Интервью с хакером Target & Home Depot

7 декабря 2024, 20:40
В декабре 2023 года KrebsOnSecurity раскрыла реальную личность Rescator, прозвище, используемое российским киберпреступником, который продал более 100 миллионов платежных карт, украденных из Target и Home Depot в период с 2013 по 2014 год.

Житель Москвы Михаил Шефель, который в недавнем интервью подтвердил использование идентификации Rescator, также признался, что связался с ним, потому что он на мели и ищет рекламу для нескольких новых схем зарабатывания денег.

Бывший профиль Михаила «Майка» Шефеля в Facebook. С тех пор Шефель законно изменил свою фамилию на Ленин.

Г-н Шефель, который недавно изменил свою юридическую фамилию на Ленин, был звездой прошлогоднего рассказа «На десять лет спустя, новые улики в целевом прорыве». В этом расследовании подробно описано, как 38-летний Шефель принял прозвище Рескатор, когда работал вице-президентом по платежам в ChronoPay, российской финансовой компании, которая платила спамерам за рекламу поддельных антивирусных афер, препаратов для повышения мужской и поддельных фармацевтических препаратов.

Г-н Шефель не ответил на просьбы о комментарии до этого профиля в декабре 2023 года. Он также не ответил на сообщение здесь в январе 2024 года о том, что он управлял ИТ-компанией с 34-летним россиянином по имени Александр Ермаков, который был санкционен властями Австралии, Великобритании и США за кражу данных о почти 10 миллионах клиентов австралийского гиганта медицинского страхования Medibank.

Но вскоре после того, как KrebsOnSecurity сообщила в апреле, что Shefel/Rescator также стояли за кражей социального обеспечения и налоговой информации у большинства жителей Южной Каролины в 2012 году, г-н Шефел начал связываться с этим автором с предлогом того, что он установил запись о своей предполагаемой преступной хакерской деятельности.

В серии видеочатов и текстовых сообщений в прямом эфире г-н Шефель подтвердил, что он действительно шел по идентификации Rescator в течение нескольких лет, и что в период с 2013 по 2015 год он управлял множеством веб-сайтов, которые продавали данные платежных карт, украденные из Target, Home Depot и ряда других общенациональных розничных сетей.

Шефель утверждает, что настоящим вдохновителем Target и других взломов в розничной торговле был Дмитрий Голубов, печально известный украинский хакер, известный как соучредитель Carderplanet, среди первых форумов киберпреступности на русском языке, посвященных мошенничеству с платежными картами. С г-ном Голубовым не удалось связаться для комментариев, и Шефель говорит, что у него больше нет ноутбука, содержащего доказательства в поддержку этого утверждения.

Шефель утверждает, что он и его команда были ответственны за разработку вредоносного ПО для кражи карт, которое хакеры Голубова установили на платежных терминалах Target и Home Depot, и что в то время он был техническим директором давнего российского киберпреступного сообщества под названием Lampeduza.

"Моим прозвищем было МайкМайк, и я работал с Дмитрием Голубовым и делал для него технологии", - сказал Шефель. «Я также крестный отец его второго сына».

Дмитрий Голубов, около 2005 года. Изображение: США Почтовая служба расследования.

Через неделю после раскрытия истории об утечке данных в Target в 2013 году, KrebsOnSecurity опубликовала, кто продает карты от Target?, в которой идентифицировал украинца, который перешел под прозвищем Helkern, в качестве оригинальной личности Rescator. Но Шефель утверждает, что Хелкерн был подчинен Голубову и что он был ответственен за знакомство с двумя людьми более десяти лет назад.

"Хелькерн был моим другом, я [настроил] встречу с Голубовым и ним в 2013 году", - сказал Шефель. «Это было в Одессе, Украина. Я часто был в этом городе, и [там] я встретил свою вторую жену».

Шефель утверждает, что заработал несколько сотен тысяч долларов, продавая карты, украденные украинской хакерской командой Голубова, но вскоре после того, как Россия аннексировала Крым в 2014 году, Голубов вырезал его из бизнеса и заменил команду Шефеля по кодированию вредоносных программ на программистов в Украине.

Голубов был арестован в Украине в 2005 году в рамках совместного расследования с несколькими федеральными правоохранительными органами США, но его политические связи в стране привели к тому, что его дело ни к чему не привело. Позже Голубов получил иммунитет от судебного преследования, став избранным политиком и основав Интернет-партию Украины, которая призывала к бесплатному интернету для всех, созданию общенациональных «хакерских школ» и «компьютеризации всей экономики».

Г-н Шефель говорит, что он перестал продавать украденные платежные карты после того, как его выгнали из бизнеса, и вложил свой заработок в несуществующующую российскую поисковую систему под названием tf[.]org. Он также, по-видимому, управлял бизнесом под названием click2dad[.]net, который платил людям за то, чтобы они нажимали на рекламу для трудоустройства в российском правительстве.

Когда эти предприятия ушли, Shefel вернулся к продаже услуг по кодированию вредоносных программ для найма под прозвищем "Getsend"; это утверждение подтверждается, так как Getsend в течение многих лет рекламировал тот же самый дескриптор Telegram, который Shefel использовал в наших недавних чатах и видеозвонках.

Шефель признал, что его работа была мотивирована желанием обнародовать несколько новых бизнес-предприятий. Ни один из них не будет упомянут здесь, потому что Шефель уже использует мой профиль о себе в декабре 2023 года, чтобы рекламировать то, что кажется пирамидой, и напомнить другим в российском хакерском сообществе о своих навыках и достижениях.

Шефель говорит, что теперь он на мели, и что в настоящее время ему мало что показать для легендарной хакерской карьеры. Уроженец Москвы сказал, что недавно услышал от своей бывшей жены, которая прочитала прошлогоднюю историю о нем и вдруг задумалась, где он спрятал все свои доходы.

Более срочно, Шефель нуждается в деньгах, чтобы не попасть в тюрьму. В феврале он и Ермаков были арестованы по обвинению в управлении краткосрочной партнерской программой-вымогателей в 2021 году под названием Sugar (он же Sugar Locker), который был нацелен на отдельные компьютеры и конечных пользователей, а не на корпорации. Шефель должен предъявить эти обвинения в московском суде в пятницу, 15 ноября 2024 года. Эрмаков недавно был признан виновным и ему было поручено два года испытательного срока.

Шефель утверждает, что его партнерская программа Sugar ransomware была провалом и никогда не приносила никакой прибыли. Россия известна тем, что не преследует преступных хакеров в своих границах, которые скрупулезно избегают нападать на российский бизнес и потребителей. Когда его спросили, почему ему теперь грозит судебное преследование за Шугар, Шефель сказал, что уверен, что расследование было инициировано Петербургом «Питером» Врублевским — сыном его бывшего босса в ChronoPay.

Основатель и генеральный директор ChronoPay Павел Врублевский был ключевой темой моей книги 2014 года «Спам-нация», в которой он описал свою роль в качестве руководителя одной из самых печально известных преступных спам-операций в России.

Врублевский-старший недавно объявил о банкротстве и в настоящее время находится в тюрьме по обвинению в мошенничестве. Российские власти утверждают, что Врублевский управлял несколькими мошенническими схемами оплаты на основе SMS. Они также обвинили Врублевского в содействии отмыванию денег для Hydra, крупнейшего российского рынка даркнета в то время. Гидра торгует незаконными наркотиками и финансовыми услугами, включая криптовалюту для отмывания денег, обмен услугами криптовалюты и российскими рублями, а также продажу фальсифицированных документов и хакерских услуг.

Однако в 2022 году KrebsOnSecurity сообщила о более вероятной причине последних уголовных обвинений Врублевского: он подробно документировал прозвища, настоящие имена и преступные подвиги российских хакеров, которые работали с защитой коррумпированных должностных лиц в Российской Федеральной службе безопасности (ФСБ), и управлял телеграм-каналом, который угрожал разоблачить предполагаемые гнусные сделки российских финансовых руководителей.

Шефель считает, что сын Врублевского Петр заплатил коррумпированным полицейским, чтобы предъявить ему уголовные обвинения после того, как он сообщил о молодежи в московскую полицию, якобы за то, что она ходила на публике с заряженным огнестрельным оружием. Шефель говорит, что российские власти сказали младшему Врублевскому, что он подал жалобу на огнестрельное оружие.

В июле 2024 года российское новостное издание «Известия» опубликовало длительное расследование в отношении Петра Врублевского, утверждая, что младший сын взял на себя мантию своего отца и отвечал за рекламу Sprut, базара наркотиков на русском языке, который ожил после того, как рынок Darknet Hydra был закрыт международными правоохранительными органами в 2022 году.

Известия сообщают, что Петр Врублевский был рекламным вдохновителем этой 3D-рекламной кампании и других рекламных кампаний, продвигающих российский онлайн-базар наркотиков Sprut.

Известия сообщает, что Питер Врублевский в настоящее время живет в Швейцарии, откуда он, как сообщается, бежал в 2022 году после того, как был «заочно арестован» в России по обвинению в организации жестокой группы, которую можно было бы нанять через Telegram для проведения ряда физических нападений в реальной жизни, включая бомбежи и ограбы.

Шефель утверждает, что его бывший партнер Голубов участвовал в разработке и распространении ранних штаммов программ-вымогателей, включая Cryptolocker, и что Голубов остается активным в сообществе киберпреступников.

Между тем, г-н Шефель изображает себя человеком, который едва справляется с несколькими странными работами по кодированию, которые приходят на его путь каждый месяц. Невероятно, но на следующий день после нашего первоначального интервью через Telegram, Шефель предложил заняться бизнесом вместе.

В качестве примера он предположил, что, возможно, компания сосредоточена на восстановлении потерянных паролей для криптовалютных счетов, или, возможно, ряд розничных интернет-магазинов, которые продавали дешевые китайские товары с крутой наценкой в Соединенных Штатах.

«Привет, как дела?» он спросил. «Может быть, мы сможем открыть бизнес?»