Perşembe günü bir Rus vatandaşı, ABD’de ve dünya çapında hastanelere, şirketlere ve bireylere yönelik saldırılarda kullanılan Trickbot kötü amaçlı yazılımının geliştirilmesi ve dağıtımına dahil olmasıyla ilgili suçlamaları kabul etti.
Mahkeme belgelerine göre, FFX olarak da bilinen 40 yaşındaki bir kişi, kötü amaçlı yazılım geliştiricisi olarak TrickBot’un tarayıcı ekleme bileşeninin geliştirilmesini denetledi.
İddiaya göre Dunaev’in TrickBot kötü amaçlı yazılım sendikasıyla ilişkisi, SOCKS sunucusunu simüle eden bir uygulama oluşturmasını ve Firefox tarayıcısını değiştirmesini gerektiren bir işe alım testinin ardından geliştirici olarak işe alındıktan sonra Haziran 2016’da başladı.
Eylül 2021’de Güney Kore’den ayrılmaya çalışırken tutuklandı. COVID-19 seyahat kısıtlamaları ve pasaportunun süresi dolmuş olması nedeniyle bir yıldan fazla bir süre Güney Kore’de kalmak zorunda kalmıştı. İade süreci 20 Ekim 2021’de tamamlandı.
ABD Başsavcısı Rebecca C. Lutzko, “İtiraf anlaşmasında belirtildiği gibi, Vladimir Dunaev, bir bilgisayar programcısı olarak özel becerilerini Trickbot kötü amaçlı yazılım paketini geliştirmek için kötüye kullandı” dedi.
“Dunaev ve onun suçluları klavyelerinin arkasına saklandılar, önce Trickbot’u yarattılar, sonra onu dünya çapında milyonlarca bilgisayara (hastaneler, okullar ve işletmeler tarafından kullanılanlar dahil) bulaştırmak için kullanarak mahremiyeti ihlal ederek, anlatılmamış aksamalara ve mali hasara neden oldular.”
TrickBot kötü amaçlı yazılımı, operatörlerinin kişisel ve hassas bilgileri (kimlik bilgileri, kredi kartları, e-postalar, şifreler, doğum tarihleri, SSN’ler ve adresler dahil) toplamasına ve kurbanlarının banka hesaplarından para çalmasına yardımcı oldu.
Dunaev, elektronik dolandırıcılık ve banka dolandırıcılığıyla ilgili komplo suçlamalarının yanı sıra bilgisayar dolandırıcılığı ve kimlik hırsızlığı yapmak için komplo kurmakla ilgili suçlamaları da kabul etti. Cezası 20 Mart 2024 olarak belirlendi ve her iki suçtan da en fazla 35 yıl hapis cezasıyla karşı karşıya bulunuyor.
İlk iddianamede Dunaev ve sekiz ortak sanık, Trickbot operasyonunu geliştirme, dağıtma, yönetme ve bundan kâr elde etme iddialarıyla suçlandı.
| Tarih | Kod açıklaması |
| Temmuz 2016 – tutuklanma zamanı | Firefox web tarayıcısını değiştirme |
| Aralık 2016 | TrickBot’un virüs bulaşmış bir makinenin kök dosya dizininin açıklamasını, üreticisini, adını, ürününü, seri numarasını, sürümünü ve içeriğini belirlemesine olanak tanıyan Makine Sorgusu |
| Ağustos 2016 – Aralık 2018 | Web tarayıcısından adını, kimliğini, türünü, yapılandırma dosyalarını, çerezleri, geçmişi, yerel depolamayı, Flash Yerel Paylaşılan Nesneleri/LSO’yu (Flash çerezleri) alıp kaydeden kod |
| Ekim 2016 – tutuklanma zamanı | Web tarayıcısının ‘profil’ klasörlerindeki dosyaları arayan, içe aktaran ve yükleyen kod; bunlar çerezleri, depolamayı, geçmişi, Flash LSO çerezlerini içerir. Ayrıca sorgulama yapmak ve bunları değiştirmek için tarayıcı veritabanlarına da bağlanır. |
| Temmuz 2016 – tutuklanma zamanı | Bir web tarayıcısını başlatmak ve yönetmek için çalıştırılabilir bir uygulama/yardımcı program |
| Temmuz 2016 – tutuklanma zamanı | Tarama geçmişi dahil, Google Chrome LevelDB veritabanındaki veri girişlerini toplayan ve değiştiren kod |
Dunaev, ABD Adalet Bakanlığı tarafından tutuklanan ikinci TrickBot çetesi kötü amaçlı yazılım geliştiricisidir. Şubat 2021’de Letonya uyruklu Alla Witte (diğer adıyla Max) yakalandı ve kurbanların ağlarında fidye yazılımını kontrol etmek ve dağıtmak için kullanılan kodun yazılmasına yardım etmekle suçlandı.
Şubat ve Eylül aylarında, Amerika Birleşik Devletleri ve Birleşik Krallık, TrickBot ve Conti siber suç çeteleriyle bağlantılı toplam 18 Rus vatandaşına, dünya çapındaki mağdurlardan en az 180 milyon dolarlık gasp olaylarına karıştıkları için yaptırım uyguladı. Ayrıca Trickbot grubu üyelerinin bazılarının Rus istihbarat servisleriyle bağlantılı olduğu konusunda uyardılar.
Başlangıçta bankacılık kimlik bilgilerini çalmaya odaklanan ve 2015 yılında ortaya çıkan TrickBot kötü amaçlı yazılımı, Ryuk ve Conti fidye yazılımı gibi siber suç örgütleri tarafından ele geçirilen kurumsal ağlara ilk erişim için kullanılan modüler bir araca dönüştü.
Birkaç ortadan kaldırma girişiminin ardından Conti siber suç çetesi, TrickBot’un kontrolünü ele geçirdi ve onu Anchor ve BazarBackdoor da dahil olmak üzere daha karmaşık ve gizli kötü amaçlı yazılım türlerini geliştirmek için kullandı.
Ancak Rusya’nın Ukrayna’yı işgalinin ardından Ukraynalı bir araştırmacı, Conti’nin iç iletişimlerini artık “Conti Sızıntıları” olarak bilinen yöntemle sızdırdı.
Kısa bir süre sonra, TrickLeaks adını kullanan isimsiz bir kişi, TrickBot operasyonuyla ilgili ayrıntıları sızdırmaya başladı ve Conti çetesiyle olan bağlantılarını daha da özetledi.
Sonuçta bu sızıntılar Conti fidye yazılımı operasyonunun kapatılmasını hızlandırdı ve bunun sonucunda Royal, Black Basta ve ZEON gibi çok sayıda fidye yazılımı grubuna bölündü.