ZeuS

ZeuS
Тип Троянская программа
Год появления 2007 год

ZeuS (также Zeus, Zbot) — троянская программа и ботнет нового типа, появившаяся в 2007 году, и предназначенная для перехвата паролей от платежных систем и последующей кражи денежных средств[1]. Ущерб от данной троянской программы составил 70 млн долларов[2].

Характеристика троянской программы

[править | править код]

ZeuS был написан на Visual C++. Предназначен для всех версий Windows, и из-за своей структуры, позволяющей работать без подключения программы к драйверам, может заразить компьютер даже из гостевой учётной записи[3].

После того, как произошло заражение, троянская программа внедряется в систему и перехватывает ваши регистрационные данные. Получив ваши данные, программа переводит на счета других зараженных небольшую сумму денег, тем самым, делая невозможным найти счет взломщика[4].

Некоторые версии Zeus маскируются цифровой подписью Лаборатории Касперского[5]. После внимательного изучения этой подписи были выявлены некоторые различия, в связи с чем подпись была признана подделкой.

Помимо версий для Windows существует ещё 5 разновидностей вируса для мобильных устройств[6]. Они направлены на устройства с операционной системой BlackBerry и Android[7].

ZeuS стал одним из первых троянов, который продавался по принципам лицензионной программы (до тех пор, пока код программы не был выложен в открытый доступ). Мобильная версия ZitMo помогала обходить двухфакторную авторизацию с отправлением текстовых сообщений на мобильное устройство[8].

Распространение

[править | править код]

Как сообщает Kaspersky.ru, первая зафиксированная активность трояна ZeuS датируется 2007 годом, когда с помощью него были произведены кражи данных в департаменте транспорта США[8].

От ZeuS пострадали 196 стран мира. Компьютеры заражались через электронную почту, зараженные файлы, ссылки-ловушки и социальные сети. Это был первый в истории случай, когда вредоносное ПО распространялось через социальные сети. Через Facebook пользователям передавалось несколько фотосообщений, которые переадресовывали на сайты с ZeuS[9]. От данного типа распространения троянской программы особенно сильно пострадали США, Индия и Италия.

Центры управления

[править | править код]

В лаборатории Касперского, согласно статистике IP-адресов, была составлена карта распространения серверов.

Как видно по карте, вредоносные адреса разбросаны по всему миру. Но чаще всего злоумышленники размещают свои серверы у европейских, североамериканских, российских и китайских провайдеров[10]. В этих регионах лучше всего развита сфера предоставления услуг хостинга.

Скрытое сообщение в программе

[править | править код]

В одной из модификаций ZeuS содержалось скрытое сообщение, в котором разработчики выразили благодарность разработчикам антивируса Касперского и Avira AntiVir, а антивирусы Nod 32 и Symantec назвали «глупыми»[11]. Оригинальный текст сообщения выглядит так:

Thanks to KAV and to Avira for new quests, i like it! NOD32 and SAV is stupid!

Экспертами компаний по информационной безопасности Checkpoint Security и Versafe, участвовавшими в исследовании вредоносной деятельности группы вирмейкеров, похищавших средства со счетов клиентов ведущих европейских банков, был подсчитан ущерб, нанесённый клиентам, который составил €36 млн. Вирусная атака затронула такие страны, как Испания, Италия, Германия и Нидерланды. Атаке подвергался не только персональный компьютер жертвы, но и мобильные устройства клиента[12].

Ботнет GameOver Zeus (GOZ), построенный на основе ZeuS, был обезврежен усилиями спецслужб[13].

Возможные авторы ZeuS

[править | править код]

В 2013 году Хамза Бенделладж, известный в Интернете как Bx1, был арестован в Таиланде[14] и депортирован в Атланту (штат Джорджия, США). В ранних сообщениях говорилось, что он был вдохновителем ZeuS. Его обвинили в использовании ботнета SpyEye (ботнет, функционально похожий на ZeuS), а также подозревали в использовании ботнета ZeuS. Ему было предъявлено обвинение по нескольким пунктам обвинения в мошенничестве с использованием электронных средств, компьютерном мошенничестве и злоупотреблениях[15].

В авторстве исходного трояна ZeuS и распространении основанного на нем ботнета GameOver ZeuS ФБР обвиняют россиянина Евгения Михайловича Богачева[13] (известен также под псевдонимами Slavik и Lucky12345[16], а также Pollingsoon[13]). По данным ФБР, он проживает в Анапе. Его четверо сообщников известны по никам Temp Special, Ded, Chingiz 911 и Mr. Kykypyky, а проживают они на Украине и в России (по информации спецслужб США). Богачев считается одним из главных киберпреступников, разыскиваемых ФБР[13]. За помощь в поимке Богачева предлагается вознаграждение в размере 3 млн долларов[16].

В 2017 году The New York Times опубликовала статью, в которой утверждалось, что Евгений Богачев может работать на российские спецслужбы и помогать добывать им секретные сведения[17][18].

Примечания

[править | править код]
  1. Троянские программы семейства ZBot. Архивировано из оригинала 1 августа 2013 года.
  2. Троян Zeus. web.archive.org (8 ноября 2013). Дата обращения: 12 ноября 2021. Архивировано 8 ноября 2013 года.
  3. Risk Detected (англ.). www.broadcom.com. Дата обращения: 12 ноября 2021. Архивировано 12 ноября 2021 года.
  4. Троян "Зевс" ограбил британцев на 1,5 млн долларов. Дата обращения: 12 ноября 2021. Архивировано 7 октября 2016 года.
  5. Троян Zeus маскируется за цифровой подписью Лаборатории Касперского (5 августа 2010). Дата обращения: 4 декабря 2012. Архивировано из оригинала 26 марта 2014 года.
  6. BlackBerry, Android users targeted by new Zeus trojan (8 августа 2012). Дата обращения: 4 декабря 2012. Архивировано из оригинала 17 августа 2016 года.
  7. Вирус Zeus нацелен на Blackberry. Новости современных технологий. Дата обращения: 12 ноября 2021. Архивировано 21 августа 2016 года.
  8. 1 2 «Великолепная» четверка банковских троянов. kaspersky.ru (21 октября 2013). Дата обращения: 12 ноября 2021. Архивировано 12 ноября 2021 года.
  9. Теперь и в социальных сетях: банковский троян ZeuS распространяется через Facebook. NEWSru.com (30 ноября 2011). Дата обращения: 12 ноября 2021. Архивировано 12 ноября 2021 года.
  10. Дмитрий Тараканов - Securelist. web.archive.org (15 июля 2010). Дата обращения: 12 ноября 2021. Архивировано 15 июля 2010 года.
  11. Alexander Antipov. Создатели трояна Zeus поблагодарили Касперского. www.securitylab.ru (11 февраля 2010). Дата обращения: 12 ноября 2021. Архивировано 12 ноября 2021 года.
  12. "Группа киберпреступников похитила за год 36 млн евро из банков Европы". РИА Новости. digit.ru. 2012-12-05. Архивировано из оригинала 12 декабря 2012. Дата обращения: 5 декабря 2012.
  13. 1 2 3 4 Евгений Богачев: хакер, которого ищет ФБР. BBC News Русская служба (4 июня 2014). Дата обращения: 12 ноября 2021. Архивировано 12 ноября 2021 года.
  14. Al Jazeera (2015-09-21). "Hamza Bendelladj: Is the Algerian hacker a hero?". AJE News. Архивировано 18 января 2018. Дата обращения: 12 ноября 2021.
  15. Zetter, Kim Alleged 'SpyEye' Botmaster Ends Up in America, Handcuffs, Kim Zetter, Wired, 3 May 2013. Wired.com. Дата обращения: 12 ноября 2021. Архивировано 21 марта 2014 года.
  16. 1 2 Славик, Смелый и другие Даниил Туровский — о самых известных российских хакерах. Meduza. Дата обращения: 12 ноября 2021. Архивировано 12 ноября 2021 года.
  17. Schwirtz, Michael (2017-03-12). "Russian Espionage Piggybacks on a Cybercriminal's Hacking". The New York Times. Архивировано 12 ноября 2021. Дата обращения: 12 ноября 2021.
  18. Самого разыскиваемого хакера мира связали с российской разведкой. Газета.Ru. Дата обращения: 12 ноября 2021. Архивировано 12 ноября 2021 года.