Рекомендуем почитать:
Xakep #248. Checkm8
- Содержание выпуска
- Подписка на «Хакер»
Канадская радио-телевизионная и телекоммуникационная комиссия (Canadian Radio-television and Telecommunications Commission, CRTC) оштрафовала компанию Orcus Technologies на 115 000 канадских долларов (примерно 87 000 долларов США). Дело в том, что Orcus Technologies продает и рекламирует инструмент удаленного доступа (Remote Administration Tool) Orcus, но ИБ-специалисты давно отмечают, что многие его функции скорее присущи малвари, а не легальному коммерческому продукту.
По данным расследования, проведенного CRTC, совместно со специалистами Королевской канадской конной полиции (RCMP), компания Orcus Technologies была основана в марте 2016 года человеком из Торонто по имени Джон Пол Ревес (John Paul Revesz), который также был известен под псевдонимами Сириис Макгроу, Armada и Angelis, и немцем по имени Винсент Лео Грибель (Vincent Leo Griebel), также известным как Sorzus.
Грибель занимался непосредственно разработкой малвари, а Ревес обеспечивал маркетинг, продажи и поддержку. В сети Orcus продавался под видом обычного инструмента удаленного администрирования, аналогичного, к примеру, TeamViewer.
Представители CRTC пишут, что им удалось установить, что Orcus RAT не был обыкновенным инструментом удаленного администрирования, как заявляли его создатели. По данным следствия, Грибель и Ревес продавали Orcus RAT и помогали злоумышленникам устанавливать его на чужие машины без согласия пользователей. Кроме того, дуэт также поддерживал работу сервиса DDNS, помогая вредоносной программе взаимодействовать с зараженными хостами, не раскрывая при этом реального IP-адреса злоумышленников.
Однако штраф – это не самое страшное, что грозит разработчиками Orcus RAT. Так, в ноябре 2019 года RCMP возбудила уголовное дело против Ревеша. Правоохранители пишут, что начали расследование в отношении Orcus Technologies еще в далеком июле 2016 года, когда Orcus RAT впервые попал на радары ИБ-экспертов.
Напомню, что еще в конце марта 2019 года канадские правоохранители провели обыск у Джона Ревеса, и тогда он предупреждал, что во время обыска у него изъяли несколько жестких дисков с данными о бизнесе и операциях Orcus Technologies. В числе прочего на этих накопителях была информация о пользователях, включая их юзернеймы и настоящие имена, а также данные о финансовых транзакциях. Ревес полагал, что канадские правоохранители заняты международным расследованием, в котором также участвуют власти США, Германии, Австралии и, вероятно, других стран.
Разработчик подчеркивал, что власти не получили доступ к базе пользователей и лицензий, а также его основные рабочие ноутбук и планшет. Невзирая на это, он предупредил всех пользователей Orcus (как лицензионных, так и взломанных версий), что RAT более не может считаться безопасным решением, и им стоит как можно скорее озаботиться переходом на другой инструмент для удаленного доступа.
Вскоре после этих событий австралийские правоохранители получили несколько отдельных ордеров, предположительно нацеленных на покупателей Orcus RAT. Жалобы на полицейские рейды также появлялись на HackForums, где Orcus RAT ранее нередко рекламировался.
В настоящее время представители CRTC утверждают, что в их распоряжении есть список покупателей Orcus RAT, базирующихся в Канаде и других странах мира, и правоохранительные органы намерены продолжить работу в данном направлении.
Фото: ZDNet
