Οι ρωσικές αρχές συνέλαβαν έναν δημιουργό malware στα τέλη Σεπτεμβρίου, προκαλώντας έκπληξη καθώς η Ρωσία είναι μια χώρα που συνήθως είναι επιεικής με τους hackers. Σύμφωνα με το ρωσικό Υπουργείο Εσωτερικών, ο κατηγορούμενος είναι ένας 20χρονος Ρώσος hacker από την περιοχή της Βόρειας Οσετίας –Αλανίας.
Σύμφωνα με τις ρωσικές αρχές, ο Ρώσος hacker δημιούργησε πολλά malware κατά την περίοδο Νοεμβρίου 2017 και Μαρτίου 2018. Αυτά τα malware τα χρησιμοποίησε για τη μόλυνση τουλάχιστον 2.100 υπολογιστών σε ολόκληρη τη Ρωσία.
Ωστόσο, σύμφωνα με το κατηγορητήριο, τα malware δεν χρησιμοποιούνταν μόνο από τον ίδιο. Ο κατηγορούμενος συνεργαζόταν με άλλα έξι άτομα για τη διανομή των malware. Όλη η ομάδα κέρδισε περισσότερα από 4,3 εκατομμύρια ρωσικά ρούβλια (~ 55.000 $) χάρη σε αυτά τα κακόβουλα λογισμικά.
Οι ρωσικές αρχές δεν ανέφεραν δημόσια το όνομα του συλληφθέντος. Ωστόσο, ο Benoit Ancel, αναλυτής κακόβουλου λογισμικού στο CSIS Security Group, δήλωσε ότι ο κατηγορούμενος είναι ένας Ρώσος hacker, που παρακολουθούν και άλλοι ερευνητές ασφαλείας. Το ψευδώνυμό του είναι “1ms0rry“.
Τον Απρίλιο του 2018, ο Ancel και άλλοι ερευνητές ασφαλείας δούλεψαν μαζί για να εντοπίσουν τις online επιχειρήσεις και τα malware του 1ms0rry.
Μe βάση την έκθεσή του, ο Ancel συνέδεσε τον 1ms0rry με τα εξής malware:
1ms0rry-Miner: ένα trojan που ξεκινά εξόρυξη cryptocurrency αμέσως μετά την εγκατάσταση σε μια συσκευή.
N0f1l3: ένα info-stealer trojan που κλέβει δεδομένα (browser passwords, cryptocurrency wallet configuration files, Filezilla FTP credentials και συγκεκριμένα αρχεία από την επιφάνεια εργασίας) από τους μολυσμένους υπολογιστές.
LoaderBot: ένα trojan που μολύνει σε πρώτο στάδιο μια συσκευή και στη συνέχεια αναπτύσσει άλλα κακόβουλα προγράμματα.
Σύμφωνα με τον Γάλλο ερευνητή, ο Ρώσος hacker 1ms0rry πουλούσε τα malware του σε ρωσόφωνα hacking forums. Επιπλέον, κάποια από αυτά χρησιμοποιήθηκαν τελικά για τη δημιουργία ακόμα πιο ισχυρών malware, όπως τα Bumblebee (βασισμένο στο 1ms0rry-Miner), FelixHTTP (βασισμένο στο N0f1l3), EnlightenedHTTP και το πολύ δημοφιλές Evrial (που είχε κοινό κώδικα με τα malware του 1ms0rry).
Η έκθεση του ερευνητή και των συνεργατών του το 2018, αποκάλυψε, επίσης, κάποια στοιχεία για την πραγματική ταυτότητα του 1ms0rry. Η έκθεση ανέφερε ότι πρόκειται για έναν ταλαντούχο νεαρό προγραμματιστή από την πόλη Vladikavkaz, ο οποίος είχε λάβει και επαίνους από τις τοπικές αρχές για την εμπλοκή του στον τομέα της ασφάλειας στον κυβερνοχώρο.
Ωστόσο, ο νεαρός προγραμματιστής έκανε ένα μεγάλο λάθος. Τα malware του χρησιμοποιήθηκαν για επιθέσεις σε Ρώσους χρήστες.
Μέχρι τώρα, οι ρωσικές αρχές ήταν επιεικείς με τους Ρώσους hackers και είχαν “κλείσει τα μάτια” σε διάφορες εγκληματικές ενέργειες. Αυτό συνέβαινε, όμως, όσο δεν στοχεύονταν Ρώσοι πολίτες και τοπικές επιχειρήσεις.
Τα τελευταία χρόνια, πολλές ρωσικές hacking ομάδες έχουν μείνει ατιμώρητες για επιχειρήσεις που διεξάγονται εκτός των συνόρων της Ρωσίας. Οι ρωσικές αρχές αρνούνται να εκδώσουν Ρώσους hackers παρά τις επανειλημμένες κατηγορίες από τις αρχές των ΗΠΑ.
Σύμφωνα με το ZDNet, όλα τα μεγάλα ρωσόφωνα hacking forums και το dark web καθιστούν πολύ σαφές στους κανόνες τους ότι απαγορεύεται στα μέλη να επιτεθούν σε χρήστες στον πρώην σοβιετικό χώρο. Όλοι γνωρίζουν ότι εάν δεν επιτεθούν σε Ρώσους πολίτες, θα μπορέσουν να συνεχίσουν τις δραστηριότητές τους χωρίς να τους ενοχλούν οι αρχές.
Γι’ αυτό, πολλά από τα malware είναι σχεδιασμένα έτσι, ώστε να αποφεύγουν τη μόλυνση Ρώσων χρηστών.
Ωστόσο, ο 1ms0rry φαίνεται είτε ότι δεν γνώριζε αυτόν τον κανόνα είτε ότι επέλεξε να τον αγνοήσει σκόπιμα για πρόσθετα κέρδη. Σε κάθε περίπτωση, η απόφαση να στοχεύσει Ρώσους χρήστες δεν του βγήκε σε καλό.