米国司法省は今月、「Evil Corp」と名乗り、企業や消費者からおよそ1億ドルを盗んだ広大な国際的サイバー犯罪ネットワークを指揮した疑いで起訴されたロシアの男の逮捕と有罪判決につながる情報に対して500万ドルの懸賞金を提供しました。 たまたま、KrebsOnSecurityは、数年間、被告人とその共犯者の日々のコミュニケーションと活動を注意深くモニターしていました。 以下は、このギャングのバックエンドオペレーションを内部から見たものです。
Image: FBI
報奨金500万ドルは、32歳のMaksim V. Yakubets(政府によると「アクア」、「アクアモ」などのニックネームで呼ばれていた)のために提供されています。 連邦政府は、アクアが少なくとも16人の仲間とともにエリート・サイバー犯罪組織を率い、「JabberZeus」や「Bugat」(別名「Dridx」)と呼ばれる高度でカスタムメイドのマルウェアを使って、米国と欧州の何百もの中小企業の社員から銀行の信用情報を盗み出したと主張しています。
2009年から現在まで、陰謀におけるアクアの主な役割は、イービルコーポレーションが被害者から盗んだ金を洗浄し、ロシア、ウクライナ、東ヨーロッパの他の地域に拠点を置く陰謀のメンバーに送金するのを助けるために、無意識または加担する共犯者を継続的に募集し管理することでした。 これらの共犯者は「マネー・ミュール」として知られ、通常、電子メールで送信される在宅勤務の勧誘や、求人情報サイトに履歴書を提出した人に募集されます。
マネー・ミュールの募集者は、パートタイムや遠隔勤務を探す人を対象にする傾向があり、仕事は通常、銀行送金の受け取りと転送以外の仕事をほとんど伴いません。 これらのオファーに食いついた人は、送金に成功するたびに少額の手数料を受け取ることもありますが、約束の給料を踏み倒されたり、そのような犯罪を追跡する法執行機関から訪問や脅迫状を受け取ったりすることもあります(これについては後ほど詳しく説明します)。 ある情報筋によると、Aqua と他の数人の運び屋やマルウェア提供者の間の毎日のオンライン チャットを傍受して読む方法を偶然発見し、ハッキングされた企業から毎週何十万ドルも盗んでいたとのことです。 募集メッセージに反応した人々は、これらのサイトのひとつでアカウントを作成し、個人と銀行口座のデータを入力するよう招待され (ラバは、東欧に拠点を置く雇用者の「プログラマー」の支払いを処理すると言われました)、それから毎日ログインして新しいメッセージをチェックします。 これは、信頼できないマネー・ミュールを排除するための努力だと思います。
アクアなどが立ち上げた、資金仲介人の募集と管理を行うサイトのひとつです。 「おはようございます。 私たちのクライアントである XYZ Corp.は、今日あなたにお金を送ります。 今すぐ銀行に行き、この支払いを現金で引き出してください。そして、手数料を差し引いた金額を、東欧の3人に均等に送金してください」
ただ、どの場合も、「クライアント」として言及された会社は、実際には、すでにハッキングした給与口座のある中小企業だったのです。 これらのラバ募集サイトには、それぞれ同じセキュリティ上の弱点がありました。 誰でも登録でき、ログインした後は、ブラウザのアドレス バーの数字を変更するだけで、他のすべてのユーザーとの間でやり取りされたメッセージを見ることができます。 その結果、何十もの偽の企業サイトに登録されたすべてのマネーミュールに送られたメッセージを自動で検索するのは簡単なことでした。
それで、数年間毎日、私の朝の日課は次のようなものでした。 コーヒーを淹れ、コンピュータに向かい、アクアとその共謀者たちが12~24時間前に資金仲介人に送ったメッセージを表示し、Googleで被害者の会社名を調べ、電話を取って、ロシアのサイバー集団に奪われつつあることを警告しました。 このような電話には、「私が誰なのかわからないと思いますが、これが私の連絡先と仕事です。 手遅れになる前に、すぐに銀行に連絡し、保留中の送金を保留にしてもらう必要があります。 私がなぜこのようなことを知っているのか、もっと情報を得たいのであれば、その後で自由に電話をかけてきてください。
多くの場合、私の電話は、被害者企業の銀行で不正な給与バッチが処理されるわずか数分から数時間前にかかってきますが、こうした通知のおかげで、そうでなければ巨額の損失-組織の通常の週給額の数倍-を防げたものもあります。 ある時点で、この連絡によって被害者が何万ドル救われたかを数えるのをやめましたが、数年間ではおそらく数百万ドルでした。
同じように、被害者の会社は私が強盗に何らかの形で関与していると疑い、警告後すぐに FBI 捜査官や被害者の故郷の警察官から電話を受けることがよくありました。 そういうときは、いつも面白い会話になった。 言うまでもなく、私を追いかけて空回りした被害者は、たいていはるかに多額の金銭的損失を被りました (主に、手遅れになるまで金融機関への連絡が遅れたため)。
Evil Corp. の被害者へのこれらの通知により、損失を取り戻すために金融機関と争う中小企業の話が数年間にわたり何十本も生まれました。 私が彼らの苦境と、他の企業が直面している脅威の巧妙さに注意を喚起することを快く思わない被害者は、一人もいなかったと私は思います。 続きを読む →