US-Staatsanwälte haben den russischen Staatsbürger Maxim Rudometov wegen seiner angeblichen Beteiligung an der Entwicklung und Verbreitung der berüchtigten Redline-Malware zum Diebstahl von Passwörtern angeklagt.
Die Anklage wurde im Rahmen der „Operation Magnus“ bekannt gegeben, die am Montag erstmals von der niederländischen Nationalpolizei bekannt gegeben wurde. Bei dieser seit Jahren laufenden Operation haben internationale Strafverfolgungsbehörden die Infrastruktur von Redline und Meta demontiert, zwei weitverbreiteten Malware-Stämmen, die zum Diebstahl sensibler Informationen von Millionen von Menschen eingesetzt wurden.
Eine am Dienstag entsiegelte Beschwerde enthüllte, wie eine Reihe von Betriebssicherheitsfehlern – oder „Opsec“ – dazu führten, dass die Behörden Rudometov identifizierten. Der Anklageschrift zufolge nutzte Rudometov ein den Strafverfolgungsbehörden bekanntes Yandex-E-Mail-Konto, um Konten in russischsprachigen Hacking-Foren zu registrieren, wo er eine Handvoll Spitznamen verwendete, die auf anderen Plattformen wie Skype und iCloud wiederverwendet wurden.
US-Behörden geben an, dass sie Dateien aus Rudometovs iCloud-Konto abrufen konnten, darunter „zahlreiche Dateien, die von Antiviren-Engines als Malware identifiziert wurden, darunter mindestens eine, bei der es sich … um Redline handelte“.
Dieselbe Yandex-E-Mail-Adresse wurde der Beschwerde zufolge auch von Rudometov verwendet, um ein öffentlich sichtbares Profil im russischen sozialen Netzwerk VK zu erstellen. Die Strafverfolgungsbehörden stellten fest, dass Rudometov „eine große Ähnlichkeit“ mit einer Person aufwies, die in einer Werbung abgebildet war, die in einem früheren Blogbeitrag über Redline gefunden wurde. Die Werbung förderte die Fähigkeiten der Person im „Schreiben von Botnets und Stealern“.
Der Beschwerde zufolge verwendete Rudemetov angeblich auch einen seiner Hacking-Spitznamen – „Ghacking“ – auf der Dating-Website von VK.
Nachdem sie im August 2021 einen Hinweis von einer namentlich nicht genannten Sicherheitsfirma erhalten hatten, erwirkten die US-Behörden einen Durchsuchungsbefehl zur Analyse der auf einem der von Redline genutzten Server gefundenen Daten, der zusätzliche Informationen lieferte – darunter IP-Adressen und eine bei demselben Yandex registrierte Binance-Adresse Konto – Rudometov wird mit der Entwicklung und dem Einsatz des berüchtigten Infostealers in Verbindung gebracht.
„Rudometov hat regelmäßig auf die Infrastruktur von Redline Infostealer zugegriffen und diese verwaltet, war mit verschiedenen Kryptowährungskonten verbunden, die zum Empfangen und Waschen von Zahlungen verwendet wurden, und war im Besitz von Redline-Malware“, sagte das DOJ am Dienstag. Die Beschwerde ergab, dass Redline seit Februar 2020 zur Infektion von Millionen Computern auf der ganzen Welt eingesetzt wurde, darunter „mehrere Hundert“ Maschinen, die vom US-Verteidigungsministerium verwendet werden.
Es ist noch nicht bekannt, ob Rudometov verhaftet wurde. Im Falle einer Verurteilung drohen ihm bis zu 35 Jahre Gefängnis.
Europol und die niederländische Polizei gaben am Dienstag außerdem weitere Informationen über die Operation Magnus bekannt und enthüllten, dass in den Niederlanden drei Server offline geschaltet und zwei von Redline und Meta für Befehls- und Kontrolloperationen genutzte Domänen beschlagnahmt wurden.
Die Behörden haben außerdem mehrere mit der Schadsoftware in Verbindung stehende Telegram-Konten gesperrt, was „dazu geführt hat, dass der Verkauf der Stealer gestoppt wurde“, und zwei weitere Personen – darunter ein Kunde der Schadsoftware – wurden in Belgien festgenommen.