Grabduck

Взлом с продолжением

:

Одно время я работал на free-lance.ru. С утра я обычно мониторил заказы, а после обеда непосредственно работал. Однажды я наткнулся на заказ, сумма за выполнение которого была очень аппетитной. Я сразу отписался по заказу, и буквально через минуту получил ТЗ на проект в личку. Поначалу меня удивила скорость ответа, и то что меня сразу выбрали исполнителем, но с другой стороны такое уже частенько бывало. Файл с ТЗ мне показался странным, в него была встроена ссылка на flash ролик. Проверив файл на вирусы и получив ответ, что угроз не обнаружено, я таки усыпил свою бдительность и щелкнул по ссылке на flash ролик. А щелкать не стоило.
Взлом

Вот злосчастная ссылка и ответ антивируса, что в Багдаде все спокойно угроз не обнаружено.
image

Мы еще немного пообщались с заказчиком по срокам, стоимости, пожеланиям и т.д. и я принялся за работу. Через некоторое время мне потребовалось уточнить детали и я попытался повторно связаться с заказчиком. Заказчик на связь не выходил. Я попробовал еще несколько раз и поняв что тщетно, принялся за другую работу, благополучно забыв о потерянном времени.

Вспомнить об этом инцеденте мне пришлось очень быстро, буквально на следующий день. Мне срочно потребовалось закинуть денег на телефон и я решил привычно воспользоваться ЯДами, благо у меня там болтались какие-то копейки. Но зайдя в аккаунт ЯД я обнаружил там круглый ноль. Глянул в историю и обнаружил перевод денег на чужой незнакомый кошелек, причем с незнакомого мне IP.

Вот мой IP, он у меня постоянный:

УПС: Здесь был мой IP адрес, в целях безопасности я его убрал.

Вот перевод из истории ЯД:

image

IP-адрес московский, да и время перевода если по нашему времени то это уже 6:45, время моего глубого сна.

Когда я это обнаружил, я ничего не мог понять, ведь надо же знать пароль к почте и платежный пароль, который к слову у меня соотвествует всем пожеланиям к придумыванию паролей. Я стал думать и вспоминать как можно провернуть такую аферу и в определенный момент я вспомнил о том странном ТЗ. Я кинулся проверять историю браузера и обнаружил там странную запись:

image

Получается я ночью проснулся, зачем то зашел на яндекс и снова лег спать. Бред. Понятно дело что мне подкинули трояна. В процессах висел странный сервис rutserv и погуглив я нашел таки троянца. Им оказался скрытый Remote Manipulator System в сети даже есть подробный мануал по его сборке — http://www.xaker.name/forvb/showthread.php?t=20588&page=6. Трояна сразу прихлопнул и снес подальше. Самое интересное что антивирус на него даже не ругнулся. Схема вроде раскрыта и я думал что все на этом закончится. Я естественно поменял все пароли на всех сайтах где я регистрировался. Кстати троян помимо того что позволял подключаться ко мне через RDP, еще работал и как кейлоггер, записывая все мои пароли и отправляю их злоумышленнику. Когда я это узнал я сказал спасибо себе за то что не набираю каждый раз пароли а тупо сохраняю их в браузере.

Продолжение

Потом временами иногда происходила неведомая фигня типа блокировки почты на google (у меня там таки стоит двухэтапная авторизация), блокировка аккаунта вконтакте и прочее. Понятно было что пытаются зайти под меня, но тщетно пароли были поменяны.

Самый ужас случился сегодня. У нас с женой как и у всех наверно есть конфиденциальная информация огласки которой нам бы не хотелось. И сегодня мне в скайп постучался некто Markus Shwimmer из Германии и диалог у нас складывался в таком ключе.
image

Жена испугалась очень сильно. Мы оба пытались понять кому мы таки перешли дорогу и самое главное откуда появился компромат, ведь лежал он очень далеко в архиве под семью паролями. Взломать пароль было не реально.

На всякий случай мы заблокировали аккаунты вконтакте, предварительно написав друзьям что им может прийти кое-что и попросили их адекватно к этому отнестись и по возможности проигнорировать.

Чуть позже появилась догадка, что компромат мог появиться с электронного ящика, как-то давным-давно я его пересылал супружнице. Это было году эдак в 2005, у меня еще тогда электронный ящик был на mail.ru Через несколько лет, году так в 2007, я сменил ящик на гугловский и добавил функцию сбора почты с mail.ru. За безопасность гугловского ящика я не беспокоился и думал, что все у меня лежит в целости и сохранности, но на mail.ru все письма пересланные на гугловский ящик тоже сохранялись. Вот этот ящик злоумышленник и взломал благодаря кейлоггеру. Я тогда еще как раз вспомнил историю с запросом на восстановление пароля на ящик mail.ru которая произошла в аккурат после того странного ТЗ.

Я пытался тянуть время придумывая на ходу как разрешить ситуацию. Даже если бы мы перевели деньги гарантий нам бы никто не дал да и международная практика рекомендует не вступать в переговоры с вымогателями. Но злоумышленник вполне охотно шел на контакт, после первого часа дал еще час, а потом еще пару. В общении я заметил «зделай, хоть, что-то а там..», «извени не могу» — глупые орфографические ошибки которые не свойственны адекватному взрослому человеку. Я подумав сделал вывод что это тот же злоумышленник который увел у меня ЯД и которому захотелось добавки. Цели разослать компромат у него не было, у него была цель получить деньги.

После первого часа я начал копать в нужном направлении. Skype, оказывается, в большинстве случаев напрямую соединяется с собеседником. Первым делом я скачал cports и предварительно проверив работоспособность на знакомом собеседнике из скайпа, решил узнать IP злоумышленника. Когда злоумышленник вышел на связь мне удалось получить его IP — 109.191.235.66. С помощью этого сервиса — http://speed-tester.info/ip_location.php я узнал что IP принадлежит пулу адресов провайдера Интерсвязь — http://www.is74.ru. Созвонившись со службой поддержки, я точно в этом удовстоверился. К слову говоря, в службе поддержки мне попался адекватный молодой человек, который меня внимательно выслушал, информацию согласился предоставить только по запросу полиции (что и понятно), но на вопрос есть ли у данного абонента текущее соединение с моим IP-адресов ответил положительно. За что ему огромное спасибо.

Теперь у меня были козыри на руках. IP-адрес злоумышленника, переписка в скайпе, данные у провайдера (которые помогли бы идентифицировать злоумышленника) и я не стесняясь выложил козыри на стол когда злоумышленник снова появился в сети, припугнув заодно следующими статьями:

  • ст. 137 УК РФ — Нарушение неприкосновенности частной жизни;
  • ст. 138 УК РФ — Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений;
  • ст. 163 УК РФ — Вымогательство;
  • ст. 272 УК РФ — Неправомерный доступ к компьютерной информации;

Компромат естестенно никуда не пошел.

К слову говоря, не понятно, почему злоумышленник не озаботился собственной безопасностью (скайп же позволяет работать через прокси) и не понятно, почему в первом случае IP был московским. Возможно, злоумышленников все-таки было двое.

UPD: Почитав комментарии, все-таки принял решение написать заявление в полицию.