اردیبهشت ۸, ۱۴۰۳
  • twitter
  • telegram
  • linkedin
  • youtube
  • instagram
  • aparat

توسعه دهنده بدافزار TrickBot به گناه خود اعتراف کرد.

روز پنجشنبه، یک تبعه روس به اتهامات مربوط به مشارکت در توسعه و استقرار بدافزار Trickbot که در حملات علیه بیمارستان‌ها، شرکت‌ها و افراد در ایالات متحده و سراسر جهان استفاده می‌شد، اعتراف کرد.

بر اساس اسناد دادگاه، یک فرد 40 ساله که به نام FFX نیز شناخته می‌شود، به عنوان یک توسعه‌دهنده بدافزار بر توسعه مؤلفه تزریق مرورگر TrickBot نظارت داشته است.

ظاهراً ارتباط دونائف با سندیکای بدافزار TrickBot در ژوئن 2016 پس از استخدام به عنوان توسعه دهنده پس از یک آزمایش استخدامی شروع شد که از او خواسته شد تا برنامه ای شبیه سازی کننده سرور SOCKS ایجاد کند و مرورگر فایرفاکس را تغییر دهد.

در سپتامبر 2021، او هنگام تلاش برای فرار در کره جنوبی دستگیر شد.  به دلیل محدودیت های سفر COVID-19 و گذرنامه منقضی شده، او مجبور شده بود بیش از یک سال در کره جنوبی بماند.  روند استرداد در 20 اکتبر 2021 نهایی شد.

دونائف و همدستانش در پشت صفحه کلیدهای خود پنهان شدند، ابتدا Trickbot را ایجاد کردند، سپس از آن برای آلوده کردن میلیون‌ها کامپیوتر در سراسر جهان – از جمله رایانه‌هایی که توسط بیمارستان‌ها، مدارس و مشاغل استفاده می‌شوند – استفاده کردند و به حریم خصوصی حمله کردند و باعث اختلال و خسارت مالی بی‌شمار شدند.

بدافزار TrickBot به اپراتورهای خود کمک کرد تا اطلاعات شخصی و حساس (از جمله مشخصات کارت‌های اعتباری، ایمیل‌ها، رمز عبور، تاریخ تولد، SSN‌ها و آدرس‌ها) را جمع‌آوری کرده و وجوه را از حساب‌های بانکی قربانیان خود به سرقت ببرند.

دونائف به اتهامات مربوط به توطئه برای ارتکاب کلاهبرداری رایانه ای و سرقت هویت، در کنار اتهامات توطئه برای کلاهبرداری سیستمی و بانکی، اعتراف کرد.  حکم او برای 20 مارس 2024 تعیین شده است و او برای هر دو جرم با حداکثر 35 سال زندان مواجه است.

کیفرخواست اولیه دونائف و هشت متهم همکار را به اتهام دخالت در توسعه، استقرار، اداره و سود از عملیات Trickbot متهم کرد.

دومین توسعه دهنده بدافزار باند TrickBot است که توسط وزارت دادگستری ایالات متحده دستگیر شد. در فوریه 2021، آلا ویت، ملیت لتونی (معروف به مکس) دستگیر و متهم به کمک به نوشتن کد مورد استفاده برای کنترل و استقرار باج‌افزار در شبکه‌های قربانیان شد.

در فوریه و سپتامبر، ایالات متحده و بریتانیا در مجموع 18 شهروند روسی مرتبط با باندهای جنایت سایبری TrickBot و Conti را به دلیل دست داشتن در اخاذی حداقل 180 میلیون دلار از قربانیان در سراسر جهان تحریم کردند.  همچنین، آنها هشدار دادند که برخی از اعضای گروه Trickbot با سرویس های اطلاعاتی روسیه مرتبط هستند.

بدافزار TrickBot که در ابتدا بر روی سرقت اعتبار بانکی تمرکز داشت، زمانی که در سال 2015 ظاهر شد، به ابزاری مدولار تبدیل شد که توسط سازمان‌های جرایم سایبری مانند Ryuk و باج‌افزار Conti برای دسترسی اولیه به شبکه‌های شرکتی در معرض خطر استفاده می‌شد.

پس از چندین تلاش برای حذف، باند جرایم سایبری Conti کنترل TrickBot را به دست آورد و از آن برای توسعه گونه‌های بدافزار پیچیده‌تر و مخفیانه‌تر، از جمله Anchor و BazarBackdoor استفاده کرد.

با این حال، پس از تهاجم روسیه به اوکراین، یک محقق اوکراینی ارتباطات داخلی کونتی را در آنچه که اکنون به عنوان “نشت های کنتی” شناخته می شود، فاش کرد.

مدت کوتاهی پس از آن، یک چهره ناشناس با استفاده از نام تریک لیکس شروع به افشای جزئیات مربوط به عملیات TrickBot کرد و بیشتر به تشریح پیوندهای آن با باند Conti پرداخت.

در نهایت، این نشت‌ها باعث توقف عملیات باج‌افزار Conti شد که منجر به تقسیم آن به گروه‌های باج‌افزار دیگر مانند Royal، Black Basta و ZEON شد.

علاقمند به حوزه امنیت اطلاعات و آشنا به حوزه تست نفوذ
  • facebook
  • twitter
  • googleplus
  • linkedIn
  • flickr

نوشته های مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

آخرین مطالب