- Регистрация
- 20.01.2011
- Сообщения
- 7,666
- Розыгрыши
- 0
- Реакции
- 145
Независимый журналист Брайан Кребс (Brian Krebs) выпустил расследование, в котором повторно деанонимизировал известного на даркнет-форумах пользователя Megatraffer, связав его с конкретным человеком, на середину прошлого десятилетия проживавшим в Москве.
В начале материала Кребс напомнил, что Megatraffer начал торговать украденными сертификатами подписи кода на Exploit в 2015 году. Вскоре его бизнес расширился до продажи сертификатов для криптографической подписи приложений и файлов, предназначенных для работы в Microsoft Windows, Java, Adobe AIR, Mac и Microsoft Office.
По мнению Megatraffer, поставщикам вредоносного ПО нужен сертификат из-за политики антивирусных программ, которые уделяют неподписанному ПО гораздо больше внимания. То же самое касается и функций безопасности, встроенных в браузеры. Кребс уточняет, что к 2016 году Megatraffer продавал уникальные сертификаты подписи кода по 700 долларов за штуку, а за сертификаты подписи кода с расширенной проверкой (EV Code Signing) просил 1900 долларов.
По данным компании Intel 471, занимающейся киберразведкой, с сентября 2009 года по сегодняшний день Megatraffer был активным участником как минимум семи крупнейших даркнет-площадок. В большинстве случаев он использовал адрес электронной почты 774748@gmail.com, который также применял на двух ресурсах пользователь O.R.Z.
Отслеживающая открытые базы данных компания Constella Intelligence обнаружила, что адрес 774748@gmail.com связан с несколькими паролями, но чаще всего — с буквосочетанием featar24. Обратный поиск по нему привел Кребса к адресу akafitis@gmail.com, который в 2008 году также был привязан к нику O.R.Z. на Verified. До этого akafitis@gmail.com применялся в качестве адреса электронной почты для аккаунта Fitis, который был активен на Exploit с сентября 2006-го по май 2007 года. Кроме того, пароль featar24 был связан с адресом электронной почты spampage@yandex.ru, который был привязан к нику O.R.Z. уже на сarder.ru. Помимо этого, адрес akafitis@gmail.com был использован для создания профиля в Livejournal под названием Fitis, на аватарке которого изображен большой медведь.
«Я идеальный преступник. Мои отпечатки пальцев меняются до неузнаваемости каждые несколько дней. По крайней мере, мой ноутбук в этом уверен», — написал в своем дневнике Fitis.
Его личность была раскрыта в 2010 году после того, как два крупнейших спонсора спама в фармацевтике начали войну друг с другом, а их внутренние документы оказались в распоряжении ряда международных ресерчеров. Тогда и выяснилось, что одним из самых высокооплачиваемых сотрудников партнерской программы Spamit был как раз Fitis, который привлек к работе более 75 партнеров. Выплату он получал на аккаунт в WebMoney, владелец которого при регистрации предъявил действующий российский паспорт на имя Константина Евгеньевича Фетисова, родившегося 16 ноября 1982 года рождения, и зарегистрированного в Москве.
Кроме того, наиболее любопытное доменное имя, зарегистрированное на адрес электронной почты spampage@yahoo.com, — это fitis.ru, которое, по данным DomainTools.com на 2005 год, также контролировал москвич Константин Евгеньевич Фетисов.
Что любопытно, Кребс практически ничего не сообщает о судьбе и деятельности Megatraffer после 2015 года. Его расследование в большей степени посвящено не личности Фетисова, а тому, что сертификаты подписи кода остаются востребованным в даркнете товаром.
source: krebsonsecurity[.]com/2023/06/ask-fitis-the-bear-real-crooks-sign-their-malware
В начале материала Кребс напомнил, что Megatraffer начал торговать украденными сертификатами подписи кода на Exploit в 2015 году. Вскоре его бизнес расширился до продажи сертификатов для криптографической подписи приложений и файлов, предназначенных для работы в Microsoft Windows, Java, Adobe AIR, Mac и Microsoft Office.
По мнению Megatraffer, поставщикам вредоносного ПО нужен сертификат из-за политики антивирусных программ, которые уделяют неподписанному ПО гораздо больше внимания. То же самое касается и функций безопасности, встроенных в браузеры. Кребс уточняет, что к 2016 году Megatraffer продавал уникальные сертификаты подписи кода по 700 долларов за штуку, а за сертификаты подписи кода с расширенной проверкой (EV Code Signing) просил 1900 долларов.
По данным компании Intel 471, занимающейся киберразведкой, с сентября 2009 года по сегодняшний день Megatraffer был активным участником как минимум семи крупнейших даркнет-площадок. В большинстве случаев он использовал адрес электронной почты 774748@gmail.com, который также применял на двух ресурсах пользователь O.R.Z.
Отслеживающая открытые базы данных компания Constella Intelligence обнаружила, что адрес 774748@gmail.com связан с несколькими паролями, но чаще всего — с буквосочетанием featar24. Обратный поиск по нему привел Кребса к адресу akafitis@gmail.com, который в 2008 году также был привязан к нику O.R.Z. на Verified. До этого akafitis@gmail.com применялся в качестве адреса электронной почты для аккаунта Fitis, который был активен на Exploit с сентября 2006-го по май 2007 года. Кроме того, пароль featar24 был связан с адресом электронной почты spampage@yandex.ru, который был привязан к нику O.R.Z. уже на сarder.ru. Помимо этого, адрес akafitis@gmail.com был использован для создания профиля в Livejournal под названием Fitis, на аватарке которого изображен большой медведь.
«Я идеальный преступник. Мои отпечатки пальцев меняются до неузнаваемости каждые несколько дней. По крайней мере, мой ноутбук в этом уверен», — написал в своем дневнике Fitis.
Его личность была раскрыта в 2010 году после того, как два крупнейших спонсора спама в фармацевтике начали войну друг с другом, а их внутренние документы оказались в распоряжении ряда международных ресерчеров. Тогда и выяснилось, что одним из самых высокооплачиваемых сотрудников партнерской программы Spamit был как раз Fitis, который привлек к работе более 75 партнеров. Выплату он получал на аккаунт в WebMoney, владелец которого при регистрации предъявил действующий российский паспорт на имя Константина Евгеньевича Фетисова, родившегося 16 ноября 1982 года рождения, и зарегистрированного в Москве.
Кроме того, наиболее любопытное доменное имя, зарегистрированное на адрес электронной почты spampage@yahoo.com, — это fitis.ru, которое, по данным DomainTools.com на 2005 год, также контролировал москвич Константин Евгеньевич Фетисов.
Что любопытно, Кребс практически ничего не сообщает о судьбе и деятельности Megatraffer после 2015 года. Его расследование в большей степени посвящено не личности Фетисова, а тому, что сертификаты подписи кода остаются востребованным в даркнете товаром.
source: krebsonsecurity[.]com/2023/06/ask-fitis-the-bear-real-crooks-sign-their-malware