Игра овер ZeuS

Ботнет Peer-to-Peer

GameOver ZeuS ( GOZ ), также известный как peer-to-peer ( P2P ) ZeuS , ZeuS3 и GoZeus , — троянский конь, разработанный российским киберпреступником Евгением Богачевым. Созданная в 2011 году как преемник Jabber Zeus , другого проекта Богачева, вредоносная программа печально известна своим использованием в банковском мошенничестве, что привело к ущербу примерно в 100 миллионов долларов, и являясь основным средством, с помощью которого была проведена атака с использованием вымогателя CryptoLocker , что привело к потерям в миллионы долларов. На пике своей активности в 2012 и 2013 годах GameOver ZeuS заразил от 500 000 до 1 миллиона компьютеров.

Оригинальный GameOver ZeuS распространялся через спам-сообщения, содержащие ссылки на веб-сайты, которые загружали вредоносное ПО на компьютер жертвы. Затем зараженный компьютер был интегрирован в ботнет , который в то время считался одним из самых сложных и безопасных ботнетов в мире. Ботнет GOZ был особенно примечателен своей децентрализованной одноранговой инфраструктурой, которая в сочетании с другими мерами безопасности, такими как руткиты, делала отключение ботнета чрезвычайно сложным. Деятельность ботнета дополнительно направлялась организованной преступной группой во главе с Богачевым, называвшей себя «бизнес-клубом», которая в основном базировалась в России и Восточной Европе. Синдикат еще больше усложнил попытки борьбы с ним со стороны правоохранительных органов и исследователей безопасности, используя крупную сеть по отмыванию денег и DDoS-атаки , которые использовались как в качестве возмездия, так и в качестве отвлекающего маневра во время краж.

В 2014 году оригинальный ботнет GameOver ZeuS был закрыт в результате сотрудничества правоохранительных органов нескольких стран и частных компаний по кибербезопасности под названием Operation Tovar . Вскоре после этого Богачеву было предъявлено обвинение, и за информацию, которая привела к его аресту, было назначено вознаграждение в размере 3 миллионов долларов, что на тот момент было самой высокой наградой для киберпреступника в истории. Менее чем через два месяца после проведения Operation Tovar был обнаружен новый штамм GameOver ZeuS. Названный «newGOZ», он не обладал возможностями одноранговой сети, но в остальном делил девяносто процентов своей кодовой базы с оригинальным GOZ. Участие администраторов оригинального GameOver ZeuS в деятельности newGOZ с момента его создания оспаривается.

Технические подробности

Структура ботнета

Машины, зараженные GOZ, были объединены в ботнет — систему из нескольких устройств, которыми можно было управлять удаленно с помощью вредоносного ПО. На пике активности GOZ с 2012 по 2013 год ботнет включал от 500 000 до одного миллиона скомпрометированных компьютеров. ^[1] Возможности создания ботнетов были общими для всех вариантов ZeuS; однако, в то время как предыдущие итерации вредоносного ПО создавали централизованные ботнеты, в которых все зараженные устройства были подключены напрямую к командно-контрольному (C2) серверу, GameOver ZeuS использовал децентрализованную одноранговую инфраструктуру. ^[2]

Ботнет был организован в три слоя. Самый нижний слой состоял из зараженных машин, некоторые из которых были вручную обозначены преступной группой как «прокси-боты». Прокси-боты выступали в качестве посредников между нижним слоем и вторым прокси-слоем, состоящим из выделенных серверов, принадлежащих группе. Второй слой служил для создания дистанции между зараженными машинами и самым высоким слоем, с которого отправлялись команды и на который отправлялись данные с зараженных машин. ^[3] Такая инфраструктура затрудняла отслеживание серверов C2 ботнета, поскольку пастухи ботнета напрямую общались только с небольшой группой зараженных компьютеров за раз. ^[4] Хотя ботнет в целом был структурирован таким образом, сеть была разделена на несколько «подботнетов», каждый из которых управлялся отдельным ботмастером. ^[5] Существовало до 27 таких подботнетов, но не все они активно использовались, а некоторые существовали в целях отладки. ^[6]

Безопасность

GOZ содержал несколько функций безопасности, разработанных для предотвращения полного анализа ботнета — в частности, путем ограничения деятельности краулеров и датчиков ^[a] — а также для предотвращения попыток отключения. Эффективность этих механизмов привела к тому, что GameOver ZeuS стал считаться сложным ботнетом, ^[9] а заместитель генерального прокурора США Джеймс М. Коул назвал его «самым сложным и разрушительным ботнетом, с которым мы когда-либо сталкивались». ^{[10] Исследователь по кибербезопасности Бретт Стоун-Гросс, которого} Федеральное бюро расследований привлекло для анализа GameOver ZeuS, также признал, что ботнет был хорошо защищен от усилий правоохранительных органов и экспертов по безопасности. ^[11]

Краулеры были подавлены различными способами. У каждого бота было пятьдесят пиров; ^[12] однако бот, которого просили предоставить список своих пиров, возвращал только десять. ^[13] Кроме того, запрос списков пиров был ограничен по частоте, так что быстрые запросы с IP-адреса приводили к тому, что этот адрес помечался как краулер и автоматически заносился в черный список, ^[14] останавливая все коммуникации между помеченным IP и помечающим ботом. У каждого бота также был заранее существующий список адресов, занесенных в черный список, которые, как известно, контролировались организациями безопасности. ^[15]

Датчики были заблокированы с помощью механизма фильтрации IP, который не позволял нескольким датчикам совместно использовать один IP-адрес. Эффект этого заключался в том, чтобы не допустить отдельных лиц или групп с одним IP-адресом к проведению атак sinkholing на ботнет. ^{[b] [17]} Известно, что бот-мастера GOZ проводили DDoS-атаки в ответ на попытки sinkholing. ^[18]

В случае, если бот GOZ не мог связаться ни с одним из одноранговых узлов, он использовал алгоритм генерации доменов (DGA) для повторного установления связи с серверами C2 и получения нового списка одноранговых узлов. ^[19] DGA генерировал тысячу доменов каждую неделю, и каждый бот пытался связаться с каждым доменом; это означало, что если текущие серверы C2 ботнета находились под угрозой отключения, ботмастеры могли настроить новый сервер, используя домен из сгенерированного списка, и восстановить контроль над сетью. ^[4]

Существовала специальная «отладочная сборка» вредоносного ПО, которая предоставляла подробные журналы относительно сети. Отладочная сборка существовала для сбора информации о деятельности исследователей безопасности против ботнета и разработки соответствующих ответов. ^[20] Само вредоносное ПО также было трудно удалить из-за содержащегося в нем руткита . ^[21] Руткит, Necurs , был взят из другой части вредоносного ПО. ^[22]

Интерфейс

Интерфейс, управляющий ботнетом, мог использоваться для чтения данных, зарегистрированных ботами, и выполнения команд, включая пользовательские скрипты. ^[23] Специальная панель захвата токенов существовала для атак «человек в браузере», используемых для получения учетных данных для входа в банк; вход в банковский счет обычно включает меры аутентификации в дополнение к имени пользователя и паролю, например одноразовый код или контрольный вопрос. Панель существовала для того, чтобы преступники могли быстро и легко запрашивать решения этих мер у жертвы. ^[24] Панель захвата токенов называлась «Центр Всемирного банка» с лозунгом «мы играем с вашими банками». ^[25] Другая панель существовала для облегчения перекачивания денег с банковских счетов, позволяя пользователю выбирать «целевой счет», на который деньги будут косвенно отправлены. ^[26] Менеджерам ботнета не нужно было использовать панель захвата токенов, поскольку им разрешалось загружать собственные скрипты для использования против зараженных систем, с оговоркой, что они не могли атаковать российские компьютеры. ^[20]

Активность

GOZ распространялся с помощью спам-писем, выдававших себя за различные группы, такие как интернет-магазины, финансовые учреждения и компании сотовой связи. Письма содержали ссылку на взломанный веб-сайт, с которого загружалось вредоносное ПО. Эти спам-писем рассылались через другой ботнет, Cutwail , который часто арендовался киберпреступниками для рассылки спама. ^[27]

С 2011 по 2014 год вся деятельность GameOver ZeuS управлялась одним преступным синдикатом. Синдикат в основном использовал GOZ для участия в банковском мошенничестве и вымогательстве, однако было известно, что существуют и другие источники дохода, такие как кликфрод и сдача в аренду ботнета. ^[28]

Управление

Создателем и главным разработчиком GameOver ZeuS был Евгений «slavik» Богачев, ^[c] создатель оригинального трояна Zeus и непосредственного предшественника GOZ, Jabber Zeus . ^{[25] [29]}

Использование GameOver ZeuS управлялось Богачевым и группой, которая называла себя «бизнес-клубом». Бизнес-клуб в основном состоял из преступников, которые платили взносы за возможность использовать интерфейс GOZ. К 2014 году в бизнес-клубе было около пятидесяти членов, ^[28] в основном россияне и украинцы. ^[30] Сеть также нанимала сотрудников технической поддержки для вредоносного ПО. ^[6] Члены преступной сети были разбросаны по всей России, но основные участники, такие как Богачев, в основном базировались в Краснодаре . ^[25] Члены бизнес-клуба не использовали исключительно GOZ и часто были членами других сетей вредоносного ПО. ^[31]

Помимо бизнес-клуба, было набрано большое количество денежных мулов для отмывания украденных средств. Мулы, базирующиеся в США, чтобы избежать подозрений, были набраны через спам-письма, отправленные ботнетом GOZ, предлагающими работу на неполный рабочий день. ^[32] Денежные мулы не знали, что они имеют дело с украденными средствами или работают на преступный синдикат. ^[33]

Кража из банка

GameOver ZeuS обычно использовался для кражи банковских учетных данных, обычно из больниц. В основном это делалось с помощью регистрации нажатий клавиш . ^[34] Однако вредоносная программа могла использовать перехват браузера для обхода двухфакторной аутентификации . Предоставив жертве ложную версию страницы входа в свой банк, преступник мог запросить любой код или информацию, необходимые для входа в учетную запись жертвы. Как только жертва «входила» на ложную страницу с этой информацией, она получала сообщение «пожалуйста, подождите» или экран с ошибкой, пока учетные данные отправлялись преступникам. С помощью этой информации операторы вредоносной программы могли получить доступ к банковскому счету и украсть деньги, ^[24] обычно сотни тысяч или миллионы долларов. ^[28] В одном случае у одной жертвы было украдено 6,9 миллиона долларов. ^[35] В 2013 году на GOZ приходилось 38% краж, совершенных таким образом. ^[36] Начиная с ноября 2011 года операторы GOZ проводили DDoS-атаки на банковские сайты, если они крали большую сумму денег, чтобы не дать жертве войти в систему и создать диверсию. ^[27] Украденные деньги направлялись через большую сеть денежных мулов, прежде чем они попадали к преступникам, скрывая их происхождение и назначение от властей. ^[32] К июню 2014 года было подсчитано, что через GOZ было украдено от 70 до 100 миллионов долларов. ^{[37] [38]}

Перекачка денег следовала по принципу день-ночь , начинаясь в Австралии и заканчиваясь в Соединенных Штатах. Преступники, занимающиеся перемещением денег, работали с девяти до пяти смен с понедельника по пятницу, передавая обязанности любой команде, которая находилась к западу от них, когда заканчивалась их смена. ^[25] Конечным пунктом назначения большинства денежных переводов были подставные компании, базирующиеся в уезде Жаохэ и городе Суйфэньхэ , двух регионах в китайской провинции Хэйлунцзян на российско-китайской границе. ^[39]

КриптоЛокер

В 2013 году бизнес-клуб начал использовать GameOver ZeuS для распространения CryptoLocker , программы -вымогателя , которая шифровала содержимое компьютеров жертв и требовала оплату предоплаченными денежными ваучерами или биткоинами в обмен на ключ дешифрования. ^[32] Джозефин Вольф, доцент кафедры политики кибербезопасности в Университете Тафтса , ^[40] предположила, что мотивация перехода на программу-вымогателя была вызвана двумя причинами: во-первых, созданием более безопасного способа зарабатывания денег на GOZ, поскольку программа-вымогатель могла брать деньги у жертв за меньшую работу со стороны преступников, а анонимные способы оплаты не требовали отмывания денег через денежных мулов, ^[32] чья лояльность была под вопросом, поскольку они не знали, что работают на преступников; и, во-вторых, чтобы воспользоваться доступом преступников к данным на зараженных компьютерах, которые были важны для жертв, но не представляли никакой ценности для преступников, таким как фотографии и электронные письма. ^[41] Журналист Гарретт Графф также предположил, что программы-вымогатели служили для «превращения мертвого груза в прибыль», изымая деньги у жертв, чьи банковские балансы были слишком малы, чтобы оправдать прямую кражу. ^[28]

Около 200 000 компьютеров были атакованы Cryptolocker, начиная с 2013 года. ^[35] Сумма денег, которую Богачев и его сообщники заработали с помощью CryptoLocker, неясна; Вольф утверждал, что только за один месяц с октября по декабрь 2013 года было украдено 27 миллионов долларов. ^[42] Однако Майкл Сэнди дал гораздо более низкую оценку в 3 миллиона долларов за весь период деятельности CryptoLocker. ^[43] Вольф утверждал, что наследие GameOver ZeuS заключается не в его инновационной структуре P2P-ботнета, а в прецеденте, который он создал в CryptoLocker для будущих атак с использованием программ-вымогателей. ^[44]

Шпионаж

Анализ ботнета выявил попытки поиска секретной и конфиденциальной информации на взломанных компьютерах, особенно в Грузии, Турции, Украине ^[45] и США, что привело экспертов к мнению, что GameOver ZeuS также использовался для шпионажа в пользу российского правительства. ^[46] Ботнет на Украине начал проводить такие поиски только после того, как пророссийское правительство страны рухнуло во время революции в 2014 году. ^{[47] Государства-члены} ОПЕК также были объектом атак. ^[30] Поиски были адаптированы к целевой стране: поиск в Грузии искал информацию о конкретных правительственных чиновниках, поиск в Турции искал информацию о Сирии, поиск в Украине использовал общие ключевые слова, такие как «федеральная служба безопасности» и «агент безопасности», ^[48] а поиск в США искал документы, содержащие такие фразы, как «совершенно секретно» и «Министерство обороны». ^[46] Ботнеты, используемые для шпионажа, запускались отдельно от тех, которые использовались для финансовых преступлений.

Неясно, кто отвечал за шпионские операции; в то время как исследователь безопасности Тиллман Вернер, который помог уничтожить оригинальный ботнет GOZ, предположил возможность участия партнера или клиента, Майкл Сэнди, другой участник операции по уничтожению, заявил, что Богачев был главным или единственным ответственным, утверждая, что у него был исключительный доступ к протоколам наблюдения вредоносного ПО и что, поскольку в круг его преступных сообщников входили украинцы, ему пришлось бы хранить шпионаж в тайне. ^[48] Сэнди предположил, что использование ботнета для шпионажа предоставило Богачеву «уровень защиты», который может объяснить, почему его до сих пор не поймали, ^[49] несмотря на то, что он живет открыто и под своим собственным именем в России. ^[46]

История

Происхождение и название

GameOver ZeuS был создан 11 сентября 2011 года как обновление Zeus 2.1, также известного как Jabber Zeus . ^[50] Jabber Zeus управлялся организованным преступным синдикатом, ключевым членом которого был Богачев, который в значительной степени распался в 2010 году из-за действий полиции. ^[28] В конце 2010 года Богачев объявил, что уходит из киберпреступности и передает код Zeus конкуренту. Исследователи безопасности отнеслись к этому шагу со скептицизмом, поскольку Богачев уже несколько раз объявлял о своем уходе, а затем возвращался с улучшенной версией Zeus. ^[51] В мае 2011 года произошла утечка исходного кода Zeus, что привело к появлению множества вариантов. ^{[27] [52]} Графф предположил, что сам Богачев несет ответственность за утечку. ^[28]

Название «GameOver ZeuS» было придумано исследователями безопасности и происходит от файла с именем «gameover2.php», используемого каналом C2. ^[53] Другие названия включают одноранговую сеть ZeuS, ZeuS3, ^[54] и GoZeus. ^[55]

Отключение ботнета

Оригинальный ботнет GameOver ZeuS был уничтожен в ходе международной операции правоохранительных органов под кодовым названием « Операция Tovar ». ^[56] Три предыдущие попытки в период с 2012 по январь 2013 года уничтожить ботнет оказались безуспешными, ^[28] включая одну попытку в марте 2012 года со стороны Microsoft использовать судебные иски для ареста серверов и доменов, контролируемых GOZ, которая не удалась из-за одноранговой архитектуры GameOver ZeuS. ^[27] Планирование операции Tovar началось в 2012 году, когда Федеральное бюро расследований начало работать совместно с частными фирмами по кибербезопасности для борьбы с GOZ. ^[57] К 2014 году ^[28] власти Соединенного Королевства также предоставили ФБР информацию о контролируемом GOZ сервере в Великобритании, содержащем записи о мошеннических транзакциях. Информация на сервере в сочетании с интервью с бывшими денежными мулами позволила ФБР начать понимать инфраструктуру ботнета GOZ. Богачев был идентифицирован как глава сети GameOver ZeuS путем перекрестной ссылки IP-адреса, используемого для доступа к его электронной почте, с IP-адресом, используемым для администрирования ботнета; ^[58] хотя он использовал VPN , Богачев использовал один и тот же для обеих задач. ^[59] Команда Operation Tovar также провела обратную разработку DGA вредоносного ПО, что позволило им предупредить любые попытки восстановить ботнет и перенаправить такие попытки на контролируемые правительством серверы. Серверы C2 GOZ в Канаде, Украине и Казахстане были захвачены властями, ^[60] причем Украина была первой, кто сделал это 7 мая 2014 года. ^[35] После завершения подготовки 30 мая началась Operation Tovar. Операция представляла собой атаку с использованием синкхола, которая прервала связь между ботами и их командными серверами, перенаправив связь на вышеупомянутые контролируемые правительством серверы. ^[57] Технические детали операции в значительной степени остаются засекреченными. ^[60]

2 июня Министерство юстиции объявило о результатах операции «Товар». В тот же день было также обнародовано обвинительное заключение против Богачева. ^[61] Однако власти также предупредили, что ботнет, скорее всего, вернется в течение двух недель. ^[62] 11 июля Министерство юстиции заявило, что в результате операции число заражений GOZ снизилось на 32 процента. ^[44] 24 февраля 2015 года Министерство юстиции объявило вознаграждение в размере 3 миллионов долларов за информацию, которая приведет к аресту Богачева, ^[63] на тот момент самое большое вознаграждение за киберпреступника. ^{[1] [d]}

Возрождение как "newGOZ"

Через пять недель после проведения операции «Товар» компания по безопасности Malcovery объявила, что обнаружила новый штамм GOZ, распространяемый через спам-сообщения. Несмотря на то, что примерно девяносто процентов кодовой базы было общим с предыдущими версиями GOZ, новая вредоносная программа не создала одноранговую ботнет-сеть, решив создать структуру ботнета с использованием fast flux — метода, при котором фишинговые и вредоносные сайты доставки скрываются за быстро меняющимся массивом скомпрометированных систем, действующих как прокси-серверы. ^[66] Происхождение и мотивы создания нового варианта, получившего название «newGOZ», были неясны; Майкл Сэнди считал, что newGOZ — это «трюк», чтобы выдать исходный код вредоносной программы и создать отвлекающий маневр, в котором Богачев мог бы исчезнуть. ^[52] Однако в первоначальном отчете Malcovery утверждалось, что новый троян представляет собой серьезную попытку возродить ботнет. ^[67] Оригинальные ботнеты GameOver ZeuS и newGOZ были отдельными сущностями; списки доменов, сгенерированные их соответствующими DGA, были разными, несмотря на схожесть алгоритмов, а исходный ботнет GOZ был описан Малковери как все еще «заблокированный». ^[68]

Новое вредоносное ПО было разделено на два варианта. Варианты различались в двух областях: количество доменов, сгенерированных DGA, один из которых генерировал 1000 доменов в день, а другой — 10 000; и географическое распределение заражений — первый вариант в основном заражал системы в США, а второй — компьютеры в Украине и Беларуси. ^[69] 25 июля 2014 года было подсчитано, что newGOZ заразил 8494 машины. ^[70] Также сообщалось о других вариантах GOZ, включая «Zeus-in-the-Middle», нацеленный на мобильные телефоны. ^[71] По состоянию на 2017 год варианты Zeus составляют 28% всех банковских вредоносных программ. ^[72] Однако Сэнди утверждает, что большую часть доли рынка Zeus отнимает новое вредоносное ПО. ^[52]

Смотрите также

• Хронология компьютерных вирусов и червей

Похожие российские и восточноевропейские киберпреступные группировки:

• Avalanche , использовали ботнеты и спам по электронной почте
• Berserk Bear — постоянная угроза, известная тем, что использует киберпреступников
• REvil , использовал программу-вымогатель

Похожие ботнеты:

• Conficker , чрезвычайно плодовитый ботнет на пике своего развития
• Sality , еще один одноранговый ботнет
• Torpig — еще один ботнет, распространяемый через троянских коней
• Tiny Banker Trojan , производный от Zeus
• Ботнет ZeroAccess , также P2P и распространяемый через трояны

Примечания и ссылки

Примечания

1. В контексте мониторинга P2P-ботнетов, краулер — это программа, которая, используя протокол связи ботнета, запрашивает пиры заданного бота, затем запрашивает список пиров у каждого бота в списке пиров исходного бота и так далее, пока не будет отображен весь ботнет. ^[7] Датчик проникает в список пиров нескольких ботов и регистрирует попытки связаться с ним со стороны ботов в сети. ^[8]
2. Sinkholing — это метод, используемый для уничтожения ботнетов, в котором внутри ботнета размещается специальный датчик. Датчик, также известный как sinkhole , обрывает связь между ботами и их контроллерами. ^[16]
3. Также известен как «lucky12345» и «Pollingsoon».
4. С тех пор эта сумма была превышена вознаграждением в размере 5 миллионов долларов, выданным 5 декабря 2019 года за информацию, которая привела к аресту главы Evil Corp Максима Якубца . ^[64] Ранее Якубец работал с Богачевым в составе команды Jabber Zeus. ^[65]

Ссылки

1. Wolff 2018, стр. 59.
2. Этахер, Вейр и Алазаб 2015, стр. 1386.
3. Андрисс и др. 2013, с. 117.
4. Wolff 2018, стр. 61.
5. Андрисс и др. 2013, с. 116.
6. Sandee 2015, стр. 6.
7. Каруппая 2018, стр. 4.
8. Каруппая 2018, стр. 15.
9. Каруппая 2018, стр. 44.
10. Сильвер, Джо (2 июня 2014 г.). «Правительства блокируют ботнет «Gameover ZeuS» и вирус-вымогатель «Cryptolocker»». Ars Technica . Архивировано из оригинала 5 июня 2023 г. Получено 21 июля 2023 г.
11. Stahl, Lesley (21 апреля 2019 г.). «Растущее партнерство между правительством России и киберпреступниками». CBS . Архивировано из оригинала 18 января 2023 г. Получено 7 мая 2023 г.
12. Каруппая 2018, стр. 40.
13. Каруппая 2018, стр. 20.
14. Каруппайя 2018, стр. 22–23.
15. Каруппая 2018, стр. 31.
16. Каруппая 2018, стр. 79.
17. Каруппая 2018, стр. 21.
18. Каруппая 2018, стр. 23.
19. Андрисс и др. 2013, с. 118.
20. Sandee 2015, стр. 7.
21. Этахер, Вейр и Алазаб 2015, стр. 1387.
22. Zorabedian, John (4 марта 2014 г.). "SophosLabs: банковское вредоносное ПО Gameover теперь имеет руткит для лучшей маскировки". Sophos News . Архивировано из оригинала 29 мая 2023 г. Получено 20 июля 2023 г.
23. Сэнди 2015, стр. 15.
24. Sandee 2015, стр. 16–17.
25. Кребс, Брайан (5 августа 2014 г.). «Внутри преступной банды «Бизнес-клуб» стоимостью 100 млн долларов». Кребс о безопасности . Архивировано из оригинала 27 мая 2023 г. Получено 8 июля 2023 г.
26. Сэнди 2015, стр. 17.
27. Стоун-Гросс, Бретт (23 июля 2012 г.). "Жизненный цикл Peer to Peer (Gameover) ZeuS". Secureworks . Архивировано из оригинала 28 мая 2023 г. . Получено 16 июля 2023 г. .
28. Графф, Гарретт М. (21 марта 2017 г.). «Внутри охоты на самого известного хакера России». WIRED . Архивировано из оригинала 23 апреля 2023 г. Получено 8 июля 2023 г.
29. Кребс, Брайан (25 февраля 2015 г.). «ФБР: вознаграждение в 3 млн долларов за автора трояна ZeuS». Кребс о безопасности . Архивировано из оригинала 7 апреля 2023 г. Получено 5 мая 2023 г.
30. Королев, Мария (7 августа 2015 г.). «Преступники GameOver ZeuS шпионили за Турцией, Грузией, Украиной и ОПЕК». CSO Online . Архивировано из оригинала 16 июля 2023 г. Получено 16 июля 2023 г.
31. Сэнди 2015, стр. 9.
32. Wolff 2018, стр. 63.
33. Вольф 2018, стр. 65.
34. Вольф 2018, стр. 62.
35. Перес, Эван (3 июня 2014 г.). «США уничтожают вредоносное программное обеспечение, укравшее миллионы». CNN . Архивировано из оригинала 3 июня 2023 г. Получено 21 июля 2023 г.
36. Этахер, Вейр и Алазаб 2015, стр. 1388.
37. Гросс, Гарретт (март 2016 г.). «Обнаружение и уничтожение ботнетов». Сетевая безопасность . 2016 (3): 8. doi :10.1016/S1353-4858(16)30027-7. ISSN  1353-4858. OCLC  6017168570. S2CID  29356524.
38. Musil, Steven (2 июня 2014 г.). «США пресекли деятельность киберпреступной сети GameOver Zeus с вредоносным ПО стоимостью 100 млн долларов». CNET . Архивировано из оригинала 16 июля 2023 г. Получено 16 июля 2023 г.
39. Сэнди 2015, стр. 18–20.
40. Вольф, Жозефина (27 января 2019 г.). «Двухфакторная аутентификация может не обезопасить вас». The New York Times . Архивировано из оригинала 27 июня 2023 г. Получено 23 июля 2023 г.
41. Вольф 2018, стр. 69–70.
42. Вольф 2018, стр. 64.
43. Сэнди 2015, стр. 3.
44. Wolff 2018, стр. 68.
45. Сэнди 2015, стр. 21.
46. Швирц, Майкл; Гольдштейн, Джозеф (12 марта 2017 г.). «Российский шпионаж на взломе киберпреступника». The New York Times . Архивировано из оригинала 25 мая 2023 г. Получено 17 июля 2023 г.
47. Стивенсон, Аластер (6 августа 2015 г.). «Российское правительство может защищать создателя самого печально известного вредоносного ПО в мире». Business Insider . Архивировано из оригинала 23 апреля 2023 г. Получено 16 июля 2023 г.
48. Brewster, Thomas (5 августа 2015 г.). «Самый разыскиваемый ФБР киберпреступник, связанный с российским шпионажем против правительства США». Forbes . Архивировано из оригинала 8 мая 2023 г. Получено 16 июля 2023 г.
49. Сэнди 2015, стр. 23.
50. Петерсон, Сэнди и Вернер 2015, 8:00–8:33.
51. Бартц, Диана (29 октября 2010 г.). «Анализ: Главный хакер «уходит на пенсию»; эксперты готовятся к его возвращению». Reuters . Архивировано из оригинала 10 декабря 2022 г. Получено 23 июля 2023 г.
52. Sandee 2015, стр. 5.
53. Петерсон, Сэнди и Вернер 2015, 7:18–7:27.
54. Сэнди 2015, стр. 2.
55. Хэй, Эндрю (5 марта 2020 г.). «Gameover ZeuS переключается с P2P на DGA». Cisco Umbrella . Архивировано из оригинала 30 мая 2023 г. Получено 8 июля 2023 г.
56. Кребс, Брайан (2 июня 2014 г.). «Операция «Товар» нацелена на ботнет «Gameover» ZeuS, CryptoLocker Scourge». Кребс о безопасности . Архивировано из оригинала 4 июня 2023 г. Получено 21 июля 2023 г.
57. Franceschi-Bicchierai, Lorenzo (12 августа 2015 г.). «Как ФБР уничтожило ботнет, разработанный так, чтобы его было „невозможно“ уничтожить». VICE . Архивировано из оригинала 22 июня 2022 г. . Получено 21 июля 2023 г. .
58. Вольф 2018, стр. 64–66.
59. Петерсон, Сэнди и Вернер 2015, 41:06–41:31.
60. Wolff 2018, стр. 67.
61. Траутман, Лоуренс Дж.; Ормерод, Питер К. (зима 2019 г.). «Wannacry, Ransomware и новая угроза корпорациям» (PDF) . Tennessee Law Review . 86 (2): 512. doi :10.2139/ssrn.3238293. ISSN  0040-3288. OCLC  1304267714. S2CID  169254390. SSRN  3238293.– через ResearchGate
62. Dignan, Larry (2 июня 2014 г.). «Ботнет GameOver Zeus захвачен; власти говорят, что у вас есть две недели, чтобы защитить себя». ZDNET . Архивировано из оригинала 2 июля 2023 г. Получено 23 июля 2023 г.
63. Кравец, Дэвид (24 февраля 2015 г.). «США предлагают вознаграждение в размере 3 миллионов долларов за поимку администратора ботнета GameOver ZeuS». Ars Technica . Архивировано из оригинала 16 апреля 2023 г. Получено 21 июля 2023 г.
64. Добрынин, Сергей; Крутов, Марк (11 декабря 2019 г.). «В роскошных свадебных фотографиях угадываются семейные связи предполагаемого российского кибервора с ФСБ». Радио Свободная Европа . Архивировано из оригинала 22 июля 2023 г. Получено 23 июля 2023 г.
65. Кребс, Брайан (15 ноября 2022 г.). «В Женеве арестован главный подозреваемый в ботнете Zeus «Танк»». Кребс о безопасности . Архивировано из оригинала 10 апреля 2023 г. Получено 7 мая 2023 г.
66. Кребс, Брайан (10 июля 2014 г.). «Мошенники ищут возрождения ботнета „Gameover Zeus“». Кребс о безопасности . Архивировано из оригинала 1 февраля 2023 г. Получено 7 июля 2023 г.
67. Брюстер, Том (11 июля 2014 г.). «Gameover Zeus возвращается: вредоносное ПО для воровства растет через месяц после действий полиции». The Guardian . Архивировано из оригинала 24 января 2023 г. Получено 7 июля 2023 г.
68. Константин, Люциан (11 июля 2014 г.). «Программа Gameover Trojan вернулась с некоторыми изменениями». CSO Online . Архивировано из оригинала 7 июля 2023 г. Получено 7 июля 2023 г.
69. Cosovan, Doina (6 августа 2014 г.). «Варианты Gameover Zeus, нацеленные на Украину и США». Блог Bitdefender . Архивировано из оригинала 16 мая 2022 г. Получено 8 июля 2023 г.
70. Константин, Люциан (14 августа 2014 г.). «Новый ботнет Gameover Zeus продолжает расти, особенно в США». CSO Online . Архивировано из оригинала 8 июля 2023 г. Получено 8 июля 2023 г.
71. Asher-Dotan, Lital (1 июля 2015 г.). «ФБР против GameOver Zeus: почему ботнет на основе DGA побеждает». Malicious Life от Cybereason . Архивировано из оригинала 7 марта 2022 г. Получено 23 июля 2023 г.
72. Gezer, Ali; Warner, Gary; Wilson, Clifford; Shrestha, Prakash (июль 2019 г.). «Подход на основе потока для обнаружения банковских троянов Trickbot». Computers & Security . 84 : 180. doi : 10.1016/j.cose.2019.03.013. ISSN  0167-4048. OCLC  8027301558. S2CID  88494516.

Общие источники

• Andriesse, Dennis; Rossow, Christian; Stone-Gross, Brett; Plohmann, Daniel; Bos, Herbert (22–24 октября 2013 г.). «Высокоустойчивые одноранговые ботнеты уже здесь: анализ Gameover Zeus» (PDF) . 8-я международная конференция по вредоносному и нежелательному программному обеспечению 2013 г.: «Америки» . Международная конференция по вредоносному и нежелательному программному обеспечению. Fajardo : IEEE . стр. 116–123. doi :10.1109/MALWARE.2013.6703693. ISBN 978-1-4799-2534-6. S2CID  18391912.
• Etaher, Najla; Weir, George RS; Alazab, Mamoun (20–22 августа 2015 г.). «От ZeuS до Zitmo: тенденции в банковском вредоносном ПО» (PDF) . 2015 IEEE Trustcom/BigDataSE/ISPA . Международная конференция IEEE по доверию, безопасности и конфиденциальности в вычислительной технике и коммуникациях. Хельсинки : IEEE . стр. 1386–1391. doi :10.1109/Trustcom.2015.535. ISBN 978-1-4673-7952-6. OCLC  8622928059. S2CID  2703081.
• Каруппая, Шанкар (2018). Расширенный мониторинг в P2P-ботнетах: двойная перспектива . Сингапур : Springer . doi :10.1007/978-981-10-9050-9. eISSN  2522-557X. ISBN 978-981-10-9049-3. ISSN  2522-5561. LCCN  2018940630. OCLC  1036733978. S2CID  1919346.
• Peterson, Elliott; Sandee, Michael; Werner, Tillmann (5 августа 2015 г.). GameOver Zeus: Badguys And Backends (речь). Black Hat Briefings . Лас-Вегас . Архивировано из оригинала 31 марта 2023 г. . Получено 7 мая 2023 г.(Полная речь на YouTube .)
• Сэнди, Майкл (5 августа 2015 г.). GameOver ZeuS: сведения о Badguys и бэкэндах (PDF) . Black Hat Briefings . Лас-Вегас .
• Вольф, Жозефина (2018). Вы увидите это сообщение, когда будет слишком поздно: правовые и экономические последствия нарушений кибербезопасности . Кембридж, Массачусетс : The MIT Press . ISBN 9780262038850. LCCN  2018010219. OCLC  1029793778. S2CID  159378060.

Внешние ссылки

• Плакат о розыске Богачева
• Обвинение Богачева в преступлениях, совершенных при содействии ZeuS