Новости о российских хакерах, похищающих из банков миллионы долларов и выставляющих на всеобщее обозрение скандальные детали переписки от имени политических деятелей, все чаще появляются на новостных лентах. Но эти громкие взломы лишь итог бурной деятельности "хакерской кухни", которая скрыта от посторонних глаз.
О том, почему русские хакеры считаются самыми меркантильными в мире, и почему в киберподполье доверие надежнее криптографии в интервью корреспонденту РИА Новости Ивану Шадрину рассказал Илья Сачков - генеральный директор компании Group IB, которая специализируется на расследовании киберпреступлений.
- Некоторое время назад бурное обсуждение в сети вызвал пост в одном из блогов о так называемом "теневом интернете", реализованном с помощью технологий анонимизации TOR и I2P. В публикации сообщалось о "теневых" сайтах, торгующих оружием, наркотиками и детской порнографией. Русские хакеры тоже обитают в пресловутом теневом интернете?
- Лично я думаю, что примеры сайтов, торгующих оружием и наркотиками из того нашумевшего поста блогера – это ресурсы, рассчитанные на совсем уж неопытных пользователей. Доверия со стороны киберпреступников к ним нет. Во-первых, архитектура TOR позволяет третьим лицам получать доступ к информации, которая проходит по этой сети якобы анонимно. Во-вторых, у хакеров есть гораздо более традиционный и проверенный способ взаимодействия – форумы.
- Закрытые хакерские форумы?
- Совсем закрытых в России практически нет. Как правило, это открытые форумы с большой закрытой частью. Открытые части доступны всем желающим, но там никто не станет всерьез обсуждать такие вопросы "как украсть миллион" или "как взломать популярный сайт". Для этого существуют закрытые разделы.
Самый крупный российский хакерский форум – antichat.ru. Он существует давно и был, можно сказать, первым на российской "сцене". Там функционирует определенная иерархия доступа: сначала пользователь более двух месяцев делится знаниями и наработками, публикует инструкции по взлому, активно участвует в жизни форума. Все это делается для того, чтобы заработать репутацию. Параллельно он может подать администратору закрытой группы заявку на регистрацию в приватном разделе "первого уровня". Заявка рассматривается членами этой группы, и на основании существующей репутации пользователя принимается решение о допуске. Дальше по аналогии – сделал что-то "полезное" в группе "первого уровня", можешь переходить на следующий уровень.
На уровнях выше, конечно, присутствуют более продвинутые пользователи – там уже обсуждаются взломы популярных порталов, сайтов компаний, банков.
Сейчас в рунете около 30 основных форумов с закрытыми разделами, на которых общаются российские киберпреступники. Форумы делятся на специализации: DDoS, кардинг, взломы, спам и прочее. По каждой тематике примерно два-три форума. "Закрытость" разделов позволяет киберпреступникам относительно безопасно вести свой черный бизнес. Само собой, никто не станет открыто обсуждать конкретный заказ на атаку даже в закрытом разделе, но участники обсуждения могут обменяться контактами и продолжить общение другими способами.
При этом стоит отметить, что фундамент успешного существования этих сетевых сообществ – репутация и доверие, основанное на ней.
- Хакеры верят друг другу на слово?
- Отнюдь. В закрытую часть форума можно попасть несколькими путями. Во-первых, как я уже говорил, можно отправить заявку администраторам на одобрение.
Во-вторых, как это принято на других площадках, можно получить приглашение от других зарегистрированных участников, которые знают претендента. А можно и просто заплатить за доступ деньги. Но наиболее распространенный способ — поручительство со стороны нескольких действительных участников форума.
Последнее означает, что если хакер обманет кого-то из участников (например, скроется с предоплатой за какую-либо услугу), то поручитель материально отвечает за действия нарушителя. При этом репутация поручителя безвозвратно портится.
Для защиты от такого рода случаев администрация в обязательном порядке проверяет предоставляемые услуги, после чего продавец получает статус "проверенного". Также администрация может предложить участникам сделки выступить в качестве гаранта выполнения всех обязательств. Конечно, это делается не безвозмездно, а за небольшой процент.
Если пользователь выступает в качестве продавца софта или услуги, его репутация, как правило, складывается из отзывов покупателей и заказчиков услуги.
Они не ленятся писать отзывы об услугах того или иного пользователя в специальном разделе, и новые потенциальные клиенты всегда могут посмотреть всю историю отзывов на каждого продавца. Такой механизм формирования репутации стимулирует участников, что называется, не делать глупостей и дорожить мнением о себе.
Впрочем, такие правила действуют не на всех форумах, а на узкоспециализированных и очень небольших, с населением примерно в 500 активных пользователей.
Но эти 500 пользователей приходят туда с конкретной целью, быть наблюдателем там нельзя, а неактивность карается блокировкой аккаунта.
- Для чего такие драконовские правила?
- Для безопасности. Если какой-то аккаунт долго не используется, его могут взломать и на форуме может появиться посторонний. Вообще те, кто общается на этих форумах, делают все, чтобы скрыть свои преступные деяния. У большинства из таких закрытых хакерских форумов даже есть своя система цифровых сертификатов, которые используются как ключ для доступа на форум, помимо логина и пароля. Можно добыть пару логин-пароль, но цифровой сертификат – совсем другое дело. Как видите, эти люди крайне серьезно подходят к вопросам безопасности.
- И тем не менее случаются инциденты?
- Участники хакерских форумов часто враждуют между собой. У них что-то вроде командного духа – собираются, нападают на "вражеский" ресурс, взламывают его, публикуют где-нибудь на общедоступном тематическом ресурсе фотографии и личные данные пользователей взломанного форума. Потом следует ответная атака. Такое случается часто, но это все не слишком серьезные занятия – что-то вроде развлечений.
Гораздо более серьезными инцидентами являются случаи обмана заказчиков. Это случается повсеместно и обычно связано с "программистами" – теми, кто пишет вредоносный код. Допустим, мошенникам нужен троян под определенную систему интернет-банкинга, а вирусописатель берет предоплату и исчезает. Поскольку на таких форумах все рассчитывают на твою честность, перед началом работы исполнителю обычно выдается аванс. Четыре тысячи долларов, к примеру, он получил, а остальные шесть должен получить после выполнения задания, но он просто ничего не делает, ведь задаток и так у него в кармане, а сам он – всего лишь ник в сети. Но, как правило, нечестные хакеры, рассуждающие подобным образом, серьезно ошибаются.
Среди прочего на этих форумах можно заказать услугу поиска "кидалы". Специальные люди могут найти реального человека, скрывавшегося под сетевым ником. И даже по желанию заказчика наказать его.
- Это приводит к появлению местных "авторитетов"?
- Наличие хорошей репутации у поставщика определенных услуг приводит к появлению своеобразных монополистов. Путешествуя с форума на форум, хакеры, как правило, регистрируются под одним и тем же ником, чтобы лишний раз не доказывать свою надежность. Там все знают друг друга. Люди с хорошей репутацией специализируются, как правило, на чем-то одном. И если спрашивать у "местных", кто лучший в том или ином виде деятельности, тебе будут называть одни и те же имена.
Хотя и существование таких монополистов, конечно, не вечно. Люди очень редко подолгу задерживаются в этом нелегальном бизнесе. Был случай, человек держал крупный кардерский форум. В один прекрасный момент он решил закрыть ресурс и открыть автосервис. Так и поступил.
Кроме того, нельзя полностью исключать фактор недобросовестной конкуренции. Например, существовал сервис по продаже виртуальных сетей (VPN) и Socks-серверов – средств обеспечения анонимности. Он был очень популярным, можно сказать, его владельцы были монополистами. Около полугода назад неизвестные конкуренты взломали их серверы анонимного доступа, опубликовали базу имен пользователей и другие данные о тех, кто пользовался их услугами, и все – бизнес разрушен.
- Какого уровня должны быть профессиональные знания хакера, чтобы он мог начать преступный бизнес?
- Особенность киберпреступного мира заключается в том, что этот уровень может быть практически нулевым. На этих форумах можно купить все для того, чтобы создать практически любой хакерский бизнес с нуля.
Например, услуги по организации DDoS-атак. Киберпреступник попадает через поручителей на форум, покупает необходимую программу. После этого ему нужно ее распространить на достаточное количество компьютеров для создания ботсети. Для этого он покупает нужное количество так называемых "загрузок". И вот у киберпреступника за его личные деньги появляется собственная ботсеть. Потом он обращается к программисту и заказывает у него панель управления ботнетом.
После этого преступник уже может предлагать свои услуги – точно так же, как и его "коллеги" размещать объявления на форумах – закрытых и открытых. Кроме того, можно заплатить за услуги обучения. За определенную сумму новичка могут научить организовывать атаки, а могут и все сделать самостоятельно, а заказчику останется только распорядиться выручкой. Все зависит от размера "входного" капитала и желания вникать в тонкости. Разумеется, все дополнительные услуги оказываются за деньги и прямо влияют на то, сколько осядет в итоге в кармане владельца ботсети.
- Помимо написания вирусов, заказа DDoS-атак, спам-рассылок, на чем еще зарабатывают хакеры?
- Обычным делом на таких форумах являются объявления о продаже поддельных документов. Заказать можно практически любой документ, практически для любой страны. Учитывается срочность изготовления, необходимый срок легитимности документа – то есть время, в течение которого местные паспортные службы не заподозрят неладного.
Также популярны услуги по подтверждению личности. Всякий раз, когда мошеннику требуется подтвердить личность человека, за которого он себя выдает, например, при осуществлении списания крупной суммы денег с платежной карты или регистрации доменного имени, эти компании помогают: отвечают на звонки и говорят с немецким акцентом, если по легенде преступник выступает в роли немца, делают и отсылают фальшивые сканы документов - подтверждают любую легенду злоумышленника.
Также высок спрос на инсайдерскую информацию. Люди ищут полную информацию о банке, включая состав службы безопасности, план телекоммуникационных сетей, используемые антивирусные решения и график банковских рейсов. Вся эта информация необходима для реализации мошенничеств в системах интернет-банкинга. Такие услуги стоят индивидуально и очень дорого, потому что работа чаще всего заключается в поиске инсайдера в самом банке, который раздобудет все данные. Соответственно заказчики обычно не участвуют в общих обсуждениях, а просто публикуют объявление и снимают его, когда находят нужных людей.
- То, о чем вы рассказываете, относится ко всем хакерам или к русским? Есть ли разница?
- Есть. Довольно большая. Ее можно увидеть на примере американских, турецких и русских хакеров.
Американцы работают больше в исследовательском ключе: взламывают ради проверки собственных сил и возможностей. Американский хакер – это как в кино: человек, наделенный выдающимися способностями, который ставит себе задачу – "смогу или нет взломать новую систему или вон тот сайт?". Если оказывается что может, он в открытую объявит об этом в своем блоге, а потом через некоторое время, возможно, станет сотрудником крупной компании или ее консультантом. Хакерство там – своего род способ заявить о себе как о высококлассном специалисте. И это тоже работа на репутацию.
Поведение турецких хакеров мотивировано в основном широким общественным резонансом. Они, как правило, не ищут коммерческой выгоды, им, что называется, лишь бы навредить. Допустим, русские хакеры работают группами по два-три человека с четким разделением труда. Один, например, веб-мастер, другой – спам рассылает, третий осуществляет DDoS-атаку. Турки просто собираются группой человек в 15 и организовывают атаку на какой-нибудь крупный сайт, чтобы потом везде раструбить, мол, "Это мы взломали тот сайт!". Они - специалисты в различных эффектных, но коммерчески бесполезных взломах.
И американские, и турецкие хакеры тоже стараются зарабатывать, но не в первую очередь. Русские же все пытаются "пустить в дело".
Русские в основном пользуются чужими трудами: они узнали на закрытом форуме, что та или иная система взломана, и сразу думают о том, как из этого получить деньги. Сначала это обсуждается на закрытых форумах, потом – кто поумней – начинает по этой теме работать.
Кстати, на русских хакеров похожи бразильцы – те тоже "заточены" на хищение денег. При этом, хотя принято считать, что кибепреступления – зло без национальности, русские хакеры иногда проявляют своеобразные патриотические черты.
Например, некоторые DDoS-боты содержат инструкцию, которая запрещает атаковать российские сайты. Нельзя сказать, что у русских хакеров есть какой-то кодекс чести, но если ты взломаешь и обчистишь какой-нибудь фонд помощи детям, больным раком, никто не отнесется к этому как к подвигу.
Недавно был случай, когда кто-то из участников закрытых форумов опубликовал ссылку на сайт одного педофила. Среди обнаруженного там контента нашли фотографии русских детей. Сайт был взломан, подвергнут DDos-атаке, а данные о его владельце и доказательства его преступлений попали в открытый доступ.
Но все же не стоит забывать, что они все равно преступники, с которыми надо бороться. И мы продолжим это делать.