Глава Group IB: русские хакеры считаются самыми меркантильными в мире

Генеральный директор компании Group IB  Илья Сачков
Взлом банковских счетов и публикация переписки знаменитостей - лишь итог бурной деятельности "хакерской кухни", которая скрыта от посторонних глаз. О том, почему русские хакеры считаются самыми меркантильными в мире, и почему в киберподполье доверие надежнее криптографии в интервью корреспонденту РИА Новости рассказал Илья Сачков - гендиректор компании Group IB, которая специализируется на расследовании киберпреступлений.

Новости о российских хакерах, похищающих из банков миллионы долларов и выставляющих на всеобщее обозрение скандальные детали переписки от имени политических деятелей, все чаще появляются на новостных лентах. Но эти громкие взломы лишь итог бурной деятельности "хакерской кухни", которая скрыта от посторонних глаз.

О том, почему русские хакеры считаются самыми меркантильными в мире, и почему в киберподполье доверие надежнее криптографии в интервью корреспонденту РИА Новости Ивану Шадрину рассказал Илья Сачков - генеральный директор компании Group IB, которая специализируется на расследовании киберпреступлений.

- Некоторое время назад бурное обсуждение в сети вызвал пост в одном из блогов о так называемом "теневом интернете", реализованном с помощью технологий анонимизации TOR и I2P. В публикации сообщалось о "теневых" сайтах, торгующих оружием, наркотиками и детской порнографией. Русские хакеры тоже обитают в пресловутом теневом интернете?

- Лично я думаю, что примеры сайтов, торгующих оружием и наркотиками из того нашумевшего поста блогера – это ресурсы, рассчитанные на совсем уж неопытных пользователей. Доверия со стороны киберпреступников к ним нет. Во-первых, архитектура TOR позволяет третьим лицам получать доступ к информации, которая проходит по этой сети якобы анонимно. Во-вторых, у хакеров есть гораздо более традиционный и проверенный способ взаимодействия – форумы.

- Закрытые хакерские форумы?

- Совсем закрытых в России практически нет. Как правило, это открытые форумы с большой закрытой частью. Открытые части доступны всем желающим, но там никто не станет всерьез обсуждать такие вопросы "как украсть миллион" или "как взломать популярный сайт". Для этого существуют закрытые разделы.

Самый крупный российский хакерский форум – antichat.ru. Он существует давно и был, можно сказать, первым на российской "сцене". Там функционирует определенная иерархия доступа: сначала пользователь более двух месяцев делится знаниями и наработками, публикует инструкции по взлому, активно участвует в жизни форума. Все это делается для того, чтобы заработать репутацию. Параллельно он может подать администратору закрытой группы заявку на регистрацию в приватном разделе "первого уровня". Заявка рассматривается членами этой группы, и на основании существующей репутации пользователя принимается решение о допуске. Дальше по аналогии – сделал что-то "полезное" в группе "первого уровня", можешь переходить на следующий уровень.

На уровнях выше, конечно, присутствуют более продвинутые пользователи – там уже обсуждаются взломы популярных порталов, сайтов компаний, банков.

Например, в 2006 году хакеры взломали антивирусную компанию Symantec и похитили исходные коды некоторых ее продуктов. В открытый доступ эти коды попали только на минувшей неделе, но в закрытых разделах самых популярных форумов эти данные появились практически сразу.

Сейчас в рунете около 30 основных форумов с закрытыми разделами, на которых общаются российские киберпреступники. Форумы делятся на специализации: DDoS, кардинг, взломы, спам и прочее. По каждой тематике примерно два-три форума. "Закрытость" разделов позволяет киберпреступникам относительно безопасно вести свой черный бизнес. Само собой, никто не станет открыто обсуждать конкретный заказ на атаку даже в закрытом разделе, но участники обсуждения могут обменяться контактами и продолжить общение другими способами.

При этом стоит отметить, что фундамент успешного существования этих сетевых сообществ – репутация и доверие, основанное на ней.

- Хакеры верят друг другу на слово?

- Отнюдь. В закрытую часть форума можно попасть несколькими путями. Во-первых, как я уже говорил, можно отправить заявку администраторам на одобрение.

Во-вторых, как это принято на других площадках, можно получить приглашение от других зарегистрированных участников, которые знают претендента. А можно и просто заплатить за доступ деньги. Но наиболее распространенный способ — поручительство со стороны нескольких действительных участников форума.

Последнее означает, что если хакер обманет кого-то из участников (например, скроется с предоплатой за какую-либо услугу), то поручитель материально отвечает за действия нарушителя. При этом репутация поручителя безвозвратно портится.

Для защиты от такого рода случаев администрация в обязательном порядке проверяет предоставляемые услуги, после чего продавец получает статус "проверенного". Также администрация может предложить участникам сделки выступить в качестве гаранта выполнения всех обязательств. Конечно, это делается не безвозмездно, а за небольшой процент.

Если пользователь выступает в качестве продавца софта или услуги, его репутация, как правило, складывается из отзывов покупателей и заказчиков услуги.

Они не ленятся писать отзывы об услугах того или иного пользователя в специальном разделе, и новые потенциальные клиенты всегда могут посмотреть всю историю отзывов на каждого продавца. Такой механизм формирования репутации стимулирует участников, что называется, не делать глупостей и дорожить мнением о себе.

Впрочем, такие правила действуют не на всех форумах, а на узкоспециализированных и очень небольших, с населением примерно в 500 активных пользователей.

Но эти 500 пользователей приходят туда с конкретной целью, быть наблюдателем там нельзя, а неактивность карается блокировкой аккаунта.

- Для чего такие драконовские правила?

- Для безопасности. Если какой-то аккаунт долго не используется, его могут взломать и на форуме может появиться посторонний. Вообще те, кто общается на этих форумах, делают все, чтобы скрыть свои преступные деяния. У большинства из таких закрытых хакерских форумов даже есть своя система цифровых сертификатов, которые используются как ключ для доступа на форум, помимо логина и пароля. Можно добыть пару логин-пароль, но цифровой сертификат – совсем другое дело. Как видите, эти люди крайне серьезно подходят к вопросам безопасности.

- И тем не менее случаются инциденты?

- Участники хакерских форумов часто враждуют между собой. У них что-то вроде командного духа – собираются, нападают на "вражеский" ресурс, взламывают его, публикуют где-нибудь на общедоступном тематическом ресурсе фотографии и личные данные пользователей взломанного форума. Потом следует ответная атака. Такое случается часто, но это все не слишком серьезные занятия – что-то вроде развлечений.

Гораздо более серьезными инцидентами являются случаи обмана заказчиков. Это случается повсеместно и обычно связано с "программистами" – теми, кто пишет вредоносный код. Допустим, мошенникам нужен троян под определенную систему интернет-банкинга, а вирусописатель берет предоплату и исчезает. Поскольку на таких форумах все рассчитывают на твою честность, перед началом работы исполнителю обычно выдается аванс. Четыре тысячи долларов, к примеру, он получил, а остальные шесть должен получить после выполнения задания, но он просто ничего не делает, ведь задаток и так у него в кармане, а сам он – всего лишь ник в сети. Но, как правило, нечестные хакеры, рассуждающие подобным образом, серьезно ошибаются.

Среди прочего на этих форумах можно заказать услугу поиска "кидалы". Специальные люди могут найти реального человека, скрывавшегося под сетевым ником. И даже по желанию заказчика наказать его.

- Это приводит к появлению местных "авторитетов"?

- Наличие хорошей репутации у поставщика определенных услуг приводит к появлению своеобразных монополистов. Путешествуя с форума на форум, хакеры, как правило, регистрируются под одним и тем же ником, чтобы лишний раз не доказывать свою надежность. Там все знают друг друга. Люди с хорошей репутацией специализируются, как правило, на чем-то одном. И если спрашивать у "местных", кто лучший в том или ином виде деятельности, тебе будут называть одни и те же имена.

Хотя и существование таких монополистов, конечно, не вечно. Люди очень редко подолгу задерживаются в этом нелегальном бизнесе. Был случай, человек держал крупный кардерский форум. В один прекрасный момент он решил закрыть ресурс и открыть автосервис. Так и поступил.

Кроме того, нельзя полностью исключать фактор недобросовестной конкуренции. Например, существовал сервис по продаже виртуальных сетей (VPN) и Socks-серверов – средств обеспечения анонимности. Он был очень популярным, можно сказать, его владельцы были монополистами. Около полугода назад неизвестные конкуренты взломали их серверы анонимного доступа, опубликовали базу имен пользователей и другие данные о тех, кто пользовался их услугами, и все – бизнес разрушен.

- Какого уровня должны быть профессиональные знания хакера, чтобы он мог начать преступный бизнес?

- Особенность киберпреступного мира заключается в том, что этот уровень может быть практически нулевым. На этих форумах можно купить все для того, чтобы создать практически любой хакерский бизнес с нуля.

Например, услуги по организации DDoS-атак. Киберпреступник попадает через поручителей на форум, покупает необходимую программу. После этого ему нужно ее распространить на достаточное количество компьютеров для создания ботсети. Для этого он покупает нужное количество так называемых "загрузок". И вот у киберпреступника за его личные деньги появляется собственная ботсеть. Потом он обращается к программисту и заказывает у него панель управления ботнетом.

После этого преступник уже может предлагать свои услуги – точно так же, как и его "коллеги" размещать объявления на форумах – закрытых и открытых. Кроме того, можно заплатить за услуги обучения. За определенную сумму новичка могут научить организовывать атаки, а могут и все сделать самостоятельно, а заказчику останется только распорядиться выручкой. Все зависит от размера "входного" капитала и желания вникать в тонкости. Разумеется, все дополнительные услуги оказываются за деньги и прямо влияют на то, сколько осядет в итоге в кармане владельца ботсети.

- Помимо написания вирусов, заказа DDoS-атак, спам-рассылок, на чем еще зарабатывают хакеры?

- Обычным делом на таких форумах являются объявления о продаже поддельных документов. Заказать можно практически любой документ, практически для любой страны. Учитывается срочность изготовления, необходимый срок легитимности документа – то есть время, в течение которого местные паспортные службы не заподозрят неладного.

Также популярны услуги по подтверждению личности. Всякий раз, когда мошеннику требуется подтвердить личность человека, за которого он себя выдает, например, при осуществлении списания крупной суммы денег с платежной карты или регистрации доменного имени, эти компании помогают: отвечают на звонки и говорят с немецким акцентом, если по легенде преступник выступает в роли немца, делают и отсылают фальшивые сканы документов - подтверждают любую легенду злоумышленника.

Также высок спрос на инсайдерскую информацию. Люди ищут полную информацию о банке, включая состав службы безопасности, план телекоммуникационных сетей, используемые антивирусные решения и график банковских рейсов. Вся эта информация необходима для реализации мошенничеств в системах интернет-банкинга. Такие услуги стоят индивидуально и очень дорого, потому что работа чаще всего заключается в поиске инсайдера в самом банке, который раздобудет все данные. Соответственно заказчики обычно не участвуют в общих обсуждениях, а просто публикуют объявление и снимают его, когда находят нужных людей.

- То, о чем вы рассказываете, относится ко всем хакерам или к русским? Есть ли разница?

- Есть. Довольно большая. Ее можно увидеть на примере американских, турецких и русских хакеров.

Американцы работают больше в исследовательском ключе: взламывают ради проверки собственных сил и возможностей. Американский хакер – это как в кино: человек, наделенный выдающимися способностями, который ставит себе задачу – "смогу или нет взломать новую систему или вон тот сайт?". Если оказывается что может, он в открытую объявит об этом в своем блоге, а потом через некоторое время, возможно, станет сотрудником крупной компании или ее консультантом. Хакерство там – своего род способ заявить о себе как о высококлассном специалисте. И это тоже работа на репутацию.

Поведение турецких хакеров мотивировано в основном широким общественным резонансом. Они, как правило, не ищут коммерческой выгоды, им, что называется, лишь бы навредить. Допустим, русские хакеры работают группами по два-три человека с четким разделением труда. Один, например, веб-мастер, другой – спам рассылает, третий осуществляет DDoS-атаку. Турки просто собираются группой человек в 15 и организовывают атаку на какой-нибудь крупный сайт, чтобы потом везде раструбить, мол, "Это мы взломали тот сайт!". Они - специалисты в различных эффектных, но коммерчески бесполезных взломах.

И американские, и турецкие хакеры тоже стараются зарабатывать, но не в первую очередь. Русские же все пытаются "пустить в дело".

Русские в основном пользуются чужими трудами: они узнали на закрытом форуме, что та или иная система взломана, и сразу думают о том, как из этого получить деньги. Сначала это обсуждается на закрытых форумах, потом – кто поумней – начинает по этой теме работать.

Кстати, на русских хакеров похожи бразильцы – те тоже "заточены" на хищение денег. При этом, хотя принято считать, что кибепреступления – зло без национальности, русские хакеры иногда проявляют своеобразные патриотические черты.

Например, некоторые DDoS-боты содержат инструкцию, которая запрещает атаковать российские сайты. Нельзя сказать, что у русских хакеров есть какой-то кодекс чести, но если ты взломаешь и обчистишь какой-нибудь фонд помощи детям, больным раком, никто не отнесется к этому как к подвигу.

Недавно был случай, когда кто-то из участников закрытых форумов опубликовал ссылку на сайт одного педофила. Среди обнаруженного там контента нашли фотографии русских детей. Сайт был взломан, подвергнут DDos-атаке, а данные о его владельце и доказательства его преступлений попали в открытый доступ.

Но все же не стоит забывать, что они все равно преступники, с которыми надо бороться. И мы продолжим это делать.

Интервью

Партнеры





Наверх
Авторизация
He правильное имя пользователя или пароль
Войти через социальные сети
Регистрация
E-mail
Пароль
Подтверждение пароля
Введите код с картинки
He правильное имя пользователя или пароль
* Все поля обязательны к заполнению
Восстановление пароля
E-mail
Инструкции для восстановления пароля высланы на
Смена региона
Идет загрузка...
Произошла ошибка... Повторить
правила комментирования материалов

Регистрация пользователя в сервисе РИА Клуб на сайте Ria.Ru и авторизация на других сайтах медиагруппы МИА «Россия сегодня» при помощи аккаунта или аккаунтов пользователя в социальных сетях обозначает согласие с данными правилами.

Пользователь обязуется своими действиями не нарушать действующее законодательство Российской Федерации.

Пользователь обязуется высказываться уважительно по отношению к другим участникам дискуссии, читателям и лицам, фигурирующим в материалах.

Публикуются комментарии только на тех языках, на которых представлено основное содержание материала, под которым пользователь размещает комментарий.

На сайтах медиагруппы МИА «Россия сегодня» может осуществляться редактирование комментариев, в том числе и предварительное. Это означает, что модератор проверяет соответствие комментариев данным правилам после того, как комментарий был опубликован автором и стал доступен другим пользователям, а также до того, как комментарий стал доступен другим пользователям.

Комментарий пользователя будет удален, если он:

  • не соответствует тематике страницы;
  • пропагандирует ненависть, дискриминацию по расовому, этническому, половому, религиозному, социальному признакам, ущемляет права меньшинств;
  • нарушает права несовершеннолетних, причиняет им вред в любой форме;
  • содержит идеи экстремистского и террористического характера, призывает к насильственному изменению конституционного строя Российской Федерации;
  • содержит оскорбления, угрозы в адрес других пользователей, конкретных лиц или организаций, порочит честь и достоинство или подрывает их деловую репутацию;
  • содержит оскорбления или сообщения, выражающие неуважение в адрес МИА «Россия сегодня» или сотрудников агентства;
  • нарушает неприкосновенность частной жизни, распространяет персональные данные третьих лиц без их согласия, раскрывает тайну переписки;
  • содержит ссылки на сцены насилия, жестокого обращения с животными;
  • содержит информацию о способах суицида, подстрекает к самоубийству;
  • преследует коммерческие цели, содержит ненадлежащую рекламу, незаконную политическую рекламу или ссылки на другие сетевые ресурсы, содержащие такую информацию;
  • имеет непристойное содержание, содержит нецензурную лексику и её производные, а также намёки на употребление лексических единиц, подпадающих под это определение;
  • содержит спам, рекламирует распространение спама, сервисы массовой рассылки сообщений и ресурсы для заработка в интернете;
  • рекламирует употребление наркотических/психотропных препаратов, содержит информацию об их изготовлении и употреблении;
  • содержит ссылки на вирусы и вредоносное программное обеспечение;
  • является частью акции, при которой поступает большое количество комментариев с идентичным или схожим содержанием («флешмоб»);
  • автор злоупотребляет написанием большого количества малосодержательных сообщений, или смысл текста трудно либо невозможно уловить («флуд»);
  • автор нарушает сетевой этикет, проявляя формы агрессивного, издевательского и оскорбительного поведения («троллинг»);
  • автор проявляет неуважение к русскому языку, текст написан по-русски с использованием латиницы, целиком или преимущественно набран заглавными буквами или не разбит на предложения.

Пожалуйста, пишите грамотно — комментарии, в которых проявляется пренебрежение правилами и нормами русского языка, могут блокироваться вне зависимости от содержания.

Администрация имеет право без предупреждения заблокировать пользователю доступ к странице в случае систематического нарушения или однократного грубого нарушения участником правил комментирования.

Пользователь может инициировать восстановление своего доступа, написав письмо на адрес электронной почты moderator@rian.ru

В письме должны быть указаны:

  • Тема – восстановление доступа
  • Логин пользователя
  • Объяснения причин действий, которые были нарушением вышеперечисленных правил и повлекли за собой блокировку.

Если модераторы сочтут возможным восстановление доступа, то это будет сделано.

В случае повторного нарушения правил и повторной блокировки доступ пользователю не может быть восстановлен, блокировка в таком случае является полной.

Чтобы связаться с командой модераторов, используйте адрес электронной почты moderator@rian.ru или воспользуйтесь формой обратной связи.