Максим Якубец — лидер Evil Corp (Искусство взлома под крышей ФСБ)
2007 год. Украинский хакер иммигрировавший в Россию — Евгений Богачев, терроризирует мировые банки с помощью троянской программы «Zeus». Самописное детище неуловимого хакера перехватывает пароли от личных кабинетов пользователей, выводит на их экран сообщение о профилактических работах в банковской системе и перегоняет все деньги на счета денежных мулов. Людей, которые, за определенный процент, снимают ворованные деньги со своего счета и пересылают их Богачеву.
Деньги — любят тишину. Вы слышали такую мудрость? Так вот, эта цитата явно не про Евгения Богачева. Почувствовав вкус легких денег, находясь под эйфорией неуловимости и безнаказанности, Богачев создает хакерскую группировку «Bisness Club». Для вступления в которую, будущие ее члены должны оплатить доступ к админке трояна Zeus и доказать свою преданность.
Так одним из членов преступной группировки становится молодой, талантливый программист уроженец Хмельницкой области Украины, города Полонное, Максим Якубец. На тот момент ему было 20 лет.
Максим быстро осваивается в команде, его гениальность было тяжело не заметить. Он вносит корректировки в работе трояна «Zeus» и придумывает для Богачева различные схемы по выводу украденных денег. Никогда не встречаясь, не зная настоящих имен друг друга Богачев и Якубец, начинают работать плечом к плечу. Общение между сообщниками приступной группировки происходит на тайном форуме, где Богачев фигурирует под псевдонимом «Slavik», а Максим Якубец под псевдонимом «aqua».
Стоит заметить, что переписки между членами сообщества происходили на сленговом языке и даже когда ФБР накрыли один из таких форумов им понадобилось несколько дней, чтобы расшифровать о чем там идет речь.
За два года преступной деятельности «Bisness Club» хакерам удается заполучить десятки миллионов долларов. Пострадавшие английские и американские банки начинают замечать, что-то неладное. Кто-то или что-то заставляет переводить людей деньги на левые счета, на тот момент компьютеры жертв еще не были проверены на наличие вредоноса.
Тем временем Максим переезжает из Ураины в Москву, женится, заводит ребенка. Деньги льются рекой, но никто, кроме родного старшего брата, Артема не знает, какими делами промышляет Максим. Якубец уговаривает брата присоединиться к преступной группе, но информации о том какую роль играл в ней Артем на сегодняшний день нет.
В 2009 году в «The Washington Post» вышла статья о «киберпреступниках из Украины, которые украли 415 тысяч долларов из казны округа Буллитт штата Кентукки». В ней впервые появилось описание трояна «Zeus» и была раскрыта схема по выводу денег.
В чате группировки начались торжественные поздравления Максима: «Поздравляю «Aqua»! О тебе уже в мировых новостях пишут». На что Якубец жестко ответил: « Ублюдки, они описали всю нашу схему. Меня это реально бесит».
Тем временем немногословный Богачев продолжал усовершенствовать свое детище. Он регулярно выпускал обновления для трояна, постоянно модифицируя его функционал. Кстати, «Zeus» был написан на языке «Visual c++», когда ФБР смогли его декомпилировать, они поразились профессионализму Богачева. Код был вылизан до идеала, эксперты сделали заключение, что весь код от начала до конца был написан одним человеком, причем человеком, который к удивлению плохо знал английский. Тогда ФБР впервые осознало с кем имеют дело.
Чуть позже в мире, как снежный ком начали появляться новости о хищении крупных сумм, с помощью новомодного трояна «Zeus».
Группировка получила новое официальное название «Jabber Zeus Crew». Наверное, участникам преступного сообщества, которым дико льстило, что о них начали писать решили сделать ребрендинг для большего пафоса. Первоначальное название хак-группы «Бизнес клуб» и вправду звучало нелепо, ну а что Вы хотели от Евгения Богачева, человека, который работал под такими псевдонимами, как «Славик» или «Удача 12345». Как Вы понимаете, Богачеву было глубоко фиолетово то, что о нем пишут, он действовал крайне осторожно, чего нельзя сказать про Макса. Но тот момент Якубцу было всего лишь 22 года и он больше думал о том, куда потратить ворованные деньги, а не о собственной безопасности.
24 ноября 2010 года в Московскую квартиру Якубца с обыском ворвались оперативники, Максим был дома. В материалах американского обвинения фигурирует присутствовавшая в той же квартире женщина — первая жена, от которой у Якубца в 2009-м родился сын.
История молодого талантливого хакера могла закончиться в тот день, если не одно но. Российские спецслужбы никогда не сажают амбициозных хакеров, тем более, если ты готов сотрудничать и тебе есть, что показать.
Смотрите видео на нашем канале, что бы узнать всю историю целиком.
Одиночка против корпорации зла. Как Брайан Кребс боролся с русскими хакерами из Evil Corp
Содержание статьи
Главой Evil Corp называют Максима Якубца. Правоохранительные органы разных стран разыскивают его вот уже более десяти лет — еще в 2009 году он привлек к себе внимание, участвуя под ником aqua в краже денег из казны округа Буллитт, штат Кентукки. Об этом преступлении писали в газете Washington Post, с которой тогда сотрудничал в качестве эксперта по кибербезопасности Брайан Кребс.
Скриншот из архива Брайана Кребса с форума DirectConnections, на котором aqua в 2011 году делился опытом
Криминальный зоопарк: денежные мулы и козлы отпущения
Уже тогда у хакеров была отработанная схема действий, в которой Максим Якубец отвечал за работу с «денежными мулами». Так называют людей, которые выводят деньги из банковской системы (где все переводы отслеживаются и могут быть отозваны), совершая необратимые транзакции. Традиционно для мошеннических схем использовалась система Western Union, но в последнее время набирает популярность криптовалюта Bitcoin.
Любопытный факт
Western Union фигурирует в качестве посредника в огромном числе историй с отмыванием денег, мошенничеством и даже финансированием терроризма. Иногда они платят штрафы — американскому правительству полмиллиарда долларов, ирландскому — полтора миллиона евро. Платят и продолжают работать, не обращая внимания на обвинения в «недостаточно тщательном отслеживании подозрительных транзакций». Почему им это сходит с рук? Никто не знает наверняка, но, возможно, это как-то связано с их чрезвычайно длительным и плодотворным сотрудничеством с американским правительством. Western Union работала над оборонными заказами, которые имеют отношение к созданию систем связи и управлению ими. Такие дела.
Многие люди становятся «мулами», совершенно не представляя, чем они занимаются на самом деле и каковы могут быть последствия их действий. В «схеме Якубца» в «мулы» вербовали на абсолютно легальных сайтах с вакансиями, обещая работу из дома от имени небольших, но солидно выглядящих компаний. Более того, для проверки работоспособности и надежности кандидатов им давали предварительные задания — например, исправить опечатки и грамматику в текстах, обещая заплатить по 8 долларов за килобайт. Текстами же были деловые письма — от лица подставной компании хакеров в адрес ее подрядчиков. Так что, когда людям приходило письмо с заданием совершить денежный перевод, оставив себе 5% от суммы в качестве оплаты, они не удивлялись и выполняли такое задание.
Удивляться им, разумеется, приходилось потом, когда оказывалось, что теперь они должны всю сумму перевода какому-нибудь банку. Ведь банк всегда может отследить и отозвать ошибочные транзакции — и всегда найдет, с кого взыскать недостающее. Таким образом, финансовую ответственность за деятельность русских и украинских хакеров в итоге приходилось нести американским и европейским домохозяйкам и пенсионерам.
Новички и ветераны: след Зевса с Олимпа киберпреступности
В истории с казной округа Буллитт двадцатидвухлетний Максим Якубец был тесно связан с Евгением Богачевым — уже тогда чрезвычайно известным хакером, автором трояна Zeus. За поимку этого персонажа ФБР назначило почти столь же впечатляющую награду, как и за Якубца.
Ни одна статья с упоминанием Евгения Богачева не может обойтись без этого фото с бенгальской кошкой и другими атрибутами роскошной жизни
Именно в связи с этим инцидентом о них и узнал Брайан Кребс. К тому моменту он уже давно был завсегдатаем открытых, полузакрытых и совсем закрытых хакерских форумов. Были у него и какие-то прямые источники, которые предоставляли ему информацию из переписки хакеров.
Откуда дровишки?
Разумеется, как Кребс, так и ФБР не раскрывают подробностей своих расследований и источники информации. Но на сайте Кребса приводятся множественные куски из логов Jabber-переписки хакеров, и эта же переписка цитируется в документах ФБР как важное свидетельство. Переписка, разумеется, велась на русском (который Кребс, кстати, изучает уже больше пятнадцати лет) — но что на сайте Кребса, что в официальных документах ФБР она дана в переводе на английский. И судя по всему, у Кребса и ФБР этот перевод одинаковый (максимально связные предложения и тщательно переведенные русские ругательства).
Что в переписке, что на форумах хакеры использовали одни и те же привычные никнеймы. Кребс утверждает, что такая небрежность в этих кругах встречается очень часто (что изрядно облегчает ему отслеживание «карьерного роста» интересующих его игроков на арене киберпреступности). Богачев был lucky12345 или slavik, а Якубец — aqua.
Zeus — многокомпонентный банковский трой, насчитывающий множество модификаций. Основная функция заключается в краже паролей от банковских приложений, FTP-клиентов, других программ. Троян может выполнять поступающие с управляющего сервера команды, перехватывать вводимые пользователем в браузерах данные (кейлоггинг и формграббинг), красть файлы cookies, устанавливать в системе цифровые сертификаты и удалять их, блокировать доступ к заданным киберпреступниками интернет-ресурсам, подменять стартовую страницу в браузерах, загружать и запускать программы, а также удалять файлы на жестком диске.
Хакеры не просто обсуждали покупку у Богачева «базовой версии» его трояна Zeus — они заказали ему модифицированную версию, Jabber Zeus, которая пересылала похищенную банковскую информацию по протоколу Jabber. Это позволяло злоумышленникам крайне оперативно планировать свои действия и управлять своей широко раскинутой сетью троянов — например, они могли получать Jabber-сообщения о том, что какая-то из их потенциальных жертв пополнила свой банковский счет.
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Как жил и чем промышлял Максим Якубец — хакер украинского происхождения, за которым теперь охотится ФБР
5 декабря правоохранительные органы США и Великобритании опубликовали отчет о раскрытии преступной хакерской группировки Evil Corp. Она воровала деньги с заграничных аккаунтов и отмывала их через посредника. Ущерб измеряют сотнями миллионов долларов.
Главой группировки признали гражданина России Максима Якубца. О его прошлом известно немного, но место рождения хакера — райцентр Полонное в Хмельницкой области. Ему 32 года, в группировке вместе с ним также участвовал его 33-летний брат Артем Якубец — тоже уроженец Хмельницкой области.
AIN.UA коротко пересказывает ключевые эпизоды из жизни Якубца, основываясь на заключениях американского суда, материала Wired и Meduza.
Как работала схема
Якубец и его ключевой подельник Игорь Турашев отрабатывали одну и то же простую схему: они рассылали фишинговые письма со ссылками на вредоносное ПО под названием Bugat. После установки, малварь собирала пароли, создавала поддельные банковские страницы и выманивала данные другими способами.
Вооружившись данными, хакеры воровали со счетов деньги, а потом отмывали их через сеть так называемых «мулов», прежде чем зачислить на счета Evil Corp.
Почему Evil Corp — уникальна
Все это время правоохранители не сидели сложа руки, но схема адаптировалась к проблемам. Якубец и подельники продолжили работу после ареста сисадмина Андрея Гинкула за использование Dridex, после вывода из строя сети белорусских «мулов».
Хакеры усложнили технику фишига, отказались от прямых коммуникаций, а также заменили банковские переводы на криптовалютные трансферы.
Что ждет Максима Якубца
Якубец проживает в Москве, у властей США нет шансов добиться его экстрадиции или ареста на территории России.
Учитывая, что данные и фото Максима Якубца теперь находятся в открытом доступе — ему будет сложнее скрыть свои передвижения.
Следы Evil Corp довели до Дмитрия Зеленина
Речь идет о хакерской группировке Evil Corp, которую министр финансов США Стивен Мнучин назвал «одной из самых плодовитых киберпреступных организаций в мире». Главным человеком в Evil Corp ФБР называет 32-летнего жителя Москвы Максима Якубца.
Провели собственное расследование в отношении Бендерского, которое мы и опубликуем в нескольких частях. В частности, мы выяснили, что Бендерский был крайне близок с экс-губернатором Тверской области Дмитрием Зелененым.
Эдуард Витальевич Бендерский родился в поселке Уршельский Владимирской области в 1970 году в семье кадрового военного-пограничника Виталия Бендерского (предположительно умер во Владимире в 2006 году).
У последнего сложилась весьма неплохая карьера, он был командиром Каахкинского погранотряда, входил в командный состав Московского погранотряда, принимал участие в спецоперациях, в том числе в Куфабском ущелье в Афганистане. Погранвойска относились к КГБ СССР и по линии отца пошел и Эдуард. Виталий пристроил его в Рязанское воздушно-десантное училище, которое он окончил в 1991 году, и попал в Отдельный учебный центр КГБ СССР (группа «Вымпел»).
Впрочем, карьера Эдуарда в качестве элитного спецназовца была крайне недолгой. Уже в 1994 году он был уволен в запас в звании старшего лейтенанта. Обычно во время интервью ветераны «Вымпела» и «Альфы» могут часами рассказывать об операциях, в которых они принимали участие. А нашему герою похвастать то и нечем. Поговаривают, что уволился он не добровольно и после какой-то не очень хорошей истории. Впрочем, за время непродолжительной службы Эдуард сумел наладить отличные отношения с руководством Отдельного учебного центра и фактически шел на «гражданку», как их представитель, который должен наладить коммерческую часть работы спецназа и поступление денег его командованию.
Сам Бендерский, несмотря на то, что неоднократно фигурировал в подобных расследованиях, благополучно уходил от возможного ареста. В первую очередь, потому что «Вымпел-А» с самого первого дня существования это не столько сам Бендерский, сколько представители командования Ученого центра, отдельные командиры и топ-бойцы «Вымпела» и «Альфы».
Курирует его лично наш генерал Тихонов.
Ездит Бендерский на джипе «Гелендваген», имеет и спецталон, и удостоверение прикрытия. Практически все банкеты, концерты, соревнования оплачивает его ЧОП. Сам господин Бедненький регулярно приезжает в сауну попариться, несмотря на то что эта сауна находится на территории особорежимного объекта ЦСН. Париться он предпочитает в обществе руководства центра.
Каково же было изумление многих из нас, когда в одном из сюжетов мы увидели господина Бендерского — гражданского человека, давно уволившегося из органов. Он, сидя перед мониторами, подробно рассказывал, как и откуда перемещались по захваченному зданию спецназовцы, называя номера отделов и групп. Само собой разумеется, что информацию и видеозаписи, сделанные нашими операторами, ему предоставило руководство центра».
Согласно сведениям в истории официального владения бизнес-империи из ЧОПов, фондов и т.п. Бендерского четко видно, что у нее были другие совладельцы, которые прятались за женами и другими родственниками. Например, среди них был прославленный сотрудник группы «Альфа» участник десятков спецопераций Константин Пеккер. Ну, о нем позже, пока вернемся к нашему герою.
«Bank of New York» не скрывал, что хочет доказать, что это «грязные» деньги и не возвращать их в Россию.
Американцу объявили о недопустимости его деятельности в РФ и выслали из страны.
Самой громкой и захватывающей операцией тех времен, позволяющей понять масштабы деятельности Бендерского, его кураторов и клиентов, является история с захватом «Донгаздобычи».
В 1988 году в Ростовской области было открыто Марковское газоконденсатное месторождение, площадь которого расположена на российской и украинской территориях — соответственно в Ростовской (около 85%) и Луганской (около 15%) областях.
Однако, Вечерко тоже нашел, чем ответить. Он привлек на свою сторону ряд силовиков и авторитетного бизнесмена Владимира Голубева (Бармалей). Началась «война» с возбуждением кучи дела на участников обеих сторон конфликта. В качестве компромиссных фигур на предприятие завели бывшего замминистра внутренних дел РФ, экс-начальник службы безопасности «Газпрома» Ивана Сардака и его младшего брата Николая, который был близок к тогдашнему губернатору Ростовской области Владимиру Чубу.
Начались «закулисные» игры, в ходе которых братья Сардак, ранее более близкие к команде Зеленина, перешли на сторону Вечерко. Одновременно, пакет акций предприятия получила семья Чуба.
После этих событий, в феврале 2003 года в Москве киллеры открыли огонь по машине, в которой находились Вечерко и Голубев
Их спасло исключительно то, что автомобиль был бронированный.
Вечерко прямо обвинил в случившемся команду Зеленина-Милованова. В ходе расследования отрабатывалась версия, что к произошедшему причастны сотрудники «Вымпел-А» и Бендерский.
«Корпорация зла». США обвинили российских хакеров в хищении 100 млн долларов
Автор фото, US Department of Justice
Власти США объявили Максима Якубца и Игоря Турашева в розыск
Госдепартамент США объявил о награде в 5 млн долларов за информацию, которая поможет аресту россиянина Максима Якубца. Американские власти считают его лидером хакерской группировки Evil Corp.
Одновременно министерство финансов США ввело санкции против 17 россиян, связанных с Якубцом, и шести российских компаний, заявив, что они могли быть причастны к хищению более 100 млн долларов и иметь связи с российскими спецслужбами.
Об обвинениях, выдвинутых против Максима Якубца министерство юстиции США объявило утром в четверг на специльной пресс-конференции в Вашингтоне. Помимо него объявление предъявлено Игорю Турашеву.
Как заявил федеральный прокурор Скотт Брэйди, обвинительное заключение против обоих россиян было утверждено Большим жюри присяжных в Питтсбурге, штат Пенсильвания, еще в ноябре этого года, а в следствии, кроме сотрудников ФБР, министерства финансов США и представителей Секретной службы, участвовали также представители полиции Великобритании.
Одновременно Офис по контролю за иностранными активами (OFAC) министерства финансов США объявил о введении санкций против шести российских компаний, 17 частных лиц и хакерской компании Evil Corp., руководителем которой власти США считают Якубца.
По утверждению американских властей, компания Evil Corp занималась созданием и рапространением фишинговой компьютерной программы Dridex. В результате хакерским атакам подверглись «банки и финансовые институты в более, чем 40 странах, а нанесенный ущерб превысил 100 миллионов долларов».
При этом уголовные обвинения предъявлены только Якубцу (по версии американских властей, пользовался ником AQUA) и Турашеву, которого в США называют системным администратором хакерской группы (ENKI, NINTUTU).
Кто такой Максим Якубец?
Мы быстро, просто и понятно объясняем, что случилось, почему это важно и что будет дальше.
Конец истории Подкаст
По данным минюста США, базирующаяся в России хакерская группа Evil Corp начала свою деятельность как минимум в 2016 году, начав распространение вируса Dridex. Программа взламывала компьютерные серверы, похищая личные данные пользователей, включая и информацию о банковских счетах. В течении года хакеры смогли получить данные клиентов 300 банков в США и Великобритании.
Лидером группы американские правоохранительные органы считают уроженца Хмельницкой области Украины Максима Якубца, родившегося 20 мая 1987 года. Позднее он получил гражданство России. Кроме руководства действиями Evil Corp, он, по утверждению властей США, мог быть связан с россиянином Евгением Богачевым, которому в США предъявлены обвинения в распространении вирусных программ Zeus, Jubber Zeus и Game Over Zeus.
«Ничего не надо обо мне знать»
Это Алексей Башликов, Гульзара Бурхонова, Андрей Плотницкий (он же Андрей Ковальский, STREL), Дмитрий Слободской, Кирилл Слободской, Дмитрий Смирнов, Иван Тучков и Артем Якубец.
Би-би-си: С вами связывались американские власти, прежде чем внести в этот список?
Дмитрий Гусев: А должны были?
Би-би-си: Они считают, что вы связаны с хакерами. Вам вообще знакомо такое название Evil Corp?
Д.Г.: Вы кто такой вообще?
Би-би-си: Ваше имя сейчас произносят на пресс-конференции в США.
Д.Г.: Ну хоть обо мне в США будут знать!
Би-би-си: А чем вы вообще занимаетесь, каким бизнесом?
Д.Г.: Это коммерческая тайна.
Би-би-си: С банковским сектором связано?
Би-би-си: Вы вообще программист, айтишник?
Д.Г.: Нет. Давайте ближе к теме. Что вам надо?
Би-би-си: Я раньше не был знаком ни с вами, ни с вашим бизнесом.
Д.Г.: Не надо быть знакомым с моим бизнесом! Вообще ничего не надо обо мне знать.
Би-би-си: Может, вы что-то продаете в сфере информационных технологий?
Д.Г.: Нет, еще не начал, собираюсь.
Далее собеседник сказал, что его ждут, и бросил трубку.
Родственники и знакомые последнего публикуют в соцсетях короткие некрологи и фото поминальных свечей. Судя по этим сообщениям, 49-летнего бывшего военного не стало этой осенью. На момент публикации у Би-би-си не было информации о причинах возможной смерти Замулко.
Хакерский бизнес?
Кроме хакерской группы Evil Corp в санкционные списки минфина США внесены российские компании.
В этой компании работают двое человек, а ее выручка в 2018 году составила 10 млн рублей. Директором ее, по данным СПАРК, также является Денис Гусев..
ООО «Центр автообслуживания» (TSAO) зарегистрирован в городе Курган. Компания занимается техобслуживанием и ремонтом автомобилей. В компании работает один человек по данным СПАРК на конец 2018 года.
На данный момент эта компания не связана с Гусевым или другими фигурантами списка минфина США. Но до апреля 2017 года Гусев был ее директором.
Кроме того, Гусев был гендиректором ООО «Трейд-инвест», которое сейчас не действует. У компании восемь исполнительных производств на 1,7 млн рублей, в 2019 году 10 раз были приостановлены операции по ее счетам.
Также Гусев действующий гендиректор ООО «Оптима», которая торгует оборудованием и приборами.
В этой же компании до него гендиректором был Слободской (также в СПАРК упоминается как Слободский) Кирилл Алексеевич, который также попал в санкционный список 5 декабря.
На повторный звонок Би-би-си мужчина с номером телефона Дмитрия Гусева ответил, что ему не интересно, в чем его обвиняют.
