Вы используете устаревший браузер. Этот и другие сайты могут отображаться в нём некорректно. Вам необходимо обновить браузер или попробовать использовать другой.
В связи с попыткой пресечь деятельность RedLine Infostealer Министерство юстиции США выдвинуло обвинения против Максима Рудометова, одного из разработчиков и администраторов RedLine Infostealer. Согласно жалобе, Рудометов регулярно получал доступ к инфраструктуре RedLine Infostealer и управлял ею, был связан с различными криптовалютными счетами, использовавшимися для получения и отмывания платежей, и владел вредоносным ПО RedLine. За свои действия он был обвинен в мошенничестве с устройствами доступа в нарушение § 1029 Свода законов США, в сговоре с целью совершения вторжения в компьютер в нарушение §§ 1030 и 371 Свода законов США, а также в отмывании денег в нарушение § 1956 Свода законов США.
По арестам пока непонятно, но это конечно не фейк.
Апдейт: хотя вот вижу - двух людей похоже взяли: "...в Соединенных Штатах Америки были предъявлены обвинения, а в Бельгии взяты под стражу два человека." (Для просмотра ссылки ВойдиилиЗарегистрируйся)
Загрузили обвинительный акт на Рудометова: https://www.justice[.]gov/usao-wdtx/media/1375146/dl?inline
Главное (на мой взгляд):
1. "Для того чтобы заставить жертв загрузить RedLine, использовались различные уловки, в том числе связанные с COVID-19."
"Одним из ранних примеров в марте 2020 года — незадолго до начала пандемии COVID-19 — было использование по крайней мере одним аффилэйтом проекта Folding@Home для того, чтобы заманить ничего не подозревающих людей к загрузке и запуску версии RedLine Infostealer. Этот пример был особенно примечателен, поскольку пользователи, которые, вероятно, намеревались пожертвовать вычислительные ресурсы на борьбу с COVID-19, но вместо этого были инфицированы RedLine."
Допускаю, что с этого началось расследование. Вероятно тем, кто работал по ковид-скамам с редлайном стоит напрячь память и позаметать следы.
2. "С момента своего появления в феврале 2020 года RedLine заразил миллионы компьютеров по всему миру. Несколько сотен компьютеров-жертв использовались сотрудниками Министерства обороны США."
"Проведя судебную экспертизу вредоносного ПО в Центре по борьбе с киберпреступностью Министерства обороны, правоохранительные органы установили, что RedLine использовалась для попытки кражи информации у компании A через учетную запись взломанного сотрудника. Компания A является членом американской оборонно-промышленной базы и подрядчиком армии и флота США."
Предполагаю, что это второй эпизод, который тщательно расследовался. Довольно смешно было работать редлайном по оборонке, но бог вам судья Собственно, это объясняет, что делал NCIS (морская полиция, лол) в этом расследовании.
3. "Один из таких примеров, размещенный на форуме, который рекламирует себя как «Best hack forum», на момент подачи этого заявления был просмотрен примерно 115 000 раз."
"Комментарии в ветке «Best Hack Forum» включали сотни явно довольных клиентов, многие из которых прокомментировали пост, чтобы поделиться своими успехами с RedLine. Например, примерно 20 февраля 2022г, партнер «Ch3l0v3k» разместил скриншот страницы статистики, очевидно, из собственной утилиты настройки RedLine. На скриншоте была показана следующая статистика, описывающая файлы и информацию, украденные с помощью RedLine, установленной «Ch3l0v3k»"
Здесь и далее много упоминается BHF, не бросаю никаких намеков, но думаю, что этому есть какое-то объяснение (например, что были сняты логи со стороны форума).
4. "Находясь в Остине, штат Техас, следователи приобрели RedLine и провели анализ вредоносной программы в контролируемой среде. В ходе этого анализа следователи заметили, что RedLine можно настроить на определенные учетные записи, например, связанные с финансовыми услугами, и зашифровать таким образом, что многие антивирусные программы не смогут обнаружить вредоносную программу. В конфигурации по умолчанию RedLine не мог работать на компьютерах с языковыми настройками, указывающими на использование в Содружестве Независимых Государств («СНГ») - области, которая приблизительно описывает территорию бывшего Советского Союза. Это обычная особенность вредоносных программ, созданных в России и русскоязычных странах, и она призвана помешать российским правоохранительным органам вмешиваться в деятельность киберпреступников, нацеленных на жертв в странах, не входящих в СНГ."
Очень смешной абзац, показывает уровень расследователей и расследований. Также показывает то, что они купили Редлайн, а не Мету
Теоретически, можно попробовать вычислить, кто купил лицензию для ФБР по этому скриншоту:
Но если там на полном серьезе саппорт утверждает, что "все - фейк", то с таким уровнем х#й чего они вычислят.
5. Теперь внимание - самое интересное, а как сдеанонили шахматиста?
"Изучив открытые источники, правоохранительные органы обнаружили запись в блоге, написанную человеком под псевдонимом, в которой утверждалось, что RedLine была создана двумя лицами, с псевдонимами «Dendimirror» и «Alinchok» соответственно. Частная инфосек компания установила, что этот псевдоним использовался человеком, который стоял за другой схемой вредоносного ПО, известной американским правоохранительным органам."
"Запись в блоге была помещена в архив Internet Archive 11 марта 2020 года или около того. Запись в блоге содержала приблизительный анализ вредоносного ПО для очевидной версии RedLine. Исходя из того, что я изучил эту запись и различные русские хакерские форумы, я считаю, что она была широко распространена. Один из предполагаемых создателей RedLine, «Alinchok», даже прокомментировал запись в блоге. Хотя одного оригинального сообщения недостаточно, чтобы связать RedLine с псевдонимами «Dendimirror» и «Alinchok», последующее расследование, описанное ниже, подтвердило первоначальные утверждения псевдонимного автора."
"Следователи выявили сообщения, сделанные в 2017 году на различных русскоязычных хакерских форумах и других общедоступных сайтах, в которых использовался ник «Dendimirror» в связи с другой вредоносной программой-стилером под названием «MysteryStealer». В период, когда использовался псевдоним Dendimirror, американская частная инфосек компания обнаружила адрес электронной почты, содержащийся в утечке базы данных, используемой на неназванном русскоязычном хакерском форуме, который был использован для регистрации учетной записи, использующей никнейм Dendimirror. Этот адрес электронной почты, известный правоохранительным органам, обслуживался российской коммуникационной компанией «Яндекс» («Адрес электронной почты „Яндекс“»), и последующие следственные действия, описанные ниже, связали адрес электронной почты «Яндекс» с учетными записями, которые использовали псевдонимы, связанные с Dendimirror. К ним относятся «GHackiHG» и «bloodzz.fenix» (подробно рассматриваются ниже), а также сервисы, используемые РУДОМЕТОВЫМ для личных целей, такие как Google и Apple."
"Было обнаружено, что адрес электронной почты Яндекса использовался на русскоязычном хакерском форуме «YouHack» еще в 2015 году человеком под ником «GHackiHG» для продажи «счетов PayPal с балансом и без», согласно автоматическому переводу названия темы. Связь между никнеймами GHackiHG и Dendimirror была подтверждена информацией, которой поделились на нескольких хакерских форумах пользователи, носящие оба никнейма, в том числе несколько человек, указавших в своих контактных данных: имя пользователя Skype, известное правоохранительным органам, адрес электронной почты Yandex и профиль VK, принадлежащий человеку по имени «Максим Рудомётов (Максим Рудометов)». VK - это российская социальная сеть и сервис социальных сетей. Правоохранительные органы изучили общедоступный профиль VK и обнаружили, что человек, изображенный на фотографиях, размещенных аккаунтом, имеет близкое сходство с человеком, изображенным на рекламе, содержащейся в записи блога от 11 марта 2020 года. В рекламе говорилось о том, что этот человек умеет программировать на языке программирования C# и «писать ботнеты и стилеры».”
С таким опсеком я честно не понимаю, чего вы делаете в этом бизнесе
6. Так, чтобы показать еще раз какой пиздец у некоторых людей с организацией работы:
"a. Примерно в 21:21 16 мая 2021 года (часовой пояс неизвестен) пользователь «Heijs», использующий IP-адрес, заканчивающийся на -.180, запросило сборку RedLine с сервера лицензирования. Примерно девять минут спустя тот же IP-адрес был зарегистрирован компанией Apple в использовании учетной записью iCloud, приписываемой Рудометову, которая описана выше. Приблизительная корреляция использования IP-адресов между другими онлайн-учетными записями под контролем РУДОМЕТОВА и Сервер лицензий выявил другие имена пользователей на Сервере лицензий, очевидно, контролируемые РУДОМЕТОВЫМ, включая «Admin12» и «testpanel».
b. Человек, использующий IP-адрес, заканчивающийся на -.96, вошел на Сервер лицензий с помощью компьютерной команды «sign on» 25 раз 12 июля 2021 года, начиная с 00:35:00 и заканчивая примерно в 02:39. Один и тот же IP-адрес использовался примерно 701 раз для доступа или взаимодействия с учетной записью iCloud, приписываемой Рудометову, в течение июля 2021 года
c. Лицо, использующее IP-адрес, оканчивающийся на -.14, подписало вредоносный файл с помощью Сервера лицензирования 2 мая 2021 года.18 Примерно за час до этого тот же IP-адрес использовался для игры в мобильную игру при входе в учетную запись Apple iCloud, принадлежащую Рудометову. Согласно информации о регистрации и местоположении, опубликованной регистратором IP-адреса, ООО «Юг-Линк», IP-адрес был закреплен за интернет-провайдером в городе Краснодар, Россия. Несколько фотографий в аккаунте iCloud РУДОМЕТОВА содержали метаданные, указывающие на то, что они были сделаны в Краснодаре, Россия, всего через четыре дня после -.14 IP-адрес использовался для взаимодействия с аккаунтом iCloud РУДОМЕТОВА и Сервером лицензирования.
d. Следователи также обнаружили аккаунт криптовалютной биржи Binance под номером -8286, зарегистрированный на тот же адрес электронной почты Yandex. Для входа в эту учетную запись или доступа к ней, а также к серверу лицензирования и/или учетной записи RUDOMETOV в iCloud использовались общие IP-адреса. Например, 11 января 2022 года в 21:19:28 UTC для доступа к учетной записи RUDOMETOV в iCloud использовался IP-адрес, заканчивающийся на -.246. Примерно через четыре минуты тот же IP-адрес был использован для взаимодействия со счетом Binance, заканчивающимся на - 8286.
e. В общей сложности 33 случая повторного использования IP-адреса, определяемого как использование одного и того же IP-адреса для доступа или иного взаимодействия с двумя сервисами в течение 48 часов, были отмечены между Сервером лицензирования, учетной записью iCloud РУДОМЕТОВА и/или счетом - 8286 Binance."
И это еще не все!
"a. Ники GHackiHG и Dendimirror были связаны с общей учетной записью Skype, которую следователи заметили в открытом доступе на различных хакерских форумах. РУДОМЕТОВ взаимодействовал со своей учетной записью iCloud с того же IP-адреса, который использовался пользователем учетной записи Skype. Например, 14 октября 2019 года примерно в 12:52:56 лицо, использующее IP-адрес с кодом -.76, зашло в учетную запись Skype, а затем, примерно через два часа а затем, примерно через два часа, с того же IP-адреса зашел в Apple AppStore с Apple iPhone 7, зарегистрированного на аккаунт iCloud РУДОМЕТОВА.
b. Счет -8286 Binance (зарегистрированный на тот же адрес электронной почты Yandex) провел SMS-верификацию примерно в 13:42:15 13 мая 2021 года с использованием того же IP-адреса -.180, который использовался пользователем «Heijs» (описан выше). Примерно через две минуты этот же IP-адрес был использован для игры в многопользовательскую игру «Tennis Clash» на устройстве, зарегистрированном на аккаунт iCloud Рудометова. Примечательно, что для счета Binance, заканчивающегося на -8286, использовались паспорт и фотографию неизвестной женщины, чтобы удовлетворить требования Binance «Знай своего клиента». Фотография того же паспорта была обнаружена сохраненной в аккаунте iCloud Рудометова.
c. К аккаунту GitHub GHackiHG неоднократно обращались с тех же IP-адресов, которые использовались для взаимодействия с аккаунтом iCloud РУДОМЕТОВА, часто в течение нескольких минут после друг друга. Например, 5 марта 2019 года IP-адрес, заканчивающийся -.110 был использован примерно в 21:44:25 для игры на Apple Watch, зарегистрированных на аккаунт iCloud Рудометова. Примерно через четыре минуты тот же IP-адрес был использован для доступа к репозиторию GitHub, который содержал распространенный эксплойт, используемый против устройств Windows. В другом примере адрес, заканчивающийся -.254, использовался для доступа к репозиторию, содержащему информацию о CVE-2019-541821, критической уязвимости в распространенном фреймворке веб-приложений, при этом войдя в учетную запись GHackiHG. Примерно через 15 минут с того же IP-адреса был получен доступ к мессенджеру Viber с iPhone, зарегистрированного на iCloud-аккаунт RUDOMETOV учетной записи iCloud Рудометова.
d. В марте 2022 года следователи проанализировали недавно выпущенную утилиту конфигурации для RedLine, предоставленную платным пользователям и аффилэйтам RedLine в качестве обновления предыдущих версий утилиты конфигурации. В результате этого анализа и последующего анализа информации, полученной от GitHub в ответ на судебный запрос, правоохранительные органы обнаружили, что пользователь владел репозиторием GitHub, содержащим ключ шифрования, необходимый RedLine для выполнения рутинных функций, был связан с помощью cookies устройства с учетной записью GitHub GHackiHG, пользователем которой, в свою очередь, как описано выше, предположительно является RUDOMETOV. Следователи полагают, что ключ шифрования был критически важен для работы вредоносной программы и был использован в процессе проверки, чтобы позволить аффилэйту получить доступ и скомпилировать RedLine.
7. В заключение немного финансов:
"e. Счет -8286 Binance, описанный выше и связанный с Рудометовым посредством адреса электронной почты Яндекса, получил приблизительно 150 долларов США (+/- 5 долларов США) криптовалютных активов 54 раза в период с апреля 2021 года по август 2021 года. Счет -8286 Binance отправил 70 226,54 долларов США в криптовалютных активах на счет Binance, заканчивающийся на -3821, посредством 39 транзакций в период с мая 2020 года по август 2021 года. С июля 2021 года по октябрь 2021 года на этот счет Binance с кодом -3821 поступило около 150 долларов США (+/- 5 долларов США) криптовалютных активов в 104 транзакциях, и первоначально он был идентифицирован как один из счетов, используемых оператором(ами) RedLine для получения платежей за аренду помещений для использования вредоносного ПО. IP-адрес, заканчивающийся на -.157, использовался для доступа к счету -8286 Binance и счету -3821 Binance в течение примерно семи часов после каждого взаимодействия, оба случая произошли 4 марта 2018 года"
Министерство иностранных дел США объявило вознаграждение до 10 миллионов долларов за любую информацию о хакерах, работающих на иностранные государства и связанных с вредоносной программой RedLine, а также о предполагаемом создателе этого вредоноса — Максиме Рудомётове ( Maxim Alexandrovich Rudometov ). Под действие награды также подпадают сведения о применении RedLine в кибератаках против объектов критической инфраструктуры в США.
В рамках программы Rewards for Justice особо отмечено , что информация должна касаться кибератак, совершённых по указанию или под контролем иностранных правительств и нарушающих положения американского закона Computer Fraud and Abuse Act. В частности, интерес представляют участники киберопераций, задействующих вредонос RedLine — популярный инфостилер, применяемый для кражи учётных данных пользователей.
Госдеп отметил, что любой, у кого есть информация о сообщниках Рудометова или об их вредоносной кибердеятельности или об использовании вредоносного ПО RedLine, должен связаться с Rewards for Justice через канал передачи сообщений на базе Tor .
Американские власти считают, что Максим Рудомётов являлся разработчиком и администратором всей инфраструктуры RedLine Infostealer. В октябре 2024 года против него были выдвинуты обвинения в рамках международной операции Magnus , в ходе которой правоохранительные органы США и их зарубежные партнёры провели масштабную операцию по пресечению деятельности сразу двух сервисов — RedLine и META , функционировавших по модели вредоносного ПО как услуги (MaaS).
Согласно данным Минюста США, Рудомётов управлял серверами RedLine, получал и отмывал доходы через криптовалютные кошельки, а также напрямую взаимодействовал с кодом и распространением вредоноса. В ходе следственных мероприятий была установлена его связь с ключевыми каналами дистрибуции, включая Telegram-аккаунты, использовавшиеся для продвижения и продажи вредоносных программ конечным пользователям. На данный момент обнаружено более 1200 серверов, использовавшихся для управления ботнетами RedLine и META.
В проведении операции участвовали также нидерландская полиция и агентство Eurojust. В Бельгии были арестованы двое подозреваемых, изъяты три сервера и два домена, применявшиеся в качестве управляющих узлов. При этом официально не подтверждено, был ли сам Рудомётов задержан. Если он будет признан виновным, ему может грозить до 35 лет лишения свободы по статьям о мошенничестве с устройствами доступа, сговоре с целью компьютерного вторжения и отмывании доходов.
Собственно, это объясняет, что делал NCIS (морская полиция, лол) в этом расследовании.
