Исследователи датской компании CSIS Security Group раскрыли подробности о том, как им удалось отследить создателя инструментов для фишинговых атак. В ходе конференции Security Analyst Summit Петер Крузе (Peter Kruse) и Ян Кааструп (Jan Kaastrup) рассказали об обнаружении следов преступника через ряд прокси, взломанных web-серверов и слабо защищенных маршрутизаторов. Преступник пока не пойман, однако это лишь вопрос времени.

Как и большинство осуществляемых в наши дни фишинговых атак, данная кампания также начиналась с рассылки фишинговых писем. Жертва получала по электронной почте ссылки, ведущие якобы на легитимные сайты банка и компании Apple. Как пояснил Крузе, используемый для атак набор инструментов без труда можно приобрести на черном рынке в интернете.
В ходе атаки злоумышленник перенаправлял трафик через скомпрометированный web-сервер в Нидерландах. Хакер получал инструменты из репозитория на сервере, похищал учетные данные и данные банковских карт, использовал другой прокси в Дании и обналичивал похищенные средства.
Исследователи получили доступ к репозиторию и обнаружили там файл CACAT с ссылкой на инструменты киберпреступника: свыше 1 тыс. взломанных серверов, список атакуемых целей и шаблоны спам-писем. Когда дело доходило до обналичивания средств, злоумышленник перенаправлял трафик через ряд домашних ADSL- маршрутизаторов производства тайваньской компании ZyXEL. В маршрутизаторах используются заводские учетные данные, поэтому их легко взломать.
Экспертам удалось отследить злоумышленника. Им оказался некто под псевдонимом L33bo, владеющий одноименной учетной записью на сайте eBay. Как выяснили исследователи, подозреваемый является гражданином Румынии, живет в Великобритании и водит машину MG ZT. По словам Крузе, полиция уже в течение нескольких месяцев перехватывает трафик подконтрольных преступнику серверов. Тем не менее, из-за того, что расследование велось без надлежащего разрешения, предъявить обвинения пока нельзя.

Источник: securitylab.ru