- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 2ч 18м
- Сделки
- 251
- Нарушения
- 0 / 0
Власти США, Германии, Нидерландов и Великобритании на прошлой неделе заявили, что ликвидировали ботнет RSOCKS - коллекцию из миллионов взломанных устройств, которые продавались в качестве "прокси" киберпреступникам, искавшим способы направить свой вредоносный трафик через чужой компьютер. Хотя в скоординированных действиях не были названы имена российских хакеров, предположительно стоящих за RSOCKS, KrebsOnSecurity определил, что ее владельцем является 35-летний россиянин, проживающий за рубежом, который также руководит ведущим в мире русским форумом по рассылке спама.
В заявлении Минюста не упоминается, что RSOCKS работает с 2014 года, когда доступ к веб-магазину ботнета был впервые объявлен на нескольких русскоязычных киберпреступных форумах.
Пользователь "RSOCKS" на российском криминальном форуме Verified изменил свое имя на "Stanx", чья первая же тема о продаже на Verified в 2016 году быстро нарушила правила форума и вызвала публичное наказание со стороны администратора форума.
За последние несколько лет Verified дважды взламывали, и каждый раз происходила утечка личных сообщений всех пользователей форума. Из этих сообщений следует, что после предупреждения о нарушении правил форума Stanx отправил администратору Verified личное сообщение с подробным описанием своей хакерской деятельности.
«Я владелец форума RUSdot (бывший Spamdot)», - написал Stanx в сентябре 2016 года. «В спамерских темах люди знают меня как надежного человека».
RUSdot - это преемник форума Spamdot, гораздо более скрытного форума, где большинство ведущих спамеров, вирусописателей и киберпреступников сотрудничали в течение многих лет до распада сообщества в 2010 году. Даже сегодня RUSdot Mailer (инструмент для рассылки спама по электронной почте) выставлен на продажу в верхней части форума сообщества RUSdot.
Stanx сказал, что он был давним членом нескольких крупных форумов, включая российский хакерский форум Antichat (с 2005 года) и российский криминальный форум Exploit (с апреля 2013 года). В одном из первых сообщений на Antichat в январе 2005 года Stanx сообщил, что он из Омска, крупного города в Сибирском регионе России.
По данным киберразведки Intel 471, пользователь Stanx действительно зарегистрировался на Exploit в 2013 году, используя адрес электронной почты [email protected] и номер ICQ 399611. Поиск в Google по этому номеру ICQ приводит к кэшированной версии профиля "ВКонтакте (В Контакте | Denis Neo Kloster)" некоего Дениса "Neo" Клостера из Омска, Россия.
Компания по кибербезопасности Constella Intelligence показывает, что в 2017 году некто, использующий адрес электронной почты [email protected], зарегистрировался на российском сайте по трудоустройству фрилансеров fl.ru с именем профиля "Денис Клостер" и Омским номером телефона 79136334444. Другая запись, проиндексированная Constella, предполагает, что настоящая фамилия Дениса на самом деле может быть "Емельянцев" [Емельянцев].
Этот номер телефона связан с регистрационными записями WHOIS для нескольких доменных имен за последние годы, включая proxy[.]info, allproxy[.]info, kloster.pro и deniskloster.com.
В разделе "Обо мне" на сайте DenisKloster.com говорится, что 35-летний Денис родился в Омске, что первый компьютер у него появился в 12 лет, а среднюю школу он окончил в 16. По словам Kloster, он работал во многих крупных компаниях Омска в качестве системного администратора, веб-разработчика и фотографа.
Согласно блогу Kloster, его первой настоящей работой было управление основанной им фирмой "Интернет-реклама" под названием Internet Advertising Omsk ("riOmsk"), и он даже некоторое время жил в Нью-Йорке.
«RSocks прекращает свое существование», - написал аккаунт Rsocks на форуме BlackHatWorld 17 июня. «Но не волнуйтесь. Все активные планы и остатки средств будут перенесены на другой сервис. Следите за новостями. Мы сообщим вам его название и все подробности позже».
