Три года назад компьютеры по всему миру оказались заражены мощным вирусом-захватчиком LuminosityLink. Его автор — юный преступник, сумевший заработать на его продаже целое состояние. Его пытались вычислить спецслужбы разных стран. Как злой гений построил империю на вирусе и почему ему теперь грозит 25 лет тюрьмы — в материале «Ленты.ру».
Тайный контролер
LuminosityLink, или просто Luminosity, впервые заявил о себе весной 2015 года. Тогда в сети быстро распространились слухи о новой сверхмощной программе для системных администраторов. Создатели обещали одновременное управление несколькими компьютерами на Windows, антивирусную защиту и еще почти сотню самых разнообразных функций. Утилита продавалась на сайте luminosity.link за 40 долларов, ее активно обсуждали завсегдатаи специализированных форумов.
Однако позднее выяснилось, что Luminosity не так прост. Под видом полезной программы скрывался троянец удаленного доступа (RAT), который позволял злоумышленникам подключиться к компьютеру жертвы. Хакеры атаковали как случайного пользователя, так и вполне конкретного. Над компьютером устанавливался полный контроль: хакеры могли отключать антивирус, мониторить и записывать нажатия клавиш, красть данные и пароли, просматривать изображения и документы, а также вести записи на веб-камеру.
Чтобы использовать зловред для своих целей, не нужно было обладать особыми техническими знаниями — его создатели продавали сразу полный комплект, а на YouTube по сей день есть множество подробных инструкций по его установке.
Помимо управления чужими компьютерами, любой мог вымогать у жертв деньги за неразглашение личной информации или угрожать шифровкой файлов. Подобное программное обеспечение по дешевке ожидаемо быстро привлекло многочисленную аудиторию.
В России из захвата чужих компьютеров с помощью трояна сделали целое представление. В 2016 году анонимный хакер устроил на имиджборде «Двач» шоу: взламывал случайные компьютеры с помощью LuminosityLink и транслировал ни о чем не подозревающих людей на Synchtube.
Для зрелищности он периодически запугивал жертв: включал на их компьютерах музыку или порноролики или показывал в браузере страницы с неприятными болезнями. Зрители могли пожертвовать небольшую сумму и заказать автору шоу свое издевательство.
Особое удовольствие киберсадисту доставляла реакция испуганных жертв. Как правило, пользователи судорожно завершали программы или проверяли систему на вирусы. Однако любые попытки спастись от злоумышленников были тщетными — их компьютеры будто сходили с ума. Автора изощренного развлечения правоохранительные органы так и не нашли.
За почти три года троянец купили более десяти тысяч преступников, а последствия его работы были зафиксированы по всему миру. Жертвы вируса могут исчисляться сотнями тысяч: согласно исследованиям, ими стали не только частные пользователи, но и некоторые корпоративные сети.
Остановить распространение вируса LuminosityLink удалось лишь после масштабной операции спецслужб сразу нескольких государств.
Плохой мальчик
Год назад власти США задержали автора легендарного троянца-захватчика. Им оказался 21-летний Колтон Рэй Граббс из штата Кентукки. О предстоящем визите ФБР ему рассказали клиенты, и он тщательно подготовился: спрятал платежные карты, привязанные к биткоин-кошельку, и отдал ноутбук и жесткие диски на хранение знакомым. Тем не менее собранное на него досье уже было веским основанием для ареста.
Первым фигурантом в этом деле стал один из клиентов Граббса, живущий в британском Бристоле. Местные власти задержали его в сентябре 2016 года. Арестованный был одним из дилеров-перекупщиков и продал LuminosityLink более чем 8,6 тысячи клиентам из 78 стран. С его помощью полиции удалось выйти на след разработчика.
В саму программу правоохранители внедрили закладку, чтобы отследить дальнейших покупателей. Впоследствии благодаря ей были выявлены многочисленные доказательства похищений личных и учетных данных, паролей, фотографий, видеоматериалов и прочей конфиденциальной информации.
В феврале 2018 года Европол объявил о победе над угрозой LuminosityLink. Глава Европейского центра по борьбе с киберпреступностью Стивен Уилсон заявил, что дистанционное совершение преступлений ни в коем случае не защитит преступников от ареста.
Автор вируса Граббс признал свою вину лишь летом 2018 года. Он заявил, что создал и распространил программу, которая могла использоваться в преступных целях. При этом в течение года после задержания юный преступник настаивал на том, что LuminosityLink — вполне легитимная и безобидная утилита, созданная для сисадминов. Помимо прямых продаж троянца на хакерских форумах Граббс под ником KFC Watermelon искал технических помощников и будущих продавцов программы.
Согласно опубликованным документам, власти вменяют разработчику более шести тысяч эпизодов преступления — продаж вредной программы за 39,99 доллара. Помимо этого, Граббс признался в намеренном причинении ущерба и вторжении в частную жизнь третьих лиц. Совокупность его преступлений, по мнению правоохранителей, может быть искуплена штрафом общей суммой около 750 тысяч долларов (почти 48 миллионов рублей — прим. «Ленты.ру») и почти 25-летним тюремным сроком.
Подцепили
Особым обстоятельством, которое отметил окружной суд Лексингтона в американском штате Кентукки, стала организация техподдержки для хакеров, приобретающих вредное ПО. Она состояла из добровольцев, желающих посодействовать Граббсу. Такие действия могут быть квалифицированы следствием как заговор (то есть достижение цели и извлечение определенной выгоды с помощью кооперации).
Юный разработчик пошел на сделку со следствием и признал себя виновным по трем пунктам обвинения взамен на снятие нескольких других эпизодов. Он согласился, что создал инструмент для системных администраторов, зная при этом, что многие клиенты используют его для удаленного доступа и управления компьютерами без разрешения жертв.
Власти утверждают, что даже принципы продвижения продукта и его реклама на хакерских форумах демонстрировали преступные намерения молодого человека. Во втором пункте официального документа перечисляются возможности программы, которыми злоумышленник козырял перед «коллегами». Среди них — удаленная установка, запись комбинаций клавиатуры, слежка за жертвами через веб-камеры и микрофоны, просмотр и загрузка компьютерных файлов, кража логинов и паролей. В том числе троянец позволял использовать захваченные машины для майнинга и заработка виртуальной валюты, а также запускать DDoS-атаки на другие компьютеры.
Документы о соглашении были подписаны только 16 июля — вероятно, до этого момента хакер не верил, что у федеральных властей достаточно доказательств против него. Скорее всего, благодаря сделке со следствием молодой человек получит много меньший срок, чем тот, который предполагается за подобные преступления. Приговор будет оглашен в октябре текущего года.
Это не первое громкое дело против разработчика, поставлявшего механизмы взлома и шпионажа хакерам. В январе 2017 года ровесник Граббса, 21-летний студент Захари Шеймс признал себя виновным в изготовлении программы, регистрирующей нажатия клавиш на клавиатуре и движения мыши. Его произведением под названием Limitless Logger оказалось заражено более 16 тысяч компьютеров. Свою продукцию он, так же как и Граббс, рекламировал на хакерских форумах. Однако гений программирования просчитался в мелочи, зарегистрировав на свое реальное имя аккаунт PayPal, на который принимал платежи за шпионское ПО. Несмотря на то что лауреату множества школьных и студенческих технологических конкурсов грозило до десяти лет лишения свободы, суд приговорил его к шести месяцам заключения.
Другой коллега Граббса по имени Тейлор Хаддлстон также ждал приговора почти год: долгое время он не желал признаваться в создании троянца удаленного доступа NanoCore. При этом хакер сам не применял свое изобретение на деле, сразу продав его киберпреступникам. В феврале 2018 года вместо обещанных десяти лет он получил 33 месяца тюрьмы.
Что касается последователей Граббса — они, вероятно, затаились после удачной операции Европола. В данный момент найти LuminosityLink в открытом доступе проблематично: тематический сайт не работает, а треды на специализированных форумах закрыты или удалены. Редактору «Ленты.ру» удалось найти на одном из порталов, торгующих программным обеспечением, предложение Luminosity Link RAT. Его стоимость составляет 95 долларов (около 6 тысяч рублей — прим. «Ленты.ру»). Однако приобрести программу не удастся — под ценником указано, что ее «нет в наличии». Расхватали ли вредное ПО при общем дефиците, или же это результат операции европейской полиции — неизвестно. О запрете LuminosityLink на сайте не сказано ни слова.