乌克兰黑客尤里·伊戈列维奇·里布佐夫(网名 MrICQ),因参与 Jabber Zeus 黑客组织窃取美国企业数千万美元,近期在意大利被捕并引渡至美国。该组织通过定制版 ZeuS 银行木马,利用“浏览器中间人”攻击窃取登录凭证和多因素认证码,进而操控企业账户洗钱。此次逮捕是对一个与 Evgeniy Bogachev 和 Evil Corp 等知名网络犯罪团伙有关联的跨国犯罪集团的重大打击。
逮捕与身份确认
乌克兰籍黑客 尤里·伊戈列维奇·里布佐夫(Yuriy Igorevich Rybtsov),现年41岁,因在2012年被指控参与大规模网络犯罪,近日在意大利被捕后引渡至美国。他在网络上的化名为 MrICQ,被认为是 Jabber Zeus 黑客组织的一名开发者。
- 逮捕地点: 意大利。
- 引渡时间: 在上诉失败后,于2024年10月9日抵达美国内布拉斯加州。
- 关键证据: 调查人员发现,里布佐夫在乌克兰顿涅茨克的住址与 Jabber Zeus 团伙头目 维亚切斯拉夫·彭丘科夫(Vyacheslav "Tank" Penchukov)注册的一家企业位于同一栋公寓楼。彭丘科夫已于2022年被捕,并被判处18年监禁。
“Jabber Zeus”的作案手法
该组织因使用定制版的 ZeuS 银行木马而得名。他们是“浏览器中间人”(man-in-the-browser)攻击的早期实践者,能够悄无声息地拦截受害者在网页表单中提交的任何数据。
- 核心技术: 木马会窃取银行登录凭证。当受害者在金融机构网站输入一次性密码时,系统会向黑客发送一条 Jabber 即时消息。
- 高级功能 "Leprechaun": 该组件专门用于隔离最有价值的目标——启用了双因素认证的商业银行账户。它能实时改写受害者浏览器中显示的网页代码,从而拦截银行发送的多因素认证码。
- 洗钱流程:
- 入侵企业账户后,修改公司薪资系统,添加数十名“钱骡”(money mules)。
- 这些钱骡通过虚假的工作招聘计划被招募。
- 赃款以薪资形式存入钱骡账户,扣除佣金后,再通过电汇转移到乌克兰和英国的其他同伙手中。
- MrICQ 在此过程中负责处理新受害者的通知,并协助通过电子货币兑换服务洗钱。
“这伙人实际上是从受害者自己的IP地址连接到他们的银行账户……当时的在线银行安全技术在它面前就像热刀切黄油一样不堪一击。”
关联的庞大犯罪网络
Jabber Zeus 并非独立运作,它与多个臭名昭著的网络犯罪分子和组织有密切联系。
- Evgeniy "Slava" Bogachev: 他是原始 ZeuS 木马的作者,Jabber Zeus 组织曾直接与他合作定制其攻击工具。博加切夫长期位列FBI“最高通缉名单”,悬赏金额高达300万美元。
- Maksim "Aqua" Yakubets: 美国政府认为,他才是 Jabber Zeus 组织的真正头目。雅库贝茨后来成为精英网络犯罪团伙 Evil Corp 的领导者。
- Evil Corp: 该组织由至少17名黑客组成,开发并使用 Dridex 木马,从美国和欧洲数百家公司窃取了超过1亿美元。美国政府为获取雅库贝茨的线索悬赏500万美元。
调查与瓦解
安全专家 Lawrence Baldwin 的公司在2009年就开始追踪并干扰 Jabber Zeus 的活动。他们秘密渗透了该组织用于内部沟通的 Jabber 聊天服务器,获取了 MrICQ、Tank 和 Aqua 等核心成员之间的实时对话记录。
这些情报被分享给了执法机构和记者,不仅为起诉提供了关键证据,还帮助许多潜在受害者避免了巨额财务损失。此次对 MrICQ 的逮捕,是长期以来打击这一复杂网络犯罪生态系统的又一重要成果。