Às vezes, até os gênios do mal cometem deslizes. Dessa vez, aconteceu com ninguém menos que a mente por trás da criação de um dos botnets mais abrangentes e de longa duração da história da internet, o Andromeda, composto de 464 bots individuais que se espalharam por mais de 80 família de malwares desde 2011.
Acontece que a falta de precaução do criador dessa ameaça acabou levando uma empresa de pesquisa de segurança – a Recorded Future – a descobrir sua identidade no mundo real e ele acabou sendo preso. O bielorrusso Sergey Jarets, de 33 anos de idade, foi flagrado por causa de seu número de ICQ, que pôde ser usado para identificá-lo pelos pesquisadores.
Mapa de ataques feitos com o botnet Andromeda
Quem é Ar3s?
A única coisa que se conhecia a respeito de quem estaria por trás do Andromeda era um nickname de internet: Ar3s. Sabia-se apenas que se tratava de uma mente genial famosa no underground criminoso da internet e que esse indivíduo entendia tudo de malwares e engenharia reversa de software.
Acabaram encontrando uma série de fóruns – inclusive sites whitehat, que reúne os chamados “hackers do bem” – onde um usuário possuía o número vinculado ao seu perfil
A única maneira de se comunicar com Ar3s era por meio de um número de ICQ que ele mesmo disponibilizava em suas interações pela internet. Simples assim. Tendo isso em mente, o grupo de pesquisa em segurança resolveu agira da maneira mais óbvia possível: buscou registros desse número de ICQ em outros lugares da internet.
Acabaram encontrando uma série de fóruns – inclusive sites whitehat, que reúne os chamados “hackers do bem” – onde um usuário possuía o número vinculado ao seu perfil. Em alguns deles, parecia ser um nome real: Sergey Jaretz. A partir daí foi fácil rastrear o paradeiro do verdadeiro Jarets (seu nome real é com S, na internet, ele usava com Z), um funcionário da área de TI da empresa de televisão e rádio OJSC, da Bielorrússia.
Investigação e desativação
“Com base na análise das atividades do fórum, padrões linguísticos e materiais fotográficos de Ar3s, a Recorded Future identificou-o como Sergey Jarets ou Jaretz, um homem de 33 anos residente em Rechitsa, região de Gomel, na Bielorrússia”, diz o comunicado da equipe.
Quem diria que um número de ICQ iria colocar na prisão um gênio do crime cibernético?
Toda a estrutura do botnet Andromeda foi desativada por uma força-tarefa formada por agências de investigação da Europa, o FBI e outros países de fora da União Europeia. Mais de 2 milhões de computadores comprometidos em todo o mundo foram identificados em 48 horas de observações antes da prisão de Jarets.
Quem diria que um número de ICQ iria colocar na prisão um gênio do crime cibernético que, talvez, não seja tão gênio assim?
Fontes
Categorias