Tre Rumäner sprang en mycket komplex online bedrägeri drift tillsammans med en massiv malware botnet för nio år, gjort tiotals miljoner US-dollar, men deras brottslighet spree är nu över, och alla tre kommer att vara på väg till fängelset till slutet av augusti detta år.
De tre greps i slutet av 2016 efter att FBI och hade Symantec tyst smög deras malware servrar för år, och väntade tålmodigt på den högutbildade gruppen att göra misstag som skulle lämna tillräckligt med ett brödsmulespår att följa tillbaka till sina riktiga identiteter.
Felen kom i 2015, när av koncernens proxy-servrar började läcka information om koncernens trafik, vilket så småningom leder utredare på rätt väg, och när senare samma år en av hackare gjorde en olycklig resa till Miami, där FBI i hemlighet söka sin telefon vid gränsen.
Ett år senare, rumänska polisen var tjock lägenhet dörrar i Bukarest, Rumäniens huvudstad, och med gruppens medlemmar i förvar.
Denna vecka, två av denna gängets medlemmar befanns skyldiga av en federal jury, medan en tredjedel hade redan erkände sig skyldig i November förra året. De tre nu står inför långa fängelsestraff på nästan två dussin avgifter, var och en.
Vem är Bayrob gänget?
De tre hackare Bogdan Nicolescu (“Masterfraud” eller “mf”), Radu Miclaus (“Minolta” eller “min”), och Tiberiu Danet (aka “Amightysa” eller “amy”).
Bild: Symantec
×
bayrob-gang.jpg
Tillsammans, de är nu känd som Bayrob gänget, efter namnet Symantec gav till skadlig kod i den grupp som först utvecklades under 2007.
Det är när gruppen startade på deras väg av it-relaterad brottslighet. Precis som alla “företagare”, de första började i liten skala.
De valde att täcka bedrägeri eftersom, på den tiden, det är vad de flesta rumänska hackare var i. I mitten av 2000-talet, Rumänien var en av de mest ofantliga länder i världen om it-relaterad brottslighet.
Några av dessa hackare kom från bänkar av landets många datavetenskap universitet, lite egen-utbildade på massor av dataintrång och it-säkerhet forum som ungar den rumänska internet på den tiden.
Brottet-du-jour på den tiden, och vad Rumäner hackare så småningom blev känd för, var för bedrägerier på nätet, och särskilt eBay bedrägerier. Detta är hur Bayrob gänget fick sin början efter tutorials och tricks de läser på nätet om auktion bedrägerier.
Hur Bayrob gänget kom igång
I sin början, Bayrob hackare fokuserade på eBay och mindre radannonser platser. Deras typiska modus operandi var att lägga upp en annons eller auktion, oftast för en dyr produkt, och vänta på anbud.
Intresserade köpare vanligtvis skulle nå ut, gänget skulle bedöma deras intresse, men de skulle alltid svara att en annan användare överbudspolitik för produkt-vanligtvis en dyr och eftertraktad bil, även om det inte är high-end lyx modeller.
Men dagarna efter, Bayrob medlemmar skulle nå ut igen, berätta för den intresserade köparen att den ursprungliga anbudsgivaren hade backat, och bilen är tillgänglig igen.
Bild: Symantec/Norton
×
bayrob-ebay-scam-email.jpg
De skulle erbjuda sig att ställa bilen upp för auktion igen, och även skickat nya bilder på bilen, förpackad i bildspel. Vad användarna inte visste var att bildspelet innehöll Bayrob skadlig kod, som skulle infektera sina Datorer.
Bild: Symantec
×
bayrob-bildspel.png
Den Bayrob laget skulle då skicka ett e-post till köpare, som lockade potentiella offer på ny auktion sidorna. Det är i detta skede som den Bayrob malware skulle gå in i fållan.
Det skulle avlyssna länken och styra offer för en falsk eBay-sida.
Symantec, som hjälpte till att undersöka koncernens verksamhet, sa att i denna första fas i koncernens utveckling, gänget skulle vanligtvis hantverk versioner av Bayrob malware anpassade för varje offer, tillsammans med falska eBay sidor, som innehåller allt från falska recensioner av säljare, falska carfax rapporter och falska sidor från spärrade och leverans av tjänster.
Falska eBay sidor som Bayrob malware skulle visa offer
Bild: Symantec/Norton
×
bayrob-ebay-bluff.png
Koncernens bedrägeri drift var ett snäpp över allt annat, med stor uppmärksamhet till detaljer, och med e-post skriven på perfekt engelska, så att inte uppmärksamma köpare av en eventuell bluff.
Att flytta upp till nästa nivå
Men eftersom gruppen sålt mer icke-existerande bilar och gjort mer pengar, är detta också hjälpt dem att expandera verksamheten utöver vad de flesta eBay bedragare gjorde på den tiden.
En rumänsk threat intelligence analytiker som talat med ZDNet i en telefonintervju men ville inte att hans namn delad, eftersom han inte var behörig att tala för företaget och ge ut information berättade Bayrob gänget började frekventera ryska-baserade dataintrång forum vid denna tid, att lära av de mer avancerade ryska bedrägeri scen, även börjat samarbeta med andra kriminella grupper.
Och den gruppen har lärt sig en hel del. Den Bayrob gänget började sätta ihop falska webbplatser för att skapa ett större ekosystem av falska företag runt deras bedrägerier.
Till exempel, de skapade flera falska åkeriföretag, som de använde som en front för att förment transport köpt fordon till köpare.
Den Bayrob gang ofta skulle använda den ursäkten att dessa falska åkeriföretag var försenade på att leverera de köpt bilar, vilket ger trio extra tid för att överföra medel från Nordamerika –deras primära jaktmarker– till Rumänien.
Av den tid som brottsoffer fångas på att de har blivit lurad, de flesta av de pengar som skickas till koncernens AMERIKANSKA eller västeuropeiska EU-bankkonton skulle ha dragits tillbaka och förmedlas tillbaka till gruppens medlemmar.
Bild: Symantec
×
bayrob-trucking.png
Medan nuförtiden har de flesta it-relaterad brottslighet grupper använder pengar mule tjänster annonseras på hacking forum, då, det var inte så enkelt. Den Bayrob gäng hade att rekrytera sina egna pengar mula.
De använde falska jobb annonser som placeras på populära annonser portaler och skapat webbplatser för falska företag. Vid ett tillfälle fick gruppen så fräcka att de körde en falsk Yahoo dotterbolag som heter Yahoo Överföringar, där offren har sagt att de skulle hjälpa rutt produkter som köpts på Yahoo sajter.
Bild: Symantec
×
bayrob-pengar-mula.png
Symantec säger att pengar mula gick igenom en ansträngande rekrytering process som involverade Google-baserade bakgrund, snabbmeddelanden intervjuer, och VoIP-samtal.
Den Bayrob gänget skulle annonsera vanligtvis “arbeta hemma” jobb som intet ont anande sökande som skulle krävas för att ta ut pengar från koncernens AMERIKANSKA bankkonton och re-wire det genom sina egna konton till andra konton.
Pengar mula skulle också bli ombedd att konvertera stulna medel till digitala valutor och skicka den digitala valutor till Bayrob gäng konton.
En annan taktik, vår källa säger till oss, deltar Bayrob gang att köpa dyra produkter, som de levereras till pengar mula’ hem adresser, där det skulle skickas utomlands-där andra pengar mula skulle sälja produkter på ett effektivt sätt omvandla någon bluff/stulna pengar på spårlöst kontanter.
Men trots de problem denna grupp skulle sätta pengar mulor igenom, Symantec sade att vissa av dessa intet ont anande personer blev lurade och ibland görs inga pengar alls från att hjälpa Bayrob tvätta sina pengar.
“Mula i USA gavs två alternativ för betalning,” sade Symantec 2016 rapport. “De kunde hålla sex procent av de medel som överförts eller så kunde de skicka hela beloppet och senare ta emot en check på 10 procent av den totala. Det senare alternativet var en bluff och ingen som valde det fått någon betalning från gänget.”
Från eBay scams att driva ett infostealer+keylogger
Vår källa berättar att runt 2011 bytte koncernen sin verksamhet på ett avgörande sätt. Det var vid denna tid som koncernens strandhugg i den ryska underjordiska världen började att påverka koncernens sätt att tänka.
De tre var att se den enorma framgången och vasts summor pengar operatörerna av Zeus (Zbot) bank trojan var att göra.
Det är när koncernen började tillämpa fler funktioner i Bayrob skadlig kod, och började långsamt att flytta från per-person eBay bedrägerier till ett urskillningslöst malware distribution drift.
Helt plötsligt, istället för en liten bit kod som skulle omdirigera eBay köpare till falska sidor, Bayrob malware började utvecklas och blir mer påträngande funktioner.
Den grupp som inte har arbetskraft och lust att gå hela bank trojan vägen, och att de istället väljer att lägga till en tangentbordsloggning funktion som registreras offrens tangentbordet.
Malware skulle logga allt som användaren har skrivit och skickat tillbaka data till malware med gänget i en server, där det skulle vara analyseras för e-banking inloggningar, referenser för sociala medier och online-betalning tjänster, och kreditkortsnummer mönster.
Detta var innan bankerna hade modern för att upptäcka bedrägerier funktioner och multi-faktor autentisering, så att gruppen skulle helt enkelt logga in på användarnas bank konton och överföra alla pengar de ville att deras pengar mulor, för “bearbetning” (penningtvätt).
De blev girig, och det visade sig, som deras skadliga program fick mer komplexa. Detta, i sin tur, ledde till att de stora namnen i it-säkerhetsbranschen vänder sin blick på koncernens verksamhet.
Det var under 2011 som Symantec och många andra it-säkerhet-företag igång efter gruppen närmare. Och vad de hade att följa.
Det var i denna fas som gruppen började använda Bayrob att automatisera driften på offrets datorer, där det skulle registrera nya AOL-konton, som man skulle använda för att spam offrets kontakter med spam-meddelanden i hopp om att göra nya offer. Genom att konvertera varje hackad offret till en spam-spyr maskinen, koncernens botnet växte till en enorm storlek.
Symantec sade att även under 2007 Bayrob sågs som en liten tid drift med ca 1 000 infekterade robotar del av sitt botnet, av 2014, koncernens botnet nått 50 000 kronor, en mycket respektabel storlek för eventuell skadlig kod drift.
Crypto-gruv-period
Men gruppen var inte gjort för att utvidga verksamheten. Runt den tiden, Bitcoin också hade exploderat på tech-scenen, och det fortfarande var lönsamma att bryta med vanlig ol’ datorer.
Den Bayrob gänget hoppade på tåget genom att lägga till Bitcoin mining förmåga till Bayrob malware, och vinsterna började komma i gång. Deras nyfunna alternativ källa av lätt-att-tjäna pengar fascinerad gruppen. Online inlägg från denna period visade sitt intresse för ämnet.
Den Bayrob malware distribution aktivitet också spetsade, med den trojanska att göra det på fler och fler Datorer. Symantec har botnet s högsta antalet på ca 300 000, medan de AMERIKANSKA Department of Justice (DOJ) sätta en 400,000 figur på Bayrob botnet i handlingarna.
I en pre-IoT botnet tid, detta antal ansågs vara massiv. I kombination med koncernens förkärlek för att stjäla pengar från folks bankkonton, detta satte koncernen rätt nära toppen av FBI: s most wanted hackare listan.
Jakten på Bayrob
Både FBI och började Symantec spel ut koncernens massiv operation. Den Bayrob gänget fick också vind att något var upp. Plötsligt, en cyber-bevakningsföretag publicerade ingående reportage om deras skadlig kod. ESET, Comodo, Fortinet, bara för att nämna några-Bayrob är också kallad Nivdort i vissa rapporter.
Efter drift för ett halvt decennium i fullständig tystnad och ut i rampljuset, gruppen började känna värmen. Men dessa var inte din vanliga “script kiddies” som pusslas slumpmässig kod tillsammans som en helg sidan projektet.
Gruppens medlemmar kunde sina saker, särskilt på IT-sidan (mer om det senare). Det skadliga programmet var uppdateras ofta, ibland med några fräcka meddelanden till vissa säkerhetsföretag, och koden var top-notch, ofta bättre med funktioner för att förhindra att reverse-engineering, enkel analys, eller fulla med skräp kod för att styra analytiker på fel väg.
Bild: Symantec
×
bayrob-symantec.jpg
Dessutom har gruppen också haft några av de bästa driftsäkerhet (OpSec) som säkerhet forskare har sett fram till den punkten på malware scenen.
Bayrob interna kommunikation har alltid krypterade, att hålla utredare blind för vad gänget var att göra, vilket gör beslag av någon tredje parts e-post eller XMPP-server värdelös.
Symantec, som spelade en avgörande roll i utredningen, sade Bayrob gäng krypterad alla e-postmeddelanden med hjälp av PGP, och krypterad alla instant messaging chatt med en Off-The-Record (OTR) protokoll.
Den Bayrob malware servrar var också skyddade av inte en, utan två proxy lager, vilket gjorde att gruppens medlemmar att ansluta till den från sina hem utan att ge bort deras exakta läge.
En första proxy nätverk har skapats med hjälp av servrar i Rumänien, medan en andra proxy nätverk sprang på toppen av USA-baserade servrar.
“En av våra mest betydande genombrott kom när vi upptäckt en svag punkt i sin användning av dessa fullmakter,” sade Symantec i 2016, efter trions utlämning till USA.
“På grund av denna svaghet, gänget är skadliga aktiviteter som var utsatta, vilket tillåter oss att passivt iaktta sin verksamhet på datorer Symantec var att skydda.
“Vår undersökning krävs tid och tålamod. I ett fall konstaterade vi i gänget är skadliga aktiviteter för ett och ett halvt år innan den gjorde ett fel som utsatt en av sina misstänkta medlemmar,” företaget till.
Ett AOL-logga in snafu och ett besök på Miami dömd koncernen
Att misstag exponeras Miclaus identitet. På Miclaus och Niculescu s nyligen avslutade rättegång, åklagaren visade hur de används denna info.
Enligt en Cleveland.com rapport i 2013, Miclaus, medan bakom hans nätverk av fullmakter, som av misstag loggat in på sin personliga AOL-konto i stället för en av AOL-konton koncernen använder för att skicka ut skräppost.
Detta gjorde att utredarna att länka Miclaus ” real-life-persona och koncernens verksamhet, och som en möjlig gäng medlem. Senare information som tillhandahålls av Symantec hjälpte utredare spåra eventuella andra medlemmar, även om de var aldrig säker på sin medverkan på grund av brist på bevis.
Som bevis landade i FBI: s knä av en slump, när en av gruppens medlemmar reste för att besöka vänner i USA.
På Miclaus och Niculescu rättegång, åklagaren visade att medan Danet var på Miami flygplats, FBI antagit en husrannsakan för att i hemlighet söka Danet telefon, där de extraherade meddelanden som utbyts mellan de tre Bayrob medlemmar, prata om deras verksamhet.
AMERIKANSKA utredare fortsatte att samla in uppgifter om koncernens verksamhet fram till juli 2016, då de kände sig säkra på att de hade ett fall och utfärdat internationella arresteringsorder i namnen på de tre Bayrob medlemmar, på vilka den rumänska polisen agerat och grep de tre i Bukarest.
De var åtalade i en amerikansk domstol i December 2016, med Danet inlaga skyldig sista November i ansiktet av ett oöverstigligt fall baserat på uppgifter som erhållits från hans telefon. Hans straff förhandlingen är planerad till den 2 Maj.
Bild: ta foto från Kanal D video
×
bayrob-mugshots.jpg
Danet gick från toppen programmerare för att skadlig kod coder
Av de tre, Danet har även de vildaste bakgrundshistoria. I gruppen, Danet var tech kille, den som skrev den skadliga koden och lyckades botnät och dess servrar. Utan honom, skulle koncernen har aldrig nått höjder de nått, och skulle sannolikt förblivit på en låg nivå eBay bluff grupp.
En examen från en av Bukarests främsta matematik och datavetenskap högskola, Danet vunnit flera internationella datavetenskap tävlingar, även ranking tredje ACM (Association for Computing Machinery) edition, och att rangordna högt i många andra.
Enligt rumänsk TV-stationen Kanal D, 2008, Danet valdes tränare för Rumäniens Nationella Computer Science Team, även om han fortfarande var student.
“Han kunde ha fungerat som helst han ville för samma pengar han sig som en hacker,” vår källa sade över telefon när man beskriver Danet är kunskaper i programmering. “Jag kan fortfarande inte tro det efter alla dessa år.”
Bayrob medlem Tiberiu Danet
Bild: UNIBUC, via Kanal D
×
bayrob-danet.jpg
Danet är DET träning förklarar varför cyber-bevakningsföretag och AMERIKANSKA myndigheter hade så svårt att bryta igenom Bayrob s yttre skal.
I själva verket trio åtalet ser precis lika mycket som en malware rapport som det gör att ett juridiskt dokument, som innehåller en enorm skatt av tekniskt-rika detaljer som många tidigare hacka/hacker-relaterade domstolen filer inte brukar göra, än en gång visar Bayrob avancerade tekniska makeup.
En Bayrob hackare hävdar att han blivit felaktigt anklagad
Som för hans medkonspiratörer, Miclaus och Nicolaescu, de fick i uppdrag av Bayrob bedrägeri och penningtvätt, respektive, och hade lika mycket att göra med verksamhetens framgång som Danet hade.
Trots all domstolen lade fram bevis under rättegången, Nicolaescu förnekat all inblandning med Bayrob system, som hävdar att han bara levde med Miclaus och hade varit felaktigt i samband med den gruppen, om än att erkänna att han kände till dess existens.
De två kommer att få höra deras domar den 14 augusti, ändra detta år.
Det amerikanska JUSTITIEDEPARTEMENTET sade att under nästan tio år lång operation, trio gjort ungefär $4 miljoner (Symantec placeras antalet på runt $35 miljoner), sprang över 1 000 eBay bedrägerier, och registrerat över 100 000 AOL-konton för att skicka över 11 miljoner spam-mail.
Relaterade skadliga program och it-brottslighet täckning:
It-relaterad brottslighet marknad och sälja full digitala fingeravtryck av över 60 000 usersTriton hackare tillbaka med nya, hemliga industriell attackReveton ransomware distributör dömdes till sex års fängelse i UKSecurity forskare upptäcka iOS-versionen av Exodus Android spywareEmotet kapar e-post konversation trådar för att infoga länkar till malwareUS regeringen publicerar information om Nordkorea HOPLIGHT malware Hur Fn hjälper till att bekämpa den globala it-relaterad brottslighet TechRepublicApple bort populär app som i hemlighet stjäla din webbläsare historia CNET
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter