Технологии
TJ

Одноглазый шпион

Как ФБР вычислило хакера, следившего за победительницей конкурса красоты Miss Teen USA через её веб-камеру

Автор: Настя Праздничная

Хакер, использовавший RAT (Remote Administration Tool, средство удаленного управления), смог наблюдать за обнажённой победительницей конкурса красоты черёз её веб-камеру. Девушка даже не знала о слежке: лампочка камеры не загоралась. TJournal публикует перевод статьи Нейта Андерсона о подробностях взлома и поимки преступника в блоге Ars Technica.

Хакер с никнеймом «милыйпушистыйщенок» оказался не таким уж и милым.

ФБР сообщила 27 сентября о задержании и аресте шантажиста, сделавшего снимки обнажённой Miss Teen USA Кэссиди Вульф через веб-камеру на её ноутбуке.

Им оказался 19-летний Джаред Джеймс Абрахамс — студент, изучавший компьютерные технологии в Калифорнии, с ником cutefuzzypuppy («милыйпушистыйщенок»). Во время его наиболее активной деятельности по слежке в 2012 году у него было порядка 150 «рабов», то есть компьютеров, заражённых RAT.

Наблюдение за девушками требует больших временных затрат: например, нужно дождаться, пока девушка начнёт переодеваться. Тем не менее, это Абрахамса не останавливало: согласно иску ФБР, он «постоянно находился за своим компьютером». 27 сентября, когда ФБР подала иск, Абрахамс сам выдал себя полиции, и федеральный судья отпустил его под залог в 50 тысяч долларов.

Анатомия пользователя RAT

Как же Абрахамс начал знакомиться с тонкостями использования средства удалённого управления (RAT), вредоносного ПО, позволяющего следить за жертвами? Неудивительно, что он был постоянным участником форума «рэттеров» на hackforums.net, о котором я писал чуть ранее в этом году.

Под ником «милыйпушистыйщенок» Абрахамс задавал множество вопросов по распространению вредоносного софта вроде DarkComet на компьютеры жертв, так как у него «ни черта не получалось с социальной инженерией» и ему нужно было найти способы получше.

Он также делился своими успехами. 17 мая 2012 года он сообщил сообществу «рэттеров» на hackforums.net: «Недавно мне удалось установить DarkComet на компьютер одной из девчонок в школе. Это огромная удача, что мне это удалось, ведь у меня ни черта не получается с социальной инженерией. К тому же, эта девчонка оказалась моделью, да ещё и очень симпатичной :D. Надеюсь, что смогу использовать её и её аккаунт в Facebook, чтобы распространить мой DarkComet RAT. Я хочу сделать рассылку по всему её списку друзей на Facebook, но понятия не имею, что написать, чтобы заставить их скачать мой RAT. Любые идеи и предложения приветствуются :-)».

«Моделью», которую он упоминает, очевидно, была Вульф, ноутбук которой был заражён в середине 2012 года. При помощи DarkComet Абрахамс сделал множество снимков обнажённой Вульф, за которой он следил до 21 марта 2013 года. В этот день Вульф получила сообщение о том, что кто-то пытается изменить её пароль на Facebook. Затем пришло такое же сообщение от Twitter, позже последовали такие же от Tumblr и Yahoo. Почувствовав неладное, она проверила свои аккаунты; в Twitter была размещена её фотография в полуобнажённом виде.

Спустя полчаса, она получила электронное письмо от взломщика. Он потребовал, чтобы Вульф либо отправила ему свои фото в обнажённом виде в «хорошем качестве» через Snapchat или отправила ему откровенное видео, либо «созвонилась с ним в Skype и в течение 5 минут делала всё, что он скажет». В случае отказа хакер обещал распространить по сети её обнажённые фотографии: в доказательство их наличия он прикрепил некоторые из них к письму.

Вместо этого Вульф обратилась в ФБР, и кибер-отряд Бюро в Лос-Анджелесе начал действовать. 29 марта ФБР обследовала ноутбук Вульф и убедилась, что хакер получил фотографии именно посредством DarkComet и BlackShades, ещё одной вредоносной RAT-программы. Но кто же был этим взломщиком?

IP-адреса, с которых приходили электронные письма взломщика, принадлежали VPN-провайдеру, который умышленно не хранил логи, но сами RAT привели к хакеру. Они использовали no-ip.org — сервис, позволяющий пользователям создавать динамический DNS для доменного имени (в данном случае, к cutefuzzypuppy.zapto.org и schedule2013.no-ip.org). Тем самым обеспечивалась возможность делать звонки с домашнего телефона «раба», даже если взломщик в этот момент использовал динамический IP-адрес домашнего доступа в интернет. No-ip.org хранил записи логов и предоставил их ФБР.

Вульф комментирует ситуацию

Записи свидетельствовали о том, что аккаунт на no-ip.org был создан на имя отца Абрахамса, а никнейм был cutefuzzypuppy («милыйпушистыйщенок»). Простой поиск через Google помог выяснить, как часто cutefuzzypuppy писал в сети про RAT.

Изучая семью Абрахамс, ФБР отправилось на Facebook. Там они нашли Джареда Абрахамса, а также название его колледжа. ФБР проследило за Джаредом в колледже: два агента узнали его по фотографии на его водительском удостоверении. Затем они уточнили в отделе информационных технологий в школе, и убедились, что Абрахамс получал доступ к анонимному VPN через школьную сеть. Бинго!

Однако во время расследования Вульф не была уверена, что её обнажённые фотографии не будут выложены в сеть. 27 мая хакер вновь написал ей с угрозами, которые готов был исполнить, если она не выполнит его требования. Он пообещал разместить её фотографию во всех взломанных аккаунтах её друзей в фейсбук, и заверил, что его ничто не остановит. «Заблокируй всех людей, удали все свои аккаунты, что угодно, просто знай: я принял окончательное решение, у меня достаточно взломанных пользователей Facebook, и я размещу твои фотки на всех страницах», — написал он.

ФБР нашло других жертв в Балтиморе, Канаде, Ирландии… список можно продолжать. Некоторые соглашались с условиями Абрахамса и раздевались перед ним в Skype. «Пожалуйста, пойми — мне всего лишь 17. Есть у тебя сердце или нет», — написала девушка из Ирландии. «Я сейчас тебе кое-что скажу! НЕТ у меня сердца!!!», — ответил Абрахамс.

Некоторые фотографии тех, кто отказывался выполнять требования, появились в сети. Прямо во время разговора с агентом ФБР 29 мая одна из жертв зашла в свой аккаунт в Instagram и увидела свои «фото в обнажённом виде».

4 июня был выдан федеральный ордер на обыск дома Абрахамса в Темекуле, Калифорния, где агенты изъяли цифровые устройства Джареда и обнаружили огромное количество видеозаписей жертв и RAT-инструментов. Абрахамс согласился на допрос и признал свою вину; он также отметил, что Вульф была первой из его RAT-жертв, которую он знал лично со времён их совместной учёбы в колледже. Абрахамс также сказал, что он «обычно не ведёт себя агрессивно».

Пользователь RAT следит за девушкой из Малайзии. На заднем плане весь список «рабов», компьютеры которых он контролирует.

Мы просим прощения

После того, как против Абрахамса был подан судебный иск и он впервые появился в суде, его семья опубликовала обращение, где они «приносят свои извинения за последствия поведения [Абрахамса] для семей, которых это коснулось».

Что же касается Вульф, она сделала этот вопрос главной темой своего года пребывания в статусе Miss Teen USA. Вчера она приняла участие в шоу Today и заявила, что ей «приятно знать, что я помогла и другим жертвам… Мне просто подумалось: грустно, что он решился на такое и сам себя загнал в рамки такой большой дилеммы».

Вульф сказала, что её лампочка на веб-камере никогда не загоралась, и поэтому она ничего не подозревала. И, вполне возможно, так оно и есть; в своих постах на hackforums.net «cutefuzzypuppy» демонстрирует детальные знания по моделям и драйверам веб-камер, размещая списки камер с «чертовски яркими лампочками» и тех, что «не светят, не требуют особого ПО, и 100% гарантируют незаметность».

Этот материал является переводом оригинальной статьи Нейта Андерсона «How the FBI found Miss Teen USA’s webcam spy» в блоге Ars Technica.

#Статья #хакеры #переводы #слежка #Remote_Administration_Tool