер, патчил баги и наращивал функционал, а Scratch занимался парсером.
Всего было три основных вида Pinch: до версии 2.60, которая ушла в паблик, разработкой занимался coban2k, затем damarai взял сорцы и организовал свой собственный бизнес по продаже новых версий. Крайнюю версию билдера Pinch 2.98 взломал некто Vasya и выложил в паблик под названием Pinch 3.
В последних версиях Pinch особенно доставляет идея обхода антивирусной защиты путем эмуляции нажатия пользователем кнопки «Разрешить» во всплывающем сообщении от антивируса о подозрительной активности. Таким образом обходился антивирус Касперского и файрвол Outpost.
В декабре 2007 года Федеральная служба безопасности России таки установила и задержала авторов вредоносной программы Pinch. Вот выдержка из протокола:
«Фархутдинова Дамира (1986 года рождения) (aka damrai) и Ермишкина Алексея (1985 года рождения) (aka Scratch) признать виновными в совершении преступления по ч. 1 статьи 273 УК РФ и назначить наказание:
Фархутдинову Д. — в виде лишения свободы сроком на один год шесть месяцев, со штрафом 30 000 рублей.
Ермишкину А. — в виде лишения свободы сроком один год, со штрафом 20 000 рублей.
На основании статьи 73 УК РФ наказание в виде лишения свободы считать условным с испытательным сроком в два года каждому».
Всего за период с начала 2005 года по июнь 2007 года damrai и Scratch распространили (признали свою вину) порядка десяти модификаций троянских программ Pinch.
Pinch породил наследие в виде трояна UFR Stealer (Usb File Rat Stealer), написанного на Delphi с использованием части его кода. Автором UFR является уже упомянутый здесь VaZoNeZ. Также получил некоторое распространение троян Xinch, представлявший собой переписанный Pinch с добавлением различных функций.
В настоящее время род деятельности damrai остается неизвестным (может быть, и на органы работает), и на хакерских форумах он старается не отсвечивать. Короче говоря, находится под колпаком у папаши Мюллера.
Свен Яшан - «повелитель сети»
Согласно отчету компании Sophos, ответственность за 70% всех заражений вредоносными программами в 2004 году несет один человек, автор червей Netsky и Sasser. Им оказался ученик (на тот момент) средней школы Свен Яшан (Sven Jaschan) из немецкого города Роттенбурга, родившийся 29 апреля 1986 года.
В течение нескольких дней червь Sasser заразил порядка 250 тысяч компьютеров по всему миру. В связи с эпидемией компания Microsoft назначила денежное вознаграждение в размере 250 тысяч долларов за любую информацию, которая поможет арестовать создателей Sasser. До этого момента подобной чести удостаивались только авторы червей Lovesan и Mydoom. За наградой в полицию обратились два человека, данные о личностях которых не раскрываются. Как оказалось, Яшан очень гордился тем, что сделал, и активно хвастался школьным приятелям.
Немецкая полиция поймала Свена прямо за компьютером, на жестком диске которого обнаружились сорцы Sasser. Через некоторое время он признался и в разработке первых вариантов NetSky.
По словам Яшана, NetSky он создал для очистки компьютеров от Mydoom и Bagle, Sven закончил разработку штаммом NetSky.К, однако после его ареста появились новые версии, написанные подражателями. Если NetSky был просто почтовым червем, то Sasser был уже на порядок опаснее, так как использовал для своего распространения уязвимость в службе LSASS Microsoft Windows и не требовал какого-либо взаимодействия с пользователем атакуемого компьютера. Благодаря полностью автоматическому циклу размножения, Sasser распространился достаточно быстро.
Помимо новых версий NetSky, после ареста Яшана антивирусные компании обнаружили пятый вариант червя Sasser, который, в отличие от предшественников, пытался обезвредить варианты Bagle, удаляя из системного реестра ключи, созданные конкурентом. Данные факты вызвали подозрение, что Свен работал в команде, однако подтверждений этому так и не было найдено. Кроме того, черви, использующие уязвимости сетевых сервисов ОС Windows (например, Lovesan), обычно были плодом реверс-инжиниринга патчей от Microsoft (one-day — уязвимость первого дня), и безопасники выражали сомнение, что 17-летний школьник мог все это замутить в одиночку.
Яшан отделался 21 месяцем условного заключения, так как на момент разработки и выпуска червей в «свободное плаванье» ему еще было 17 лет. В сентябре 2004 года немецкая компания SecurePoint взяла Свена Яшана к себе на работу на должность младшего разработчика. В ответ на это компания H+BEDV Datentechnik (ныне Avira) разорвала все партнерские отношения с SecurePoint. Исполнительный директор H+BEDV заявил тогда, что этот поступок SecurePoint может негативно отразиться на отношении потребителей к антивирусному ПО обеих компаний.
Последние семь лет Яшан ударился в веб-дизайн и коммерцию, работает в управлении немецкого проекта Rabattfuchser, который занимается возвратом денег при совершении покупок в онлайн-магазинах Германии.
Никита Кузьмин со товарищи: грабители виртуальных банков
В начале 2013 года окружная прокуратура Манхэттена предъявила обвинения трем программистам из Восточной Европы в создании и использовании троянской программы Gozi, предназначенной для кражи учетных данных систем ДБО. Главный создатель Gozi — Никита Кузьмин (приемный сын певца Владимира Кузьмина, которого ты все равно не знаешь), был арестован в США в ноябре 2010 года. В мае 2011 года Кузьмин признал себя виновным и подписал соглашение со следствием о сотрудничестве, дав показания на своих сообщников. Два других его подельника, Денис Чаловскис (Deniss Calovskis aka Miami) из Латвии и Михай Паунеску (Mihai Paunescu aka Virus) из Румынии, были арестованы позже, в конце 2012 года.
Разработку Gozi Кузьмин начал где-то в 2005 году, однако в массы продукт пошел только в 2007-м. Кстати, документы следствия утверждают, что Никита Кузьмин был только вдохновителем — он выдвинул определенные технические требования и нанял стороннего программиста, который упоминается как CC-2 (co-conspirator-2, «соучастник № 2»), для написания кода Gozi. Впоследствии Денис Чаловскис, что называется, открыл второе дыхание у проекта, доработав Gozi на использование технологии веб-инжектов. Паунеску отвечал за BulletProof-серверы, обслуживающие командные центры Gozi, а в придачу еще и Zeus со SpyEye.
В 2008 году в силу каких-то организационных и технических проблем Кузьмину пришлось отказаться от сдачи трояна в аренду и перейти к схеме прямой продажи. Gozi стал предлагаться на продажу по цене 50 тысяч долларов. Справедливости ради стоит отметить, что аналогичный Gozi троян Zeus продавался по куда более гуманной цене.
Кузьмина и Ко, по мнению некоторых экспертов, сгубил переход с европейских на американские банки в качестве целей, что в конечном итоге привлекло к Gozi внимание ФБР. Сыграло свою роль и заражение Gozi около 190 компьютеров NASA. Помимо всего прочего, Кузьмин настолько уверовал в свою безнаказанность, что стал пренебрегать методами своей анонимности, хотя его проект 76service по предоставлению услуг с использованием Gozi беззаботно просуществовал около двух лет.
В соответствии с постановлением Европейского суда по правам человека, Латвия приняла решение об отказе в экстрадиции в США Чаловскиса, который провел в тюрьме Риги почти год с декабря 2012-го по октябрь 2013-го. Паунеску же до сих пор ожидает решения, отдадут его США или нет.
Александр Панин - шпионский глаз
Приблизительно в декабре 2009 года на черном рынке появилась альтернатива банковскому трояну Zeus — SpyEye, функционал и состав (билдер и админпанель) которого были очень схожи. Троян SpyEye, проникая на компьютер, собирал конфиденциальную информацию, номера банковских счетов, кредитных карт, пароли и пин-коды.
Судя по сообщениям на хакерских форумах, которые обнаружил Брайан Кребс, в октябре 2010 года создатель Zeus Slavik передал исходные коды своему конкуренту — разработчику SpyEye и прекратил дальнейшую разработку. Код был передан человеку с ником Harderman, известным также как Gribodemon. По словам Harderman, исходные коды он получил на безвозмездной основе и брал на себя обслуживание всех бывших клиентов Slavik, в дальнейшем предполагалось некое слияние исходных кодов Zeus и SpyEye. И действительно, с января 2011 года исследователи антивирусных компаний начали обнаруживать новые гибридные версии SpyEye, использовавшие часть кода и модулей Zeus.
По оценкам специалистов, SpyEye были заражены в общей сложности около 1,4 миллиона компьютеров во всем мире, что, естественно, не могло не привлечь внимание правоохранительных органов и специалистов в области защиты информации.
В ходе кампании по прекращению работы командных центров ботнетов, построенных на базе троянов Zeus и SpyEye, проводимой Microsoft в марте 2012 года, были установлены некоторые контактные данные Gribodemon, такие как ICQ, Jabber и email.
Летом 2013 года власти США заявили об аресте гражданина России Александра Панина, который был задержан 28 июня сотрудниками Интерпола и экстрадирован из Доминиканской Республики в США. Уроженцу Твери Панину было на тот момент 24 года. Ему вменялась кража 5 миллионов долларов у нескольких американских банков. 28 января 2014 года на суде в Атланте Панин признал, что он являлся одним из разработчиков SpyEye и его псевдоним — Gribodemon. Приговор Александру Панину будет вынесен 29 апреля 2014 года. По американскому законодательству ему может грозить до 30 лет лишения свободы.
В ходе следствия стало известно о том, что Панин сотрудничал с гражданином Алжира Хамзой Бенделладжи, также известным как Bx1, который выступал в роли ботмастера серверов SpyEye, а также продавца. Бенделладжи был задержан в аэропорту Бангкока в Таиланде 5 января 2013 года, когда пытался вылететь в Алжир. В мае он был экстрадирован в США. Не исключено, что его арест немало поспособствовал установлению настоящего имени Gribodemon, с которым Bx1 имел тесные контакты.
По словам друзей, у Александра никогда не было желания заработать кучу денег, стать богачом, хотя он достаточно хорошо зарабатывал.
Говорят, что он не такой, как другие хакеры — грабители банков; Александр был сторонником трансгуманизма, мечтал создать сверхчеловека, искусственный интеллект, верил в цифровое бессмертие... для того, чтобы в этом убедиться, достаточно почитать его LiveJournal, где он писал под псевдонимом juicyemad.
Однако история SpyEye на аресте Панина не заканчивается, так как он хотя и был одним из ключевых разработчиков, но далеко не единственным. Судя по всему, программисты, которые писали модули для SpyEye, продолжили свою вредоносную деятельность, и в 2012 году на свет появился троян Tilon, также известный как SpyEye 2. Видимо, Панин, заметив пристальное внимание к своей персоне, решил залечь на дно, а его сообщники по разработке стали вести отдельный side project. Следует отметить, что Tilon имеет функционал по удалению предыдущих версий SpyEye — это в очередной раз говорит о преемственности двух данных вредоносных наборов для кражи банковской информации.
ЗАКЛЮЧЕНИЕ
Судьбы рассмотренных здесь личностей сложились по-разному. В любом случае налицо тот факт, что всех этих людей рано или поздно прибрали к рукам или спецслужбы (после посадки), или компании, занимающиеся вопросами компьютерной безопасности. Посему совет: чтите уголовный кодекс, есть куча мирных способов реализации своих программистских стремлений.
(с) Владимир Трегубенко