- 21,790
- 46
- 8 Ноя 2022
Тень ZeroAccess вернулась — но уже с цифровой подписью Microsoft.
История одной из самых известных киберугроз прошлого десятилетия получила неожиданное продолжение. Разработчик ботнета ZeroAccess, некогда охватившего миллионы заражённых устройств по всему миру, спустя годы после своего разоблачения вновь оказался в поле зрения исследователей. Однако теперь он представлен не как создатель вредоносного кода, а как автор легальных инструментов для отладки и анализа системного уровня. Более того, в 2025 году он опубликовал на GitHub собственный отладчик ядра Windows под названием YDbg — обновлённую версию ранее неизвестного утилитарного проекта Z-Dbg.
ZeroAccess появился примерно в 2009 году и стал одним из самых масштабных и сложных P2P-ботнетов своего времени. Его основой служил руткит на уровне ядра, обеспечивавший скрытность и устойчивость заражённых систем. Первоначально сеть использовалась для фрода на кликах, а позднее — для майнинга биткоинов. В дальнейшем от руткит-модуля отказались, но сам подход к построению инфраструктуры сохранился. По мере развития проекта стало ясно, что его создатель обладает глубокими знаниями внутреннего устройства Windows и способностью обходить её механизмы защиты. Именно этот человек, как выяснилось, впоследствии занялся легальной деятельностью — создавал системные утилиты и отладочные инструменты, предлагая свои услуги на фриланс-площадках.
В 2016 году участники форума kernelmode.info попытались установить личность разработчика ZeroAccess . В результате поиска они обнаружили ряд безвредных Windows-приложений, написанных тем же автором. Среди них оказалось программное обеспечение для потоковой трансляции ТВ, где в метаданных указывались контакты, позволившие выйти на след реального человека. Им оказался 40-летний житель Одессы, Украина, по имени Максим Самуистов, использовавший ник в Skype maksimsamuistov. Эта информация была передана в CERT-UA, который подтвердил, что такой человек действительно существует. По данным ведомства, местные правоохранители тогда отказались предпринимать действия против него. После публикации данных на форуме и в X-аккаунте разработчик удалил свои фриланс-страницы и на время исчез из сети.
Однако уже через год, в 2017-м, в интернете начали появляться новые профили с никнеймами rbmm и alex short. С ними были связаны активные страницы на GitHub , Stack Overflow и OSR Online , которые разработчик использует до сих пор. Кроме того, в 2019 году он снова предлагал свои услуги под именем Alex S. на платформе Upwork, указывая местоположение — Львов. Позднее появились и другие профили: X *, LinkedIn (удалён), YouTube , блог . В описании профиля в X разработчик указывает участие в создании проектов Protectimus и StartMenuX, что подтверждает его дальнейшую ориентацию на легальное программирование.
Наиболее интересным из современных продуктов автора стал отладчик ядра Windows — инструмент, который ранее существовал под именем Z-Dbg, а с 2025 года получил обновлённое название YDbg и был опубликован на GitHub . В ранних сообщениях автора можно заметить, что он делился прототипами с другими разработчиками, что, вероятно, объясняет появление утечек старых сборок на VirusTotal. Судя по структуре файлов и функциональности, Z-Dbg был ориентирован на низкоуровневую диагностику и работу с символами ядра, поддерживая расширенные возможности для анализа драйверов и системных модулей. Видео с демонстрацией возможностей инструмента размещено на <span class="blocked-highlight" title="Соцсеть заблокирована на территории РФ">YouTube</span>-канале автора.
Особый интерес вызывают подписи к исполняемым файлам. В одном из установочных пакетов 2018 года содержались компоненты, включая 64-битную библиотеку tkn.dll, подписанную самоподписанным сертификатом 45cae3b9. Для её загрузки требовалось активировать тестовую подпись драйверов при старте Windows. В то же время 32-битная сборка от 2015 года показала иную картину: большинство файлов имели подпись «max black» — псевдоним, связанный с ранними периодами активности автора, — но одна библиотека, tkn.dll, была подписана действительным сертификатом Vertamedia, LLC.
Vertamedia (ныне Adtelligent) — компания, специализирующаяся на монетизации рекламы. Возникает закономерный вопрос: каким образом разработчик ZeroAccess получил доступ к сертификату этой фирмы? Возможных объяснений несколько — от кражи до личного участия в проектах компании или связи с её сотрудниками. Случайное совпадение исключается: ботнет, зарабатывавший на кликовых схемах, и сертификат рекламной платформы пересекаются слишком явно.
Сравнение различных сборок показывает эволюцию инструмента и трансформацию практик его автора. В последних версиях отладчика YDbg, размещённых на GitHub, все файлы подписаны действительными сертификатами компании dennisbabkin.com, LLC. Среди них — исполняемые модули DbgNew.exe, MemDump.exe, NtRegView.exe, SearchEx.exe и другие, собранные в период с 2021 по 2025 годы. Примечательно, что основной драйвер tkn.dll имеет подпись Microsoft Windows Hardware Compatibility Publisher, подтверждающую его сертификацию в рамках программы Microsoft WHCP. Это означает, что компонент был официально проверен на совместимость с Windows и может загружаться без включения тестового режима.
В совокупности всё указывает на то, что бывший создатель ZeroAccess не только отошёл от нелегальной деятельности, но и сумел легализовать свои разработки, получив доверие поставщиков цифровых сертификатов. В отличие от времён руткитов и бэкдоров , его современные инструменты соответствуют требованиям безопасности и могут использоваться специалистами по системному программированию и отладке драйверов.
Показательно, что с момента последнего упоминания о нём в 2016 году не обнаружено ни одной вредоносной программы, несущей его характерный код или структуру. С большой вероятностью он прекратил участие в теневых проектах и сосредоточился на легальном софте. Впрочем, сам автор по-прежнему избегает публикации личных данных и не раскрывает своё настоящее имя. По имеющимся сведениям, в 2018 году против него предпринимались попытки преследования со стороны американских следственных органов, однако дело до ареста не дошло.
Таким образом, судьба разработчика ZeroAccess демонстрирует редкий пример трансформации из автора одного из самых известных ботнетов начала 2010-х в создателя сертифицированных системных инструментов. Его путь отражает эволюцию отрасли: в эпоху, когда offensive security, симуляция APT и программы по поиску уязвимостей стали легальной альтернативой киберкриминалу, те, кто прежде писал руткиты, теперь создают отладчики и драйверы с подписью Microsoft.
<span style="font-size: 7pt;">* Социальная сеть запрещена на территории Российской Федерации.</span>
История одной из самых известных киберугроз прошлого десятилетия получила неожиданное продолжение. Разработчик ботнета ZeroAccess, некогда охватившего миллионы заражённых устройств по всему миру, спустя годы после своего разоблачения вновь оказался в поле зрения исследователей. Однако теперь он представлен не как создатель вредоносного кода, а как автор легальных инструментов для отладки и анализа системного уровня. Более того, в 2025 году он опубликовал на GitHub собственный отладчик ядра Windows под названием YDbg — обновлённую версию ранее неизвестного утилитарного проекта Z-Dbg.
ZeroAccess появился примерно в 2009 году и стал одним из самых масштабных и сложных P2P-ботнетов своего времени. Его основой служил руткит на уровне ядра, обеспечивавший скрытность и устойчивость заражённых систем. Первоначально сеть использовалась для фрода на кликах, а позднее — для майнинга биткоинов. В дальнейшем от руткит-модуля отказались, но сам подход к построению инфраструктуры сохранился. По мере развития проекта стало ясно, что его создатель обладает глубокими знаниями внутреннего устройства Windows и способностью обходить её механизмы защиты. Именно этот человек, как выяснилось, впоследствии занялся легальной деятельностью — создавал системные утилиты и отладочные инструменты, предлагая свои услуги на фриланс-площадках.
В 2016 году участники форума kernelmode.info попытались установить личность разработчика ZeroAccess . В результате поиска они обнаружили ряд безвредных Windows-приложений, написанных тем же автором. Среди них оказалось программное обеспечение для потоковой трансляции ТВ, где в метаданных указывались контакты, позволившие выйти на след реального человека. Им оказался 40-летний житель Одессы, Украина, по имени Максим Самуистов, использовавший ник в Skype maksimsamuistov. Эта информация была передана в CERT-UA, который подтвердил, что такой человек действительно существует. По данным ведомства, местные правоохранители тогда отказались предпринимать действия против него. После публикации данных на форуме и в X-аккаунте разработчик удалил свои фриланс-страницы и на время исчез из сети.
Однако уже через год, в 2017-м, в интернете начали появляться новые профили с никнеймами rbmm и alex short. С ними были связаны активные страницы на GitHub , Stack Overflow и OSR Online , которые разработчик использует до сих пор. Кроме того, в 2019 году он снова предлагал свои услуги под именем Alex S. на платформе Upwork, указывая местоположение — Львов. Позднее появились и другие профили: X *, LinkedIn (удалён), YouTube , блог . В описании профиля в X разработчик указывает участие в создании проектов Protectimus и StartMenuX, что подтверждает его дальнейшую ориентацию на легальное программирование.
Наиболее интересным из современных продуктов автора стал отладчик ядра Windows — инструмент, который ранее существовал под именем Z-Dbg, а с 2025 года получил обновлённое название YDbg и был опубликован на GitHub . В ранних сообщениях автора можно заметить, что он делился прототипами с другими разработчиками, что, вероятно, объясняет появление утечек старых сборок на VirusTotal. Судя по структуре файлов и функциональности, Z-Dbg был ориентирован на низкоуровневую диагностику и работу с символами ядра, поддерживая расширенные возможности для анализа драйверов и системных модулей. Видео с демонстрацией возможностей инструмента размещено на <span class="blocked-highlight" title="Соцсеть заблокирована на территории РФ">YouTube</span>-канале автора.
Особый интерес вызывают подписи к исполняемым файлам. В одном из установочных пакетов 2018 года содержались компоненты, включая 64-битную библиотеку tkn.dll, подписанную самоподписанным сертификатом 45cae3b9. Для её загрузки требовалось активировать тестовую подпись драйверов при старте Windows. В то же время 32-битная сборка от 2015 года показала иную картину: большинство файлов имели подпись «max black» — псевдоним, связанный с ранними периодами активности автора, — но одна библиотека, tkn.dll, была подписана действительным сертификатом Vertamedia, LLC.
Vertamedia (ныне Adtelligent) — компания, специализирующаяся на монетизации рекламы. Возникает закономерный вопрос: каким образом разработчик ZeroAccess получил доступ к сертификату этой фирмы? Возможных объяснений несколько — от кражи до личного участия в проектах компании или связи с её сотрудниками. Случайное совпадение исключается: ботнет, зарабатывавший на кликовых схемах, и сертификат рекламной платформы пересекаются слишком явно.
Сравнение различных сборок показывает эволюцию инструмента и трансформацию практик его автора. В последних версиях отладчика YDbg, размещённых на GitHub, все файлы подписаны действительными сертификатами компании dennisbabkin.com, LLC. Среди них — исполняемые модули DbgNew.exe, MemDump.exe, NtRegView.exe, SearchEx.exe и другие, собранные в период с 2021 по 2025 годы. Примечательно, что основной драйвер tkn.dll имеет подпись Microsoft Windows Hardware Compatibility Publisher, подтверждающую его сертификацию в рамках программы Microsoft WHCP. Это означает, что компонент был официально проверен на совместимость с Windows и может загружаться без включения тестового режима.
В совокупности всё указывает на то, что бывший создатель ZeroAccess не только отошёл от нелегальной деятельности, но и сумел легализовать свои разработки, получив доверие поставщиков цифровых сертификатов. В отличие от времён руткитов и бэкдоров , его современные инструменты соответствуют требованиям безопасности и могут использоваться специалистами по системному программированию и отладке драйверов.
Показательно, что с момента последнего упоминания о нём в 2016 году не обнаружено ни одной вредоносной программы, несущей его характерный код или структуру. С большой вероятностью он прекратил участие в теневых проектах и сосредоточился на легальном софте. Впрочем, сам автор по-прежнему избегает публикации личных данных и не раскрывает своё настоящее имя. По имеющимся сведениям, в 2018 году против него предпринимались попытки преследования со стороны американских следственных органов, однако дело до ареста не дошло.
Таким образом, судьба разработчика ZeroAccess демонстрирует редкий пример трансформации из автора одного из самых известных ботнетов начала 2010-х в создателя сертифицированных системных инструментов. Его путь отражает эволюцию отрасли: в эпоху, когда offensive security, симуляция APT и программы по поиску уязвимостей стали легальной альтернативой киберкриминалу, те, кто прежде писал руткиты, теперь создают отладчики и драйверы с подписью Microsoft.
<span style="font-size: 7pt;">* Социальная сеть запрещена на территории Российской Федерации.</span>
- Источник новости
- www.securitylab.ru
