01-27-2013، 12:11 AM
هر کاری دردسرهای خودش را دارد از جمله هکر بودن. یک هکر برای اینکه به چنگ قانون نیافتد باید برای پاک کردن رد خودش کارهای بسیاری را انجام دهد. عوض کردن IP با استفاده از ترفندهای مختلف، پیدا کردن پراکسیهای مختلف و راهاندازی سرورهای فرماندهی و کنترل تنها بخشی از کارهای پردردسر یک هکر است. هکرهای امروزی دیگر این کارهای پر دردسر را خودشان انجام نمیدهند بلکه برونسپاری میکنند به شرکتهای هاستینگی که برای همین منظور راهاندازی شدهاند و معروفند به هاستهای ضدگلوله. این شرکتهای هاستینگ قوانین سختگیرانهای را برای مشتری وضع نمیکنند و اصولا با محتوی و روش استفاده از سرورهایشان کاری ندارند و همین مطلب به هکرها، اسپمرها و بسیاری از خلافکاران اینترنتی این امکان را میدهد تا از این سرورها برای مقاصد خود استفاده کنند.
سازنده روس بدافزار Gozi هم از همین روش برای انتشار آن استفاده کرده بود. این بدافزار که ماموریتش سرقت کلمههای عبور و اطلاعات لازم برای سرقت از حسابهای بانکی آنلاین قربانیان بود از سوی دولت آمریکا یکی از مخربترین ویروسهای مالی در تاریخ نامیده شده است. به دام افتادن هکری که این ویروس را نوشته بود ثابت کرد که میتوان با کمی تلاش هاستهای ضدگلوله را هم میتوان به دام انداخت.
Gozi در سال ۲۰۰۵ کدنویسی شد و در سال ۲۰۰۷ منتشر گردید. آنزمان هدف اصلی Gozi اروپاییان بودند. هنگامیکه بر روی یک کامپیوتر نصب میگردید منتظر میماند تا قربانی از سایت یک بانک بازدید کند و سپس ویروس کل اطلاعات لازم برای انتقال وجه از آن حساب را که توسط کاربر وارد سایت بانک میشد برای سرورهای فرماندهی و مدیریت ارسال میکرد.
تا سال ۲۰۱۰ این ویروس در دو بخش دست به نوآوری زد. اول اینکه توانایی انجام عملیاتهای پیشرفته Web Injection را یافت. هنگامیکه قربانی از سایت بانک بازدید میکرده است ویروس تنها اطلاعات مورد نیاز برای ورود به سایت بانک را به سرقت نمیبرده است بلکه میتوانست فیلدهای دیگری را نیز به فرم بانک اضافهکند. بدین ترتیب کاربر با تصور اینکه این اطلاعات را نیز بانک از او درخواست کرده فرم را به صورت کامل پر میکرد و بدین ترتیب اطلاعات بیشتری در اختیار هکر قرار میگرفت. با این روش هکر اطلاعاتی مانند کد ملی، اطلاعات گواهینامه، نام مادری و انواع پینکدها و هر چیز دیگری را که لازم داشت از کاربر میگرفت.
فرم اصلی بانک
فرم هکرهای با فیلدهای اضافی
دومین نوآوری Gozi هم هدف قرار دادن تعدادی از بانکهای آمریکایی بود. اطلاعات جمعآوری شده توسط این ویروس به هکرها و مجرمین دیگر فروخته میشد که آنها هم به سرعت با استفاده از این اطلاعات دست به سرقت پول از حسابها میزدند. برای مثال در ۱۳ آگوست ۲۰۱۰ از حساب فردی در برانکس ۸۷۱۰ دلار به سرقت رفت. در فوریه همان سال از حساب یک شهروند نیویورکی مبلغ ۲۰۰۰۰۰ دلار به سرقت رفت. تحقیقات FBI نشان داد که از آلوده شدن تنها ۲ کامپیوتر ۶ میلیون دلار خسارت به صاحبان آنها خسارت وارد شده است.
با این اوضاع FBI در سال ۲۰۱۰ تحقیقاتی را بر روی این ویروس آغاز کرد. مدت زیادی برای یافتن سازنده Gozi صرف نشد. نویسنده این ویروس جوانی ۲۵ ساله اهل مسکو بود به نام نیکیتا کازمین که به آمریکا داشت دستگیر شده و در سال ۲۰۱۱ محکوم شد و قبول کرد تا درآمدی را که از Gozi داشته است بازگرداند که این درآمد بالغ بر ۵۰ میلیون دلار میشد. جوان لاتوانیایی با ۲۷ سال سن به نام دنیس کالوفسکیس که کدهای Web Injection را نوشته بود و برای بانکهای مختلفی آماده کرده بود نیز در نوامبر ۲۰۱۲ توسط پلیس لاتوانی دستگیر شد.
اما دستگیری صاحب هاست ضدگلولهای که Gozi از طریق آن منتشر میشد کار بسیار زمانبری بود.
FBI اطلاعات بسیار زیادی را درباره این ویروس جمعآوری کرده بود اما آنچه که مالک هاست ضدگلوله را به دام انداخت تنها یک شماره موبایل بود. از آنجا که این شماره در بوداپست قرار داشت FBI با همکاری پلیس رمانی مجوزهای لازم برای شنود این خط را دریافت کردند و برای ۳ ماه تمام عملیات انجام شده بر روی گوشی مانند شمارههای گرفته شده، پیامهای ارسال و دریافت شده و همچنین آدرسهای وب آن را شنود کردند.
در اول آپریل ۲۰۱۲ مالک گوشی پیامی را ارسال کرد با این محتوی:
« جواب بده لعنتی، من ویروس هستم»
روز بعد نیز مردی با گوشی تماس گرفت و خود را برای کاربرانش با نام «ویروس» معرفی کرد. اما ویروس که بود؟
این خط تلفن همراه به نام شرکت «KLM Internet & Gaming SRL» ثبت شده بود که این شرکت هم در رمانی به نام فردی با اسم «Mihai Ionut Paunescu» ثبت شده بود. اما اطلاعت رسمی ثبت شده در اسناد تغییر کرده بود و مقامات رسمی نمیدانستند که همینک چه کسی در حال استفاده از گوشی همراه است. اما روزی در حال شنود خط متوجه شدند که صاحب خط خود را به بانک رومانی با نام «Mihai Ionut Paunescu» و کد ملی صحیح معرفی میکند. او به دنبال برداشت مبلغ ۲۰٬۰۰۰ دلار از حساب شخصیش بود.
بررسی اطلاعات مرورگر گوشی ثابت کرد که این گوشی متعلق به صاحت هاست ضدگلوله بوده است. Paunescu به طور معمول از سایت adminpanel.ro بازدید میکرده است. پلیس رمانی با دریافت دستور قضایی اقدام به بررسی محتوی سایت کردند و به این نتیجه رسیدند که این سایت حاوی اطلاعات مربوط به وضعیت ۱۳۰ سرور است که Paunescu آنها را کرایه کرده بود تا به مجرمین اجاره دهد.
بدین ترتیب پلیس رمانی موفق شد یکی از شرکتهای هاستینگ ضدگلوله را متلاشی کند. جالب اینجاست بدانید که کازمین نویسنده ویروس وقتی کار بر روی این ویروس را در سال ۲۰۰۵ شروع کرد تنها ۱۸ سال داشت کالوفسکیس نیز هنگامیکه کار را شروع کرد تنها ۲۹ سال داشت و Paunescu هنگام دستگیری تنها ۲۸ سال سن داشت. این سه نفر در آمریکا محاکمه خواهند شد و به نظر میرسد کازمین حداکثر ۹۵ سال زندان و دو نفر دیگر هر کدام ۶۵ سال زندان در آمریکا را از آن خود کنند.
سازنده روس بدافزار Gozi هم از همین روش برای انتشار آن استفاده کرده بود. این بدافزار که ماموریتش سرقت کلمههای عبور و اطلاعات لازم برای سرقت از حسابهای بانکی آنلاین قربانیان بود از سوی دولت آمریکا یکی از مخربترین ویروسهای مالی در تاریخ نامیده شده است. به دام افتادن هکری که این ویروس را نوشته بود ثابت کرد که میتوان با کمی تلاش هاستهای ضدگلوله را هم میتوان به دام انداخت.
Gozi در سال ۲۰۰۵ کدنویسی شد و در سال ۲۰۰۷ منتشر گردید. آنزمان هدف اصلی Gozi اروپاییان بودند. هنگامیکه بر روی یک کامپیوتر نصب میگردید منتظر میماند تا قربانی از سایت یک بانک بازدید کند و سپس ویروس کل اطلاعات لازم برای انتقال وجه از آن حساب را که توسط کاربر وارد سایت بانک میشد برای سرورهای فرماندهی و مدیریت ارسال میکرد.
تا سال ۲۰۱۰ این ویروس در دو بخش دست به نوآوری زد. اول اینکه توانایی انجام عملیاتهای پیشرفته Web Injection را یافت. هنگامیکه قربانی از سایت بانک بازدید میکرده است ویروس تنها اطلاعات مورد نیاز برای ورود به سایت بانک را به سرقت نمیبرده است بلکه میتوانست فیلدهای دیگری را نیز به فرم بانک اضافهکند. بدین ترتیب کاربر با تصور اینکه این اطلاعات را نیز بانک از او درخواست کرده فرم را به صورت کامل پر میکرد و بدین ترتیب اطلاعات بیشتری در اختیار هکر قرار میگرفت. با این روش هکر اطلاعاتی مانند کد ملی، اطلاعات گواهینامه، نام مادری و انواع پینکدها و هر چیز دیگری را که لازم داشت از کاربر میگرفت.
فرم اصلی بانک
فرم هکرهای با فیلدهای اضافی
دومین نوآوری Gozi هم هدف قرار دادن تعدادی از بانکهای آمریکایی بود. اطلاعات جمعآوری شده توسط این ویروس به هکرها و مجرمین دیگر فروخته میشد که آنها هم به سرعت با استفاده از این اطلاعات دست به سرقت پول از حسابها میزدند. برای مثال در ۱۳ آگوست ۲۰۱۰ از حساب فردی در برانکس ۸۷۱۰ دلار به سرقت رفت. در فوریه همان سال از حساب یک شهروند نیویورکی مبلغ ۲۰۰۰۰۰ دلار به سرقت رفت. تحقیقات FBI نشان داد که از آلوده شدن تنها ۲ کامپیوتر ۶ میلیون دلار خسارت به صاحبان آنها خسارت وارد شده است.
با این اوضاع FBI در سال ۲۰۱۰ تحقیقاتی را بر روی این ویروس آغاز کرد. مدت زیادی برای یافتن سازنده Gozi صرف نشد. نویسنده این ویروس جوانی ۲۵ ساله اهل مسکو بود به نام نیکیتا کازمین که به آمریکا داشت دستگیر شده و در سال ۲۰۱۱ محکوم شد و قبول کرد تا درآمدی را که از Gozi داشته است بازگرداند که این درآمد بالغ بر ۵۰ میلیون دلار میشد. جوان لاتوانیایی با ۲۷ سال سن به نام دنیس کالوفسکیس که کدهای Web Injection را نوشته بود و برای بانکهای مختلفی آماده کرده بود نیز در نوامبر ۲۰۱۲ توسط پلیس لاتوانی دستگیر شد.
اما دستگیری صاحب هاست ضدگلولهای که Gozi از طریق آن منتشر میشد کار بسیار زمانبری بود.
FBI اطلاعات بسیار زیادی را درباره این ویروس جمعآوری کرده بود اما آنچه که مالک هاست ضدگلوله را به دام انداخت تنها یک شماره موبایل بود. از آنجا که این شماره در بوداپست قرار داشت FBI با همکاری پلیس رمانی مجوزهای لازم برای شنود این خط را دریافت کردند و برای ۳ ماه تمام عملیات انجام شده بر روی گوشی مانند شمارههای گرفته شده، پیامهای ارسال و دریافت شده و همچنین آدرسهای وب آن را شنود کردند.
در اول آپریل ۲۰۱۲ مالک گوشی پیامی را ارسال کرد با این محتوی:
« جواب بده لعنتی، من ویروس هستم»
روز بعد نیز مردی با گوشی تماس گرفت و خود را برای کاربرانش با نام «ویروس» معرفی کرد. اما ویروس که بود؟
این خط تلفن همراه به نام شرکت «KLM Internet & Gaming SRL» ثبت شده بود که این شرکت هم در رمانی به نام فردی با اسم «Mihai Ionut Paunescu» ثبت شده بود. اما اطلاعت رسمی ثبت شده در اسناد تغییر کرده بود و مقامات رسمی نمیدانستند که همینک چه کسی در حال استفاده از گوشی همراه است. اما روزی در حال شنود خط متوجه شدند که صاحب خط خود را به بانک رومانی با نام «Mihai Ionut Paunescu» و کد ملی صحیح معرفی میکند. او به دنبال برداشت مبلغ ۲۰٬۰۰۰ دلار از حساب شخصیش بود.
بررسی اطلاعات مرورگر گوشی ثابت کرد که این گوشی متعلق به صاحت هاست ضدگلوله بوده است. Paunescu به طور معمول از سایت adminpanel.ro بازدید میکرده است. پلیس رمانی با دریافت دستور قضایی اقدام به بررسی محتوی سایت کردند و به این نتیجه رسیدند که این سایت حاوی اطلاعات مربوط به وضعیت ۱۳۰ سرور است که Paunescu آنها را کرایه کرده بود تا به مجرمین اجاره دهد.
بدین ترتیب پلیس رمانی موفق شد یکی از شرکتهای هاستینگ ضدگلوله را متلاشی کند. جالب اینجاست بدانید که کازمین نویسنده ویروس وقتی کار بر روی این ویروس را در سال ۲۰۰۵ شروع کرد تنها ۱۸ سال داشت کالوفسکیس نیز هنگامیکه کار را شروع کرد تنها ۲۹ سال داشت و Paunescu هنگام دستگیری تنها ۲۸ سال سن داشت. این سه نفر در آمریکا محاکمه خواهند شد و به نظر میرسد کازمین حداکثر ۹۵ سال زندان و دو نفر دیگر هر کدام ۶۵ سال زندان در آمریکا را از آن خود کنند.
گروه دور همی پارسی کدرز
https://t.me/joinchat/GxVRww3ykLynHFsdCvb7eg
https://t.me/joinchat/GxVRww3ykLynHFsdCvb7eg