据称Jabber Zeus程序员"MrICQ"已被美国拘留
一位在2012年被起诉的乌克兰男子,因与一个多产的黑客组织合谋从美国企业窃取数千万美元,在意大利被捕,目前已被美国拘留,KrebsOnSecurity获悉。
调查消息人士称,41岁的Yuriy Igorevich Rybtsov来自乌克兰俄罗斯控制的城市顿涅茨克,此前在美国联邦起诉文件中仅以其在线代号"MrICQ"被提及。根据内布拉斯加州检察官提交的一份13年前的起诉书(PDF),MrICQ是一个名为"Jabber Zeus"网络犯罪组织的开发人员。
Jabber Zeus的名称来源于他们使用的恶意软件——定制版的ZeuS银行木马——该木马窃取银行登录凭证,并在新受害者在金融机构网站输入一次性密码时向该组织发送Jabber即时消息。该团伙主要针对中小型企业,并且是所谓的"浏览器中间人"攻击的早期先驱,这种恶意软件可以静默拦截受害者在基于Web的表单中提交的任何数据。
一旦进入受害公司的账户,Jabber Zeus团伙就会修改公司的工资单,添加数十个"钱骡"——通过精心设计的在家工作计划招募来处理银行转账的人。这些钱骡随后会通过电汇将任何被盗的工资存款——减去他们的佣金——转发给在乌克兰和英国的其他钱骡。
2012年针对Jabber Zeus团伙的起诉书将MrICQ列为"John Doe #3",并表示此人负责处理新受害者的入侵通知。美国司法部(DOJ)表示,MrICQ还帮助该组织通过电子货币兑换服务清洗他们的抢劫所得。
两位熟悉Jabber Zeus调查的消息人士称,Rybtsov在意大利被捕,尽管其被捕的确切日期和情况尚不清楚。意大利最高法院发布的最新裁决摘要(PDF)指出,2025年4月,Rybtsov为避免被引渡到美国而提出的最终上诉被驳回。
根据面部照片网站lockedup[.]wtf,Rybtsov于10月9日抵达内布拉斯加州,并因美国联邦调查局(FBI)的逮捕令被拘留。
数据泄露跟踪服务Constella Intelligence发现,来自商业分析网站bvdinfo[.]com的被入侵记录显示,一位41岁的Yuriy Igorevich Rybtsov在顿涅茨克Barnaulska街59号的一栋建筑内工作。在Constella中对此地址的进一步搜索发现,同一公寓楼由一家注册给Vyacheslav “Tank” Penchukov的企业共享,此人是乌克兰Jabber Zeus团伙的领导人。
Penchukov于2022年前往瑞士与妻子会面时被捕。去年,内布拉斯加州联邦法院判处Penchukov 18年监禁,并命令他支付超过7300万美元的赔偿金。
Lawrence Baldwin是myNetWatchman的创始人,这是一家位于佐治亚州的威胁情报公司,于2009年开始跟踪并破坏Jabber Zeus团伙。myNetWatchman秘密访问了乌克兰黑客使用的Jabber聊天服务器,使Baldwin能够窃听MrICQ和其他Jabber Zeus成员之间的日常对话。
Baldwin与多个州和联邦执法机构以及本记者共享了那些实时聊天记录。在2010年至2013年间,我每天花费数小时向全国各地的中小企业发出警报,告知他们的工资账户即将被这些网络犯罪分子清空。
这些通知以及Baldwin的不懈努力,为无数潜在受害者节省了大量资金。然而,在大多数情况下,我们已经为时已晚。尽管如此,被盗的Jabber Zeus群聊为这里发表的数十篇关于中小企业因六位数和七位数的财务损失在法庭上与银行抗争的故事提供了基础。
Baldwin表示,Jabber Zeus团伙在几个方面远远领先于同行。首先,他们被拦截的聊天记录显示,他们努力与原始Zeus特洛伊木马的作者——长期在FBI"头号通缉犯"名单上的俄罗斯人Evgeniy Mikhailovich Bogachev——直接创建一个高度定制的僵尸网络。联邦调查局悬赏300万美元征集导致Bogachev被捕的信息。
Jabber Zeus的核心创新是一个警报,每当新受害者在模仿其金融机构的网络钓鱼页面中输入一次性密码代码时,MrICQ就会收到该警报。该团伙内部将此组件称为"Leprechaun"(下面来自myNetWatchman的视频展示了其运行情况)。Jabber Zeus实际上会重写受害者浏览器中显示的HTML代码,使他们能够拦截受害者的银行为多因素认证发送的任何验证码。
“这些家伙入侵了如此大量的受害者,以至于他们被海啸般的被盗银行凭证淹没,“Baldwin告诉KrebsOnSecurity。“但Leprechaun的整个重点是隔离最高价值的凭证——那些开启了双因素认证的商业银行账户。他们知道这些是更有价值的目标,因为它们显然有更多的资金需要保护。”
Baldwin表示,Jabber Zeus木马还包括一个定制的"反向连接"组件,允许黑客通过受害者自己受感染的PC中继他们的银行账户接管。
“Jabber Zeus团伙实际上是从受害者的IP地址,或通过远程控制功能并完全模拟设备,连接到受害者的银行账户,“他说。“那个木马在当时被认为是先进的在线银行安全措施面前,就像热刀切黄油一样。”
尽管Jabber Zeus团伙与Zeus作者直接联系,但myNetWatchman拦截的聊天记录显示,Bogachev经常无视该组织的求助请求。政府表示,Jabber Zeus团伙的真正领导人是Maksim Yakubets,一位38岁拥有俄罗斯公民身份的乌克兰人,其黑客代号为"Aqua”。
Baldwin拦截的Jabber聊天记录显示,Aqua几乎每天与MrICQ、Tank以及黑客团队的其他成员互动,经常从俄罗斯远程促进该组织的钱骡和套现活动。
政府表示,Yakubets/Aqua后来成为一个由至少17名黑客组成的精英网络犯罪团伙的领导人,该团伙内部自称"Evil Corp”。Evil Corp成员开发并使用了Dridex(又名Bugat)木马,帮助他们从美国和欧洲的数百家受害公司中窃取超过1亿美元。