55-летняя ростовчанка Алла Витте предстала перед судом в США: ФБР считает ее лидером хакерской группировки Trickbot, создавшей одноименный вирус. Женщина, которую на первый взгляд очень сложно заподозрить в причастности к киберпреступлениям, могла действовать под псевдонимом «Макс» и вместе с сообщниками похитить у пользователей по всему миру десятки миллионов долларов.
Вирусная программа Trickbot известна во всем мире: создавшая ее одноименная кибергруппировка успела насолить пользователям из разных стран. Хакеры совершенно не привередливы в выборе покупателей своего вредоносного ПО, а клиенты, получив вирус, задействуют его по собственному усмотрению. Долгое время одной из основных фигур в команде Trickbot считался некто Макс (Max) – талантливый программист, выбравший «темную сторону». Личности хакеров, как правило, держатся в секрете, и до поры до времени так было и с загадочным Максом. Но в начале июня выяснилось, что под этим «творческим псевдонимом» пряталась 55-летняя Алла Витте, уроженка Ростова-на-Дону. «Лента.ру» поделилась подробностями дела.
Пагубная беспечность
Едва ли кто-то мог предположить, что женщина вроде Аллы Витте может быть одним из лидеров известной кибергруппировки, за которой охотится ФБР. В сети можно найти ее резюме, в которых Витте предстает как профессионал высокого уровня, но нет даже намека на тайную жизнь в даркнете. Впрочем, внимательный зритель, возможно, обратит внимание на некоторые детали, которые могут стать зацепками.
Как ни парадоксально, Витте, несмотря на все свои профессиональные навыки, прокололась на соцсетях. Многие хакеры не отказываются от аккаунтов на популярных ресурсах, но при этом все, что может указать на их причастность к киберпреступлениям, тщательно скрывается. Нельзя сказать, чтобы Витте очень активно «светила» своей тайной деятельностью, но в одном из постов во «ВКонтакте» она упомянула некоего Максима, засветив собственный псевдоним.
А следующий ее шаг и вовсе недопустим для хакера-профи. В начале 2020 года Витте задействовала для распространения вируса свой личный сайт. Об инциденте рассказал в своем микроблоге в Twitter пользователь под ником gorimpthon – специалист в сфере кибербезопасности, у которого более 1000 подписчиков, и эта информация разошлась по сети. А примерно за месяц до этих событий Витте заразила вредоносным ПО одно из своих устройств, и вирус выгрузил данные в ботнет и зарегистрировал их. Промахи, допущенные женщиной, показывают, что Витте явно не слишком внимательно следила за безопасностью, и наказание за беспечность не заставило себя ждать. Кроме того, есть информация, что большая часть членов команды Trickbot знали настоящие имя и фамилию «Макса», хотя хакеры стремятся сохранять анонимность даже со «своими».
Профессионально и качественно
Алла Витте, в девичестве – Климова, родилась в 1965 году в Ростове-на-Дону. В 1983 году она перебралась в Ригу, поступив в Латвийский университет и посвятив несколько лет изучению прикладной математики. Уже тогда Климова заинтересовалась программированием, однако оно не сразу превратилось в ее профессию – до этого будущий член кибергруппировки успела поработать и преподавателем, и менеджером по продажам. Впоследствии она вышла замуж, сменила фамилию и переехала в Амстердам вместе с мужем. Супруги много путешествовали, а в последние годы поселились в Суринаме.
На распределительных станциях в Ростове-на-Дону произошли аварии, которые привели к тому, что десятки домов остались без света. В некоторых из них из-за отсутствия электроэнергии исчезли отопление и вода.
Алла Витте: «Я хочу быть отличным программистом, способным создавать эксклюзивные решения и путешествовать по клиентам в разных странах. Я работаю на себя и клиентов в течение гигантского количества времени, потому что я могу это делать, и поэтому я это делаю».
На русскоязычных сайтах, где общаются пользователи, можно встретить комментарии Витте, в которых она рекомендует начинающим программистам избавляться от людей, указывающих на их несостоятельность, а вместо этого прибегать к помощи и рекомендациям опытных специалистов.
Собственные услуги разработчика Витте продвигала в различных фрилансерских сообществах в сети. С 2012 года у нее накопилось множество положительных отзывов – работавшие с ней клиенты обращают внимание на ее профессиональный подход к делу и качество работы. Высока вероятность, что хакеры из Trickbot вышли на Витте именно через один из таких порталов.
Громкое дело
6 февраля Алла Витте была арестована в Майами американскими правоохранителями, а перед судом в первый раз предстала 4 июня. Уроженке Ростова-на-Дону предъявили обвинения, связанные с ее предполагаемым участием в деятельности Trickbot. В США считают, что именно на этой группировке лежит ответственность за создание и распространение трояна, атаковавшего банковские счета, и других программ-вымогателей, которые известны под общим названием Trickbot. 8 июня 2021 года стартовало дело «США против Аллы Витте», и процесс обещает быть весьма резонансным.
Витте предъявлены обвинения по 19 из 47 пунктов заключения: ей вменяют участие в преступной организации, разработку и внедрение вредоносного ПО Trickbot, которое создано для кражи учетных данных интернет-банкинга и иной личной информации, в том числе, номеров кредиток, электронных писем, паролей и так далее. По версии обвинителей, Витте и ее сообщники также захватили учетные записи для входа в аккаунты и другую информацию, чтобы получить интернет-доступ к банковским счетам, производить несанкционированные переводы денежных средств и заниматься отмыванием денег посредством счетов получателей переводов на территории США и других стран.
Деятельность Trickbot разворачивалась в таких государствах как Россия, Белоруссия, Украина и Суринам, а объектами интереса хакеров становились устройства, принадлежащие предприятиям, организациям и частным лицам – в том числе, в США. В диапазон целей входили медучреждения, школы, коммунальные службы, а также сайты правительственных учреждений.
В офисе прокурора США Северного округа Огайо уже успели заявить, что, по версии ведомства, под маской Макса из Trickbot пряталась 55-летняя гражданка Латвии Алла Витте. В основу обвинения легли сообщения жертв хакерских атак за последние пять лет, а также материалы ФБР, взявшего группировку в разработку в 2016 году. По версии прокуратуры, за несколько лет в составе Trickbot Витте сделала впечатляющую «карьеру», поднявшись от простого разработчика до одной из ключевых фигур. Есть сведения, что в команду входит в общей сложности семь человек.
Витте отказалась от слушания по поводу ее задержания и воздержалась от официальных заявлений. Но, как полагают специалисты, она может владеть очень ценной информацией, и в случае согласия Витте сотрудничать с властями ее показания будут иметь большую ценность и поспособствуют раскрытию остальных членов хакерской сети. До следующего судебного заседания женщина останется под стражей в Кливленде. Обстоятельства ее ареста не раскрываются – Минюст США лишь уточнил, что в Майами Витте приехала из Суринама, где она живет со своей семьей. С какой целью она туда прибыла, не уточняется.
Заместитель генерального прокурора Лиза Монако высказалась по поводу дела Витте, заметив, что он является своего рода предупреждением для потенциальных киберпреступников. По ее словам, они должны осознавать, что Минюст будет задействовать все имеющиеся в его распоряжении инструменты, чтобы вывести хакеров на чистую воду.
Вне стереотипов
В Ростове-на-Дону бойцы ЧВК «Вагнер» готовят боевую технику и оружие, чтобы покинуть город. Ранее стало известно о решении основателя ЧВК Евгения Пригожина развернуть колонны в 200 километрах от Москвы.
Считается, что хакеры – это люди довольно молодого возраста – спасибо фильмам и сериалам, создавшим такой образ. Поэтому когда в СМИ распространилась информация об аресте Витте, эксперты посчитали, что это ошибка, подлог или мистификация. Предполагаемая киберпреступница действительно не попадает под этот стереотип. Как заметил Алекс Холден, основатель консалтинговой компании Hold Security, специализирующейся на киберрасследованиях, Витте можно сравнить с единорогом.
Алекс Холден: «Она сочетает в себе страсть к изучению технологий, и это в преклонном возрасте, с жизнью незадачливого киберпреступника, который разработал вредоносные программы и программы-вымогатели, которые причинили боль многим».
Группировка Trickbot впервые заявила о себе осенью 2016 года: тогда атаке вируса подверглись системы CRM и платежный сервис PayPal. Впоследствии ПО получило новые элементы: самораспространяющиеся вирусы, программы для похищения учетных данных и cookie-файлов, компоненты для активного противодействия системам безопасности и многое другое. Распространяется вирус, как правило, через фишинговые рассылки, в том числе, посредством программ Google Docs и пакетных файлов.
Trickbot продает свою разработку всем желающим, поэтому заражение может происходить одновременно в разных направлениях, после чего атакованные устройства становятся составными частями масштабного ботнета, соединяющего тысячи серверов и компьютеров по всему миру. Trickbot также используется для кражи данных, шпионажа или внедрения программ-вымогателей. По данным специалистов, на сегодняшний день она представляет собой один из самых часто используемых источников входа для вымогателей.
С тех пор, как Trickbot впервые был обнаружен в сети, его операторам удалось похитить сотни миллионов долларов только в США. При этом хакеры не останавливались ни перед чем. Так, когда на Америку обрушилась пандемия коронавируса, власти немедленно предупредили об атаках на медучреждения и поставщиков медицинских услуг и не ошиблись.
В сентябре 2020 года вся система здравоохранения США оказалась парализована: сработала классическая схема с фишинговыми ссылками, и устройства заразили Trickbot и программа-вымогатель Ryuk. ФБР оказалось бессильно, поскольку его методы борьбы с вредоносным ПО не принесли результата из-за предусмотренных хакерами резервных механизмов восстановления. К 2021 году хакеры сделали новые шаги по усовершенствованию вредоносного софта, еще надежнее защитив его от внешних вмешательств. Эксперты уверены, что хакеры постоянно движутся вперед, поэтому представители властей не должны останавливаться, иначе рискуют безнадежно отстать в этой гонке.
Есть информация, будто Витте, едва успев примкнуть к кибергруппировке Trickbot в 2018 году, уже через неделю написала код, позволяющий отслеживать всех пользователей, использующих вредоносное ПО. Затем она подготовила руководство для коллег по использованию предложенного софта для слежки и шпионажа – на это ушло несколько месяцев. Следующий год у Витте ушел на написание кода для веб-панели, рассчитанной на хранение украденных данных. Как следует из обвинения, в дальнейшем Витте продолжила работу над кодом для контроля развертывания программ-вымогателей и даже курировала содержание сообщений о шифровке системы, предназначенной для жертв.
Сейчас кибервзломщице, которая, несмотря на все свои таланты, не проявила достаточной осмотрительности, может грозить продолжительный тюремный срок: по некоторым эпизодам речь идет о двух или трех десятках лет заключения, а значит, учитывая возраст Аллы Витте, она рискует вообще не выйти на свободу.
