ФБР арестовало предполагаемого владельца Deer.io, ведущего брокера краденых аккаунтов

На прошлой неделе сотрудники ФБР арестовали российского исследователя компьютерной безопасности по подозрению в эксплуатации deer.io, обширного рынка для покупки и продажи украденных учетных данных для тысяч популярных онлайн-сервисов и магазинов.

Кирилл В. Фирсов был арестован 7 марта после прибытия в нью-йоркский аэропорт имени Джона Кеннеди, согласно судебным документам, обнародованным в понедельник. Прокуроры окружного суда США по Южному округу Калифорнии утверждают, что Фирсов был администратором deer.io, онлайн-платформы, на которой размещалось более 24 000 магазинов по продаже украденных и/или взломанных имен пользователей и паролей для различных популярных онлайн-сервисов.

Пример панели продавца на сайте deer.io. Нажмите на изображение для увеличения.

В обвинительном заключении против Фирсова говорится, что с момента своего создания в 2013 году deer.io был ответственен за продажу украденных учетных данных на сумму 17 миллионов долларов.

“Проверка ФБР примерно 250 витрин DEER.IO выявила тысячи взломанных учетных записей, выставленных на продажу через эту платформу и витрины ее клиентов, включая учетные записи видеоигр (геймерские учетные записи) и файлы PII, содержащие имена пользователей, пароли, номера социального страхования США, даты рождения и адреса жертв”, – говорится в обвинительном заключении.

Помимо того, что deer.io способствует продаже взломанных аккаунтов на таких сервисах потокового видео, как Netflix и Hulu , и платформах социальных сетей, таких как Facebook, Twitter и Вконтакте (российский аналог Facebook), он также является излюбленным рынком для людей, занимающихся продажей фальшивых аккаунтов в социальных сетях.

Например, одним из первых пользователей deer.io был ныне не существующий магазин под названием “Дедушка” (“дедушка” в транслитерированном русском языке) – сервис, предлагающий старые, поддельные аккаунты Вконтакте, который был весьма популярен среди мошенников, участвующих в различных аферах с онлайн-знакомствами.

В обвинительном заключении не уточняется, как прокуроры определили, что Фирсов является организатором проекта deer.io, но, безусловно, существует множество улик, указывающих на такую связь

В Твиттере Фирсова указано, что он является исследователем безопасности и разработчиком, который в настоящее время живет в Москве. Предыдущие твиты с этого аккаунта указывают на то, что Фирсов сделал себе имя после обнаружения ряда серьезных недостатков в системе безопасности Telegram, популярного кросс-платформенного приложения для обмена сообщениями.

Фирсов также написал в Твиттере, что участвовал и победил в нескольких хакерских соревнованиях по “захвату флага”, в том числе в 2016 и 2017 годах в CTF на Positive Hack Days (PHDays), ежегодной конференции по безопасности в Москве.

Профиль Исиды на antichat.

Deer.io изначально рекламировался на публичном русскоязычном хакерском форуме Antichat авторитетным пользователем этого сообщества под псевдонимом “Изида” Версия этого объявления в Google Translate находится здесь (PDF).

В 2016 году Изис разместил на “Античате” подробный рассказ о том, как ему удалось победить в хакерском конкурсе PHDays (перевод темы здесь). В одном из разделов письма Изис заявляет о своем авторстве на определенный инструмент для дампинга файлов и ссылается на каталог Github под именем “Фирсов”

В другой теме от июня 2019 года пользователь Antichat спрашивает, не слышал ли кто-нибудь в последнее время об Исисе, и через день Исис появляется, чтобы спросить, что ему нужно. Пользователь спрашивает, почему сайт Исида – сайт поиска видео и музыки под названием vpleer[.]ru – в то время не работал. Изис отвечает, что сайт не работает уже 10 лет.

Согласно историческим записям WHOIS, которые ведет DomainTools.com (рекламодатель на этом сайте), vpleer был первоначально зарегистрирован в 2008 году на человека, использующего адрес электронной почты [email protected]

Этот же адрес электронной почты использовался для регистрации учетной записи “Isis” на нескольких других ведущих русскоязычных киберпреступных форумах, включая Damagelab, Zloy, Evilzone и Priv-8. Он также использовался в 2007 году для регистрации xeka[.]ru, самостоятельного киберпреступного форума, который называл себя “Античат-мафия”

Кэшированная копия страницы регистрации xeka[.]ru. Изображение любезно предоставлено archive.org.

Что еще более важно, тот же адрес электронной почты [email protected] использовался для регистрации аккаунтов в Facebook, Foursquare, Skype и Twitter на имя Кирилла Фирсова.

Российские хакерские форумы обратили внимание на арест Фирсова, как они делают всякий раз, когда предполагаемый киберпреступник в их среде задерживается властями; как правило, учетные записи таких пользователей удаляются с форума в качестве меры предосторожности. Администратор одного из популярных криминальных форумов написал сегодня, что Фирсов – 28-летний житель Краснодара, Россия, который учился в Московском пограничном институте, подразделении Федеральной службы безопасности (ФСБ) России.

Фирсов должен предстать перед судом в конце этой недели, где ему будут предъявлены обвинения по двум уголовным статьям, а именно: пособничество и подстрекательство к несанкционированному вымогательству устройств доступа и пособничество и подстрекательство к незаконному обороту “ложных средств аутентификации” С копией обвинительного заключения можно ознакомиться здесь (PDF).

Оставьте комментарий