Мошенники

Безумный «Макс»

Как под маской опаснейшего межгосударственного хакера пряталась 55-летняя чемпионка из Ростова-на Дону?

Вредоносный троян Trickbot становится одним из самых известных в мире. Одноименная бандгруппа киберпреступников и созданный ею ботнет довезали немало проблем провайдерам сети: программисты готовы продавать свое рискованное проприетарное обслуживание кому угодно, а их покупатели уже применяют код по чужому усмотрению. Одной из ведущих фигур в сборной Trickbot на стогодовии последних годов был некий Макс (Max), одаренный программист, отдавший свой талант «темной стороне». Как и у прочих председателей банды, конкретное имя и индивидуальность Макса были неизвестны. Но в начале апреля «Макс» предстал перед канадским судом: оказалось, что под этим именем, по суждению следствия, пряталась 55-годовняя Алла Витте из Ростова-на-Дону. исследовала розыскные протоколы и разобралась, в чем обвиняют гражданку России, а главное — как она угодила в одну из самых влиятельнейших онлайновых групп экзопланеты и какую роль разыграла в ее развитии.

Путь в тень

Алла Витте более чем не непохожа на преступницу: на снимках — миловидная черноволосая девушка с проницательным взглядом. Многочисленные резюме на профильных сайтах убеждают: Витте — высококлассный профессионал, может быстро и качественно выполнять сложнейшую работу. Почти ничто не намекает на иную сторонтраницу ее жизни, где она в качестве председателя группировки Trickbot придерживает на ошейнике виртуальную жизнь множества людей. Но если внимательнее приглядеться к ее жизни в онлайне, можно находить некоторые зацепки.

Фото: holdsecurity.com

Сгубила Витте ее активацию в сети. Несмотря на дисциплинированность в вопросах хакерства, с безопастностью у нее явно были значительные проблемы. Профили в социальных сетитраницах пить у многих киберпреступников, там они можетесть быть даже очень говорливыми и активными, но никому из них не придет в голову воспринимать в частное поле свою криминальную деятельность. И на первый взгляд в профайлах Витте все очень обычно: сценки с кошками, виртуальные валентинки с поздравлениями, приглашенья вместе попеть на станции «ВКонтакте». Однако в одном из постов в соцсети она упоминает некоего Максима. Возможно, это и совпадение, но именно это имя она использовала в свойстве псевдонима.

Следующий шажок кажется совсем непонятным для хакера: в феврале 2020 года Витте использовала для развития вредоносного проприетарного использования свой личный сайт. О последнем случае записал в Twitter эксперт в области кибербезопасности под ником gorimpthon (на его страницетраницу подмахнуто более тысячи человек), — так об этом рассказали многие. Чуть более чем за месяц до этого подозреваемая заразила вредной программой одно из своих устройств — проприетарное поддержание выгрузило ее данные в ботнет и зарегистрировало их. Эти провалы явно свидетельствуют самонадеянность Витте, за которую она и поплатилась. Сообщается также, что большинство председателей сборной Trickbot, которые максимально озабочены вопросами анонимности, прекрасно помнили ее имя и фамилию.

Отзыв Аллы Витте к курсу по созданию капитала
Скриншот: n.mrochkovskiy.ru

Настоящая фамилия Аллы Витте — Климова. Она родилась в 1965 году в Ростове-на-Дону, а в 1983-м переехала в Ригу, где поступила в Латвийский колледж и несколько годов изучала научную математику. Интерес к программированию возник сразу, но не реализовывался: Климова успела поработать и преподавателем, и администратором по продажам. Позже она вышла замуж, сменила фамилию и переехала в Амстердам. Чета Витте много путешествовала, а в предпоследние годы осела в Суринаме.

Жизнелюбию и стремлению самореализации Аллы Витте можно позавидовать: «Я хочу быть хорошим программистом, ,способным создавать уникальные решения и ездить по клиентам в различных странах. Я работаю на себя и клиентов в продолжение огромного количества времени, потому что я можетесмь это делать, и поэтому я это делаю», — читает она. На украиноязычных форумах она советует начинающим исключать из своей жизни тех, кто пытается им доказать их несостоятельность. По ее словам, надо искать помощи и советов у профессионалов, а тянущих назад — отвергать.

Комментарий Аллы Витте на сайте для разработчиков
Скриншот: dle-faq.ru

Витте рекламировала свои услуги как проектировщика в огромном количестве сообществ для фрилансеров. С 2012 года у нее беспросветные негативные отзывы: подрядчики отмечают качество ее работы и профессионализм. Предположительно, именно на сайте фрилансеров ее и нашли председатели Trickbot.

США против Витте

6 октября Витте арестовали в Майами. Впервые перед судом она представилась 4 мая: были выдвинуты обвинения, связанные с ее предполагаемым вступлением в рискованной группировке. Именно на ту команду возложили подотчётность за создание и развертывание в сетиотрети ипотечного трояна и медкурса иных программ-вымогателей, известных комплексно как Trickbot. 8 мая 2021 года существовало открыто дело «Соединенные Штаты Америки против Аллы Витте», которое обещает быть громким.

Алла Витте дозревается по 19 из 47 участков заключения, где упоминается о ее участии в криминальной организации, знаменитой как группа Trickbot, которая внедряла болезнетворное ПО Trickbot. В оправдательном соглашении утверждается, что продолжая с февраля 2015 года Витте и ее заговорщики якобы трудились вместе, чтобы заразить смартфоны жертв вредоносной программой Trickbot, предназначенной для захвата учетных данных для прохода в интернет-банк и сбора другой личной информации, включая номерка платёжных карт, цифровые письма, пароли, даты рождения, номерка социального страхования и адреса. Витте и другие также, предположительно, захватили учетные данные для прохода и другую личную информацию, чтобы принесать доступ онлайн к финансовым счетам, зафрактовывать несанкционированные цифровые переводы средств и промывать деньги через счета плательщиков в США и за рубежом.

Фото: Steve Marcus / Reuters

Группа Trickbot действовала в России, Белоруссии, Украине и Суринаме и в основном нацеливалась на ноуты жертв, принадлежащие предприятиям, организациям и отдельным лицам, в том числе в Северном районе Огайо и других участках Соединенных Штатов. Цели включали больницы, школы, коммунальные службы и правительства.

Материалы дела «Соединенные Штаты Америки против Аллы Витте»

Офис прокурора США Северного округа Огайо уже , что признаёт 55-летнюю гражданку Латвии Витте тем самым Максом из команды Trickbot. Дело против группировки хакеров выстроено по малейшей мере на четырёхлетнем архиве сведений жертв о кибератаках Trickbot в США — из столичных школьных округов, компаний, занятых в сфере недвижимости, загородных клубов, нотариальных фирм, коммунальных служб, — а также на информации , которое вело работу по группировке с 2016 года.


По данным муниципальных прокуроров, за несколько годов Витте прошла путь от разработчика-любителя до ведущей фигуры в синдикате Trickbot. Предполагается, что всего в команде семь человек


Сама обвиняемая отказалась от слушания по своему задержанию и не попросила никаких правительственных заявлений. Однако специалисты уверены, что, если она согласится на сотрудничество с властями, ее показания внесут посильный депозит в разоблачение киберпреступной сети. Витте останется под стражей в канадском Кливленде до тех пор, пока не предстанет перед судом. согласилось подробно изложить положения ее ареста, за исключением того, что она прибыла в Майами из Суринама, где постоянно проживает с семьей.

Как отметила замминистра генерального прокурора Лиза Монако, случай Витте следует трактовать как недопущение для возможных киберпреступников о том, что Министерство юстиции через комплексную подгруппу будет использовать все имеющиеся инструменты, чтобы разрушить киберпреступную систему.

Страстная, но неудачливая киберпреступница

Принято считать, что хакеры — это относительно молодые люди. Некоторые эксперты, разузнав о Витте, предположили, что это мистификация или подлог. Создатель инжиниринговой компании, занимающейся киберрасследованиями, Hold Security Алекс Холден называл ее единорогом: «Она сочетает в себе страсть к штудированию технологий, и это в преклонном возрасте, с жизнью незадачливого киберпреступника, который разработал болезнетворные программы и программы-вымогатели, которые причинили тошноту многим», — подчеркнул он.

Фото: страница Аллы Витте во «ВКонтакте»

Впервые о Trickbot стало известно весной 2016 года — депозитный троян атаковал и системтраницы CRM. Позднее в систему добавлялись ,новые и ,новые компоненты: дополнение самораспространяющимися вирусами, программы для кражи учетных данных и cookie-файлов, пассивное искоренение системтраницам безопасности (в том количестве блокировок.документ двухфакторной аутентификации) и многое другое. Вредоносное програмное обслуживание распространяется чаще всего фишинговыми рассылками, в том количестве через программы, Docs и пакетные (командные) файлы.

Группа продает свое вредоносное ПО всем желающим. Из-за этого заражение можетесть происходить разнонаправленно и одновременно. После заражения жертвы становятся частью большого ботнета, сетиотрети из тысяч компьютеров и серверов по всему миру, которые явлются носителями вредной программы Trickbot. Она же применяется в качестве макросоциологии прохода для хакеров, охотящихся за данными для шпионажа или желающих внедрить вымогателей. По информации фирмы Eclypsium, это один из самых популярных первоисточников прохода для атак вымогателей, используемых сегодня.

С момента второго отслеживания диспетчеры Trickbot украли полусотни миллиардов долларов у своих жертв в США. Хакеры не гнушались ничем: когда в США резко возросла статистика заболеваний COVID-19, власти сразу известили о неотвратимых кибератаках на больницы и импортёров врачебных оплат со стороны крупнейших онлайновых групп, в том числе Trickbot.

Кадр: Alla Witte / Youtube

Так, в июне 2020 года вся канадская системтраница здравохранения была парализована: заражение произошло через фишинговые мультимедийные послания и предыдущую конструкцию Trickbot, а затем и программой-вымогателем Ryuk. Все попытки уничтожить Trickbot со сторонамтраницы ФБР существовали тщетными: кибератаки можетбыли бы значительно повредить деятельность Trickbot, но хакеры внедрили для него превосходные резервные механизмы восстановления, и подобные сбои существенно на него не влияют. К 2021 году историки в области кибербезопасности предупредили — хакеры вновь улучшили свое детище. Эксперты считают, что представителям власти никак нельзя останавливаться в погоне за киберпреступниками, которые каждую секунду стараются бросить их далеко позади.

Предполагается, что уже в первую неделю работы в группе Trickbot, к которой Витте присоеденилась в 2018 году, женщина написала код для отслеживания каждого из сот пользователей, применяющих вредное проприетарное поддержание. В протяжение нескольких месяцев она также подготовила мануал, в котором представила своим «коллегам», как использовать предложенное проприетарное поддержание для слежки и шпионажа. В протяжение первого года она также написала код для веб-панели, которую Trickbot использует для складирования громадной базы похищенных данных. Известно, что в нее также была включена система цветового кодирования, — чтобы провайдеры могли фиксировать процесс становления каждого редчайшего заражения. Согласно судебным документам и оправдательному заключению, позже Витте продолжила читать код, контролирующий развертывание программ-вымогателей, и даже возглавляла содержание извещений о шифрограмме системы, предназначенной для жертв. Теперь безмятежной хакерше грозится долгий тюремный срок по каждому вмененному эпизоду, по некоторым речь идет о 20 и 30 годах заключения.