Tre Rumænere løb en yderst kompleks online-svindel drift sammen med en massiv malware botnet for ni år, lavet snesevis af millioner af AMERIKANSKE dollar, men deres kriminalitet amok er nu overstået, og alle tre vil være på vej til fængslet i slutningen af August i år.
De tre blev anholdt i slutningen af 2016, efter at FBI og Symantec havde lydløst forfulgt deres malware servere for år, tålmodigt venter på, at den højtuddannede gruppe til at lave fejl, der ville være nok af en breadcrumb-sporet for at følge med tilbage til deres rigtige identiteter.
Disse fejl kom i 2015, når de af koncernens proxy-servere begyndte at lække oplysninger om koncernens trafik, som i sidste ende fører efterforskere på rette vej, og når de senere på året en af de hackere gjort en uheldig tur til Miami, hvor FBI hemmeligt søge sin telefon ved grænsen.
Et år senere, rumænske politi busters lejlighed døre i Bukarest, Rumæniens hovedstad, og tager gruppens medlemmer i forvaring.
I denne uge, to af denne bandens medlemmer blev fundet skyldige ved en føderal jury, mens en tredje havde allerede erklæret sig skyldig i November sidste år. De tre nu står til ansigt lange fængselsstraffe på næsten to dusin afgifter, hver.
Der er Bayrob bande?
De tre hackere er Bogdan Nicolescu (“Masterfraud” eller “mf”), Radu Miclaus (“Minolta” eller “min”), og Tiberiu Danet (aka “Amightysa” eller “amy”).
Billede: Symantec
×
bayrob-gang.jpg
Kollektivt, de er nu kendt som Bayrob gang, efter navnet Symantec gav malware gruppen først blev udviklet tilbage i 2007.
Det er da gruppen startede på deres vej til it-kriminalitet. Ligesom alle “iværksættere”, de første startede i det små.
De valgte at dække bedrageri, fordi, på det tidspunkt, det er hvad de fleste rumænske hackere var i til. I midten af 2000’erne, Rumænien var et af de store lande i verden for it-kriminalitet.
Nogle af disse hackere kom fra bænke af landets mange computer science universiteter, nogle selv-uddannet på snesevis af hacking og cyber-sikkerhed fora, der vrimler det rumænske internettet på det tidspunkt.
Forbrydelsen-du-jour på det tidspunkt, og hvad Rumænere hackere i sidste ende blev kendt for, var online svindel, og især eBay-svindel. Dette er, hvordan Bayrob gang fik deres start, følgende tutorials og tricks, at de har læst om online auktion svig.
Hvordan Bayrob gang fik startet
I deres begyndelse, Bayrob hackere fokuseret på eBay, og mindre, der er klassificeret annoncer sites. Deres typiske fremgangsmåde var at indrykke en annonce eller en auktion, som regel for et dyrt produkt, og vente til at komme med bud.
Interesserede købere normalt ville nå ud af banden ville måle deres interesse, men de havde altid svaret, at en anden bruger overbyde for produkt-normalt en dyr og meget eftertragtede bil, selvom det ikke er high-end luksus modeller.
Men dage efter, Bayrob medlemmer ville nå ud igen, fortæller den interesserede køber, at den oprindelige tilbudsgiver havde bakket ned, og bilen er til rådighed igen.
Billede: Symantec/Norton
×
bayrob-ebay-scam-email.jpg
De vil tilbyde at sætte bilen på auktion igen, og selv har sendt nye billeder af bilen, pakket i slideshows. Hvad brugerne ikke vidste var, at diasshowet indeholdt Bayrob malware, som ville inficere deres Pc ‘ er.
Billede: Symantec
×
bayrob-slideshow.png
Den Bayrob team vil derefter sende en anden e-mail til købere, der lokket potentielle ofre på ny auktion sider. Det er på dette tidspunkt, at Bayrob malware ville ind i folden.
Det ville aflytte link og omdirigere ofre for en falsk eBay-side.
Symantec, der hjulpet med at undersøge koncernens aktiviteter, der sagde, at i denne første fase af gruppens evolution, banden normalt ville håndværk versioner af Bayrob malware, der er tilpasset til hvert offer, sammen med falske eBay-sider, der indeholder alt fra sælger falske anmeldelser, falske køretøj historie rapporter, og falske sider fra depotet og levering af tjenesteydelser.
Falske eBay sider, at Bayrob malware ville vise ofre
Billede: Symantec/Norton
×
bayrob-ebay-fidus.png
Koncernens bedrageri var et hak over alt andet, med stor opmærksomhed for detaljer, og med e-mails er skrevet på perfekt engelsk, så det er ikke til at advare købere af en potentiel fidus.
At flytte op til det næste niveau
Men da gruppen solgt mere ikke-eksisterende biler og flere penge, er dette også hjulpet dem til at udvide aktiviteter over, hvad de fleste eBay svindlere lavede på den tid.
En rumænsk threat intelligence analytiker, der talte med ZDNet i et telefon interview, men ikke ønsker sit navn delt, fordi han ikke var bemyndiget til at tale for virksomheden og give oplysninger, der fortalte os Bayrob gang begyndte at frekventere russisk-baseret hacking fora på denne tid, at lære fra de mere avancerede russiske svig scene, endda begyndt at samarbejde med andre kriminelle grupper.
Og gruppen har lært en masse. Den Bayrob gang begyndte at lægge sammen for falske hjemmesider for at skabe en større økosystem af falske virksomheder omkring deres svindel.
For eksempel, de skabte flere falske vognmænd, som de brugte som en front, der angiveligt transport købt biler til købere.
Den Bayrob bande ofte ville bruge den undskyldning, at disse falske vognmænd blev forsinket i at levere de købte biler, der giver trio ekstra tid til at overføre midler fra Nord Amerika med deres primære jagt jorden-til Rumænien.
Ved den tid, offeret, der er fanget på, at de er blevet snydt, de fleste af de penge, som sendes til gruppens AMERIKANSKE eller Vestlige EU-bank-konti ville have været trukket tilbage, og meldt tilbage til gruppens medlemmer.
Billede: Symantec
×
bayrob-trucking.png
Mens der i dag er de fleste it-kriminalitet grupper bruge penge muldyr tjenester, der annonceres på hacking fora, dengang, det var ikke så simpelt. Den Bayrob gang var nødt til at ansætte deres egne penge muldyr.
De brugte falske jobannoncer lagt på populære klassificeret annoncer portaler og skabt falske hjemmesider for virksomheder. På et tidspunkt fik så fræk, at de løb en falsk Yahoo datterselskab kaldet Yahoo Overførsler, hvor ofrene fik at vide, at de var med rute produkter, der er købt på Yahoo sites.
Billede: Symantec
×
bayrob-penge-muldyr.png
Symantec siger, at penge muldyr gik igennem en opslidende rekrutteringsprocessen, der er involveret Google-baseret baggrund søgninger, instant messaging interviews, og VoIP-opkald.
Den Bayrob bande normalt ville reklamere “arbejde hjemme” – job, som intetanende ansøgere, der ville være nødvendige for at hæve penge fra koncernens AMERIKANSKE bankkonti og re-wire det gennem deres egne konti til andre konti.
Penge muldyr vil også blive bedt om at konvertere stjålet midler til digitale valutaer og sende den digitale valutaer til Bayrob bande-konti.
En anden taktik, vores kilde fortæller os, involverede Bayrob gang med at købe dyre produkter, som de er afsendt til penge muldyr’ hjem-adresser, hvor det ville være sendt i udlandet-hvor andre penge-muldyr ville re-sælge produkter, der effektivt konvertere nogen fidus/stjålet penge ind spores kontanter.
Men på trods af de problemer denne gruppe ville sætte penge gennem muldyr, Symantec sagde, at nogle af disse intetanende personer fik narret og nogle gange tjente ingen penge på alt fra at hjælpe Bayrob hvidvaske deres penge.
“Muldyr i USA blev givet to muligheder for betaling,” Symantec sagde, at i 2016 rapport. “De kunne holde seks procent af de midler, der overføres, eller de kunne sende hele beløbet og senere modtage en check på 10 procent af det samlede antal. Den sidste mulighed var et fupnummer, og der er ingen, der har valgt det modtaget nogen betaling fra banden.”
Fra eBay-svindel for at drive en infostealer+keylogger
Vores kilde fortæller os, at omkring 2011, gruppen har ændret sin drift i en stor måde. Det var på dette tidspunkt, at koncernens strejftog i den russiske underjordiske verden begyndte at påvirke koncernens tankegang.
De tre var at se den store succes og den vasts mængder af penge operatører af Zeus (Zbot) banking trojanske var at gøre.
Det er, når gruppen er begyndt at gennemføre flere funktioner i Bayrob malware-kode, og begyndte langsomt at flytte fra pr-person eBay-svindel til en ukritisk malware distribution drift.
Alle af en pludselig, i stedet af et lille stykke kode, der vil omdirigere eBay købere til falske sider, Bayrob malware begyndte at udvikle sig og få et mere indgående funktioner.
Den gruppe, der ikke har mandskab og lysten til at gå den fulde banking trojanske rute, og i stedet vælge at tilføje et tastetryk skovhugst funktion, der er optaget ofre’ tastatur-input.
Malware vil logge alt, hvad brugeren har skrevet, og de sendte data tilbage til malware-banden ‘ s server, hvor det vil blive analyseret for e-bank-logins, legitimationsoplysninger til sociale medier platforme og online betalingsløsninger, og kredit kort tal mønstre.
Dette var før bankerne havde moderne afsløring af svig funktioner og multi-faktor-autentificering, så gruppen ville blot logge ind brugeres konti og overføre alle de penge de ville have deres penge muldyr, for “behandling” (hvidvaskning af penge).
De fik grådige, og det viste sig, som deres malware fik mere kompleks. Dette, igen, førte til de store navne i cyber-sikkerhed industrien vender deres blik på koncernens drift.
Det var i 2011, at Symantec og mange andre cyber-sikkerhed i virksomheder i gang efter den gruppe nærmere. Og de havde, hvad de skal følge.
Det var i denne fase, at gruppen begyndte at bruge Bayrob at automatisere driften på ofrets computere, hvor det ville registrere nye AOL-konti, som det vil bruge til at spam-offer ‘ s kontakter med spam-beskeder i håb om at gøre nye ofre. Ved at konvertere hver hacket offeret i en spam-spewing machine, gruppens botnet voksede til en massiv størrelse.
Symantec sagde, at mens der tilbage i 2007 Bayrob blev set som en lille time drift med omkring 1.000 inficerede robotter en del af sit botnet, senest i 2014, og koncernens botnet nået 50.000, en meget respektabel størrelse for enhver malware drift.
Crypto-mining periode
Men gruppen var ikke gjort udvide operationer. Omkring det tidspunkt, Bitcoin havde også eksploderet på tech-scene, og det var stadig rentable at udvinde ved hjælp af plain ol’ computere.
Den Bayrob gang hoppede med på vognen ved at tilføje Bitcoin mining kapaciteter til Bayrob malware, og overskuddet begyndte at komme i højre væk. Deres nyfundne alternativ kilde til let-at-tjene penge fascineret gruppen. Online indlæg fra denne periode viste deres interesse i emnet.
Den Bayrob malware distribution aktivitet også spidse, med den trojanske gøre det på flere og flere Pc ‘ er. Symantec har botnet ‘ s maksimale antal på 300.000 kr, mens den AMERIKANSKE Department of Justice (DOJ) sætte en 400.000 figur på Bayrob botnet i retten af dokumenter.
I en pre-IoT botnet æra, dette antal blev anset for massiv. Kombineret med gruppens forkærlighed for at stjæle penge fra folks konti, dette sætter gruppen til højre i toppen af FBI ‘ s mest eftersøgte hackere liste.
Jagten på Bayrob
Både FBI og Symantec begyndte at satse ud koncernens massive drift. Den Bayrob gang også fået nys om, at noget var op. Alle af en pludselig, cyber-sikkerhed i virksomheder, der udgiver dybdegående rapporter om deres malware. ESET, Comodo, Fortinet, bare for at nævne et par stykker –Bayrob er også nævnt som Nivdort i nogle rapporter.
Efter drift i et halvt årti, i fuldstændig stilhed og ud af rampelyset, begyndte gruppen at mærke varmen. Men disse var ikke din almindelige “script kiddies”, at stykket tilfældig kode sammen som et weekend-projekt.
Gruppens medlemmer havde deres ting, især på DEN side (mere om det senere). Den malware, der ofte blev opdateret, nogle gange med nogle frække beskeder til nogle vagtselskaber, og koden var top-notch, ofte bedre, med funktioner til at forhindre, reverse-engineering, nem analyse, eller fyldt med junk kode for at styre analytikere på den forkerte vej.
Billede: Symantec
×
bayrob-symantec.jpg
Desuden har gruppen også haft nogle af de bedste operationelle sikkerhed (OpSec), at sikkerhed forskere har set indtil dette punkt på malware scene.
Bayrob interne kommunikation er altid krypteret, holde efterforskere blind for, hvad der den gang var at gøre, hvilket gør beslaglæggelse af alle tredje-parts e-mail eller XMPP server ubrugelig.
Symantec, der har spillet en afgørende rolle i undersøgelsen, sagde Bayrob bande krypteret alle e-mails med PGP, og krypterede alle instant messaging-chat med en Off-The-Record (OTR) protokol.
Den Bayrob malware servere også var skærmet af ikke én, men to proxy-lag, som gav gruppens medlemmer til at oprette forbindelse til det fra deres hjem uden at give væk deres nøjagtige placering.
En første proxy-netværk blev oprettet ved hjælp af servere i Rumænien, mens en anden proxy netværk kørte på toppen af USA-baserede servere.
“En af vores mest betydningsfulde gennembrud kom, da vi opdagede et svagt punkt i deres brug af disse fuldmagter,” sagde Symantec i 2016, efter trioens udlevering til USA.
“På grund af denne svaghed, banden’ s ondsindede aktiviteter blev udsat, hvilket giver os mulighed for passivt at observere sine aktiviteter på computere Symantec beskytter.
“Vores undersøgelse krævede tid og tålmodighed. I en sag, vi har observeret banden ‘ s ondsindede aktiviteter for et år og en halv, før det har begået en fejl, der er udsat for én af dens formodede medlemmer,” tilføjede virksomheden.
En AOL-login snafu og et besøg til Miami dømt gruppen
Denne fejl udsat Miclaus’ identitet. På Miclaus og Niculescu er for nylig indgået trial, anklagemyndigheden afsløret, hvordan de brugte denne info.
I henhold til en Cleveland.com rapport, tilbage i 2013, Miclaus, mens der bag hans netværk af proxies, der ved et uheld er logget ind på sin personlige AOL-konto i stedet for en af de AOL-konti gruppen var med til at sende spam e-mails.
Dette gjorde, at undersøgerne link Miclaus’ real-life-persona til koncernens aktiviteter, og som en bande medlem. Senere info fra Symantec hjulpet efterforskere opspore andre mulige medlemmer, selv om de var aldrig sikre på deres deltagelse på grund af manglende beviser.
Det beviser landede i FBI ‘ s lap ved et uheld, da et af gruppens medlemmer rejste for at besøge venner i USA.
På Miclaus og Niculescu trial, anklagemyndigheden viste, at mens Danet var i Miami lufthavn, FBI vedtaget en ransagningskendelse til hemmeligt at søge Danet telefon, hvor de udpakkede meddelelser, der udveksles mellem de tre Bayrob medlemmer, der fortalte om deres drift.
AMERIKANSKE efterforskere fortsatte med at indsamle oplysninger om koncernens drift, indtil juli 2016, når de følte sig overbevist om, at de havde en sag, og som er udstedt international arrestordre i navnene på de tre Bayrob medlemmer, som rumænske politi handlede og anholdt de tre i Bukarest.
De blev anklaget ved en amerikansk domstol i December 2016, med Danet erkendt sig skyldig i November sidste år i lyset af en uoverstigelig sag, baseret på data indsamlet fra sin telefon. Hans strafudmåling retsmøde er planlagt til Maj 2.
Billede: opsamling fra Kanal D video
×
bayrob-mugshots.jpg
Danet gik fra top programmør til at malware coder
Af de tre, Danet har også den vildeste baggrundshistorie. I den gruppe, Danet blev tech guy; den ene, som skrev malware-koden, og det lykkedes den botnet og sine servere. Uden ham, gruppen ville aldrig have nået de højder, de nåede, og som ville have sandsynligvis været et lav-tier eBay fidus gruppe.
En kandidat fra en af Bukarest top matematik og datalogi college, Danet vundet flere internationale datalogi konkurrencer, selv indtager en tredjeplads i ACM (Association for Computing Machinery) udgave, og ranking højt i mange andre.
Ifølge den rumænske TV-station, Kanal D, i 2008, Danet blev valgt som træner for Rumæniens Nationale datalogi-Holdet, selv om han stadig var studerende.
“Han kunne have arbejdet hvor som helst han ønskede, for de samme penge, han gjorde som en hacker,” vores kilde sagde over telefonen, når de skal beskrive Danet programmering færdigheder. “Jeg kan stadig ikke tro det, efter alle disse år.”
Bayrob medlem Tiberiu Danet
Billede: UNIBUC, via Kanal D
×
bayrob-danet.jpg
Danet ‘ s IT-uddannelse forklarer, hvorfor it-sikkerhed for virksomheder og AMERIKANSKE myndigheder havde sådan en hård tid at bryde gennem Bayrob yderstof.
I virkeligheden, trioen ‘ tiltale ser lige så meget som en malware-rapport, da det er et juridisk dokument, der indeholder en enorm guldgrube af teknisk-rige detaljer, som mange tidligere hacking/hacker-relaterede retten filer, der ikke plejer at gøre, igen viser Bayrob avancerede tekniske makeup.
En Bayrob hacker hævder, at han er blevet fejlagtigt anklaget for
Som for hans medsammensvorne, Miclaus og Nicolaescu, de var ansvarlige for Bayrob er svig og hvidvaskning af penge, henholdsvis, og havde lige så meget at gøre med driften succes som Danet havde.
På trods af alle de retten fremlagt bevis under retssagen, Nicolaescu nægtet ethvert engagement med Bayrob ordning, der hævder, at han kun boede med Miclaus og havde været forkert, der er forbundet med den gruppe, om end at indrømme, at han kendte til dens eksistens.
De to vil høre deres domme på August 14, ændre dette år.
Det amerikanske JUSTITSMINISTERIUM siger, at der i gruppen er næsten ti år lange operation, trio var omkring $4 millioner (Symantec er placeret antal på omkring $35 millioner), løb over 1.000 eBay svindel, og der er registreret over 100.000 AOL-konti for at sende over 11 millioner spam-e-mails.
Relaterede malware og it-kriminalitet dækning:
It-kriminalitet marked, der sælger digitale fingeraftryk af over 60.000 usersTriton hackere vende tilbage med nye, hemmelige industrielle attackReveton ransomware distributør dømt til seks år i fængsel i UKSecurity forskere opdage iOS-version af anden Mosebog Android spywareEmotet kaprer e-mail-samtalen tråde, indsætte links til malwareUS regeringen offentliggør oplysninger om nordkoreas HOPLIGHT malware, Hvordan Fn ‘ s hjælper med at bekæmpe globale it-kriminalitet TechRepublicApple fjernet populære app, der blev hemmeligt at stjæle din browser historie CNET
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre