15.04.2016 09:41
alizar 33 12900 Источник

Создателем эксплоит-пака считается Дмитрий Федотов


12 апреля 2016 года Замоскворецкий суд Москвы признал виновными семерых хакеров и приговорил к наказанию от 5,5 до 8 лет заключения в колонии. Семилетний срок получил и Дмитрий Федотов, хорошо известный в подпольных кругах под никами Paunch и Tolst (досье).

27-летний Дмитрий Федотов вместе с коллегами, которые занимались разработкой и продажей программного обеспечения Blackhole, был задержан в октябре 2013 года.

Blackhole в течение нескольких лет оставался самым популярным набором эксплоитов на рынке, пишет известный специалист по безопасности и эксперт по подпольному рынку Брайан Кребс. С его помощью тысячи мошенников по всему миру успешно грабили пользователей, устанавливали банковские трояны на ПК, угоняли учётные данные онлайн-банкинга и т.д.

По информации российской компании Group-IB, более 1000 клиентов ежемесячно приносили за аренду программного обеспечения около $50 000 (это доход лично Федотова, на фотографии он рядом со своим Porsche Cayenne).

Впервые обнаруженный специалистами в 2010 году, набор эксплоитов Blackhole представлял собой вредоносное ПО, созданное для массового заражения компьютеров через взломанные или вредоносные сайты. Для этого использовался богатый и постоянно обновляющийся набор уязвимостей в браузерах, Flash, Java и т.д., в том числе 0day-уязвимости.

Стоимость аренды варьировалась от $500 до $700 в месяц. За дополнительные $50 клиент мог арендовать криптор и обфусцировать код, чтобы программа не обнаруживалась антивирусами.



Paunch сотрудничал с другими хакерами для покупки новых уязвимостей. Эксплоиты к ним оперативно добавлялись в набор Blackhole, так что программа постоянно поддерживалась в актуальном состоянии и была очень эффективна.

Blackhole оставался массовым продуктом. Со временем предприниматель пришёл к тому, чтобы на основе самых редких 0day-уязвимостей выпустить эксклюзивный набор Cool Exploit Kit, который продавался для VIP-клиентов по цене $10 000 в месяц.

Известно, что в начале 2013 года Paunch заплатил эксплоит-брокеру под ником J.P. Morgan сумму $200 000 для поиска и покупки новых 0day-уязвимостей. Таким образом, программа Blackhole не только приносила деньги своему создателю, но и была инструментом для финансирования всего чёрного рынка, начиная с рядовых хакеров, которые ищут баги в программах.

Комментарии (33)


  1. numberfive
    15.04.2016 13:03
    #9178228
    +3

    а выбрал бы (или добавил) в качестве целевой аудитории спецслужбы, государства, крупные корпорации, жил бы не тужил.


    1. Mr_Destiny
      15.04.2016 13:09
      #9178242
      +1

      «Идейный, значит… Идейный — это не хорошо, товарищи.»


  1. fruit_cake
    15.04.2016 13:12
    #9178248
    +2

    ЦРУ мог бы быть в рядах VIP клиентов


  1. wbnet
    15.04.2016 14:37
    #9178474
    +4

    Интересная стата на скриншоте светится. Chrome — 22.58% загрузок (эксплойтов?), IE — 2,51%, при вдвое большем кол-ве хитов у последнего. IE — must have? Или это что-то другое?
    Также удивляет «безопасный» Linux с его 13% загрузок, и которых больше чем в WinXP. Меня начали терзать смутные сомнения насчет окружающей реальности (кто-то похоже забыл проверить условия при запуске последней версии Матрицы в продакшн)


    1. oleg0xff
      15.04.2016 15:36
      #9178710

      Линукса наверно выборка не репрезентативная


      1. Foolleren
        15.04.2016 16:26
        #9178870
        +1

        По мне так вполне, сервера то под линуксом.


        1. oleg0xff
          15.04.2016 16:59
          #9178992

          Числа не сопостовимы. Линукс около 200 виндовс около 4000. А если б там была какая то еще ос в одном экземпляре и она зараженна — сделали бы вывод что у нее заражаемость 100%?


    1. ameremortal
      15.04.2016 16:33
      #9178904

      я так понимаю речь не про линукс а про софт который на линуксе, например веб-сервер, линуксу фиолетово от эксплойтов, или в принципе фейковая статистика…


      1. wbnet
        15.04.2016 17:11
        #9179042

        Из статьи:
        > вредоносное ПО, созданное для массового заражения компьютеров через взломанные или вредоносные сайты
        Ну и по скрину же видно, что считалась статистика заходящих через браузеры и при этом заходящих с Линукс пробивало в 13% случаев. Сомневаюсь, что какое-то серверное ПО активно смотрит рекламные баннеры у сайтовладельцев и качает пэдээфки «рефератов» с эксплойтами. В правом верхнем углу виднеется в 90.5% случаев пробив через Java и 9% через PDF.


        1. oleg0xff
          15.04.2016 19:24
          #9179626

          Я не утверждаю что линукс безопасней, но прошу обратит внимание что линукс около 200 виндовс около 4000. Это не выглядит стистически достоверным. Когда речь идет о малых числах роль случайности велика — может эти 19 человек какие то фрики сидящие с необновленых систем.


          1. Foolleren
            15.04.2016 19:37
            #9179650

            Или они сидят под дырявыми браузерами, дыры для которых одинаковы, что для виндовса, что для линукса.


    1. gto
      15.04.2016 19:44
      #9179662

      А какая разница какой у клиента браузер если пробив идёт через Java и/или PDF. Этим, кстати, флеш был очень любим. Он же браузеро-независимый и его дыры тоже.


    1. OnYourLips
      15.04.2016 19:55
      #9179680
      +1

      Потому что большинство пользователей Linux не в курсе даже, как обновить браузер.
      Много раз видел, что люди пользуются системным браузером (из репозитория дистрибутива), а не получают браузер из репозитория разработчика.


      1. Uri
        15.04.2016 21:08
        #9179780

        Ваши данные устарели. Убунта, например, регулярно спамит обновлениями ПО, включая браузерное.

        скрин
        image


  1. red_red
    15.04.2016 15:12
    #9178610

    Интерфейс юзерфрендли. Где переключатель языка? Или они только на ru работали?


    1. alizar
      15.04.2016 15:12
      #9178614

      В «Настройках», наверное.


    1. numberfive
      15.04.2016 15:34
      #9178700
      +2

      а вы какой версией пользуетесь? корпоративной или вип-мошенник? обратитесь в поддержку, сегодня до 20-00 работает)


      1. red_red
        15.04.2016 16:11
        #9178810

        У меня ломаная))))


  1. pokryshkin
    15.04.2016 18:50
    #9179308

    Оно же но на час раньше:
    https://habrahabr.ru/company/eset/blog/281655/


  1. maa_boo
    15.04.2016 19:08
    #9179568

    А вот такой вопрос: разве это не то же самое, что арестовать производителя пистолетов, если с его помощью грабили?


    1. 25080205
      15.04.2016 19:34
      #9179648

      Встречный вопрос — нормально ли, когда спецслужба одного государства убивает гражданина другого государства на территории третьего государства за то, что он решил поработать над проектом для четвертого государства? Израиль, Канада, Бельгия, Ирак — следует подставить в нужные места…
      По мне — так не очень, но так уж заведено…


      1. maa_boo
        15.04.2016 20:12
        #9179714
        +1

        Государство — это вообще не нормально.


    1. KivApple
      15.04.2016 21:03
      #9179778
      +1

      Ну в России, например, если делать пистолеты без лицензии и продавать их кому попало, то можно точно также отправиться за решётку.


    1. Grox
      16.04.2016 00:06
      #9180126

      Я думаю, что у них там дополнительных поводов хватает. Например — неуплата налогов )


  1. 25080205
    15.04.2016 19:24
    #9179624

    В шарашку их и пусть делают, что умеют! Все для кибер-фронта, все для хайтек-победы! :-)


  1. sweetbrick
    15.04.2016 19:27
    #9179632

    А что же он такой грустный на фото? Неужто еще тогда чуйка была, что закончит принудительным трудом?
    И… интересно, а сслужбы не предлагали какие либо «варианты» сотрудничества?


    1. black_semargl
      18.04.2016 10:09
      #9183740

      Вот наверно как раз сейчас и предложат…


      1. sweetbrick
        18.04.2016 15:28
        #9185246

        Да, чувак попал. Если его х-плойты были так эффективны, ему дааавно следовало бы задумаца о… конце(


  1. slayerus
    15.04.2016 22:55
    #9180000
    +1

    Если кто не заметил то он на фото грустный потому как в наручниках, порш уже не в радость.


    1. magamos
      16.04.2016 10:42
      #9180520

      Схватившие его прятались на заднем сидении припаркованной в гараже машины? Или на антресоли?


      1. qyix7z
        16.04.2016 16:57
        #9180986

        Схватившие не прятались, а фотографировали.


  1. elite7
    16.04.2016 11:38
    #9180568

    интересно, а фотограф спросил разрешение на использование фотографии в письменном виде


  1. MrPrayer
    16.04.2016 15:19
    #9180814

    На сколько могу понять, судя по структуре статьи, иллюстрациям, ссылкам, это перевод новости Брайана Кребса. Это я просто не вижу ссылку на оригинал, или вы забыли ее поставить?