Скромный образ жизни хакера не означает малый доход.
«Выдающимся» хакером называют задержанного пару недель назад в Речице 33-летнего Сергея Ярца. Человек, против которого ФБР и СК провели совместную операцию, был идентифицирован экспертами по кибербезопасности из компании Recorded Future. Долгие годы он скрывался под ником Ar3s и стоял за крупнейшим и старейшим ботнетом Andromeda.
Как простые парни из Речицы становятся известными на весь мир хакерами и о первых правилах кибербезопасности рассказывает «Радыё Свабода» директор отдела передовых разработок Recorded Future Андрей Борисевич.
Зачем хакеры заражают наши компьютеры
— Что такое Andromeda, которую обслуживал белорусский хакер из Речицы?
— Andromeda — ботнет. Это большая сеть зараженных компьютеров по всему миру, подконтрольная или одному человеку, или криминальной структуре. Для управления всей сетью или отдельными компьютерами в ней существует единая контрольная панель. Через нее можно на зараженный компьютер направлять предписания — например, установить вредное программное обеспечение или начать рассылку спама через электронную почту.
Наиболее распространенный способ использования зараженных компьютеров — элементарная кража персональных данных пользователей. На компьютер устанавливается keylogger — специальная программа, которая перехватывает все, что печатается на клавиатуре. Если человек заходит в свой банковский счет через мобильник, вводит пароль, эта информация перехватывается и направляется злоумышленнику. Доступ к отдельным зараженным компьютерам могут продавать другим злоумышленникам.
Как пользуются данными? Один из способов — незаконная покупка в интернет-магазине. Современные интернет-магазины борются с хакерскими преступлениями давно и успешно, так как их достаточно легко распознать. Например, если кто-то заходит в магазин с IP другой страны. Чтобы это обойти, злоумышленник получает доступ к случайному компьютеру в США, заходит с него на сайт того же Amazon или PayPal и делает незаконную транзакцию. Интернет-магазин, платежная система или банк видит это как транзакцию из привычной страны.
Но способов использовать зараженные компьютеры очень много. Практически любое киберпреступление, о котором мы слышим — или украли деньги с банковского счета, или злоумышленники получают доступ к сетям финансовых учреждений и воруют деньги просто у банков, или воруют деньги у людей с компьютеров, из электронных кошельков, криптовалюту и так далее, личные данные — все это, как правило, делается через создание ботнета.
Тот, кто контролирует эту сеть, безусловно, и зарабатывает достаточно много, и наносит очень существенный вред.
— Если почти каждая сфера нашей жизни уже диджитилизирована, можно ли говорить, что каждый из нас столкнется с киберпреступлением?
— Это действительно огромная проблема, и она появилась не сегодня и не вчера. Ботнеты такого масштаба, как Andromeda, начали появляться 10-15 лет назад. Для криминального мира это что-то повседневное. Есть определенные группы риска, у которых вероятность столкнуться с такой проблемой самая высокая. Прежде всего, это пользователи Windows, потому что большинство вредного софта пишется для Windows или Android, если говорить о мобильных телефонах.
Исторически сложилось, что пользователей макбуков и айфонов злоумышленники практически не атакуют. Прежде всего потому, что продукция Apple наиболее защищена и менее уязвима к внешним угрозам. А во-вторых, просто потому, что устройств на Windows и Android намного больше, чем от Apple. Для злоумышленников количество потенциальных жертв намного важнее качества.
Практически любой человек рано или поздно попадется на крючок злоумышленников. Это не означает, что будут атаковать лично вас. Скорее всего, это произойдет через массовое заражение. Но рано или поздно вашу информацию кому-то продадут.
Обычные граждане уже давно несут большие финансовые потери. Ряды киберпреступников растут. Если еще 5 лет назад было негласное правило среди киберпреступников не атаковать граждан из пространства СНГ, то сейчас на это все закрывают глаза. Мы видим, что не прекращаются атаки на белорусские, российские, украинские банки, финансовые учреждения. Такие атаки бывают довольно успешнми, когда из банков похищаются десятки миллионов долларов. Постоянно пытаются распространять вирусы-вымогатели (ransomware). Такой вирус блокирует доступ к вашему девайсу и требует от вас выкуп за возвращение данных.
Статистика — вещь упрямая, и она показывает, что рано или поздно каждый столкнется с такой проблемой.
На чем попался речицкий хакер
— Что такого исключительного в личности речицкого хакера? И как мог такой авторитетный в мире киберпреступности человек попасться на том, что ICQ был зарегистрирован на реальный номер МТС?
— Определить, кто стоит за этим ником, на самом деле не стало большой проблемой. Потребовалось всего несколько дней. Мы это сделали приблизительно за полгода до его ареста.
Как правило, люди делают такие ошибки в самом начале своей криминальной карьеры, когда они еще молодые, незнающие. Делают незначительные ляпы, а они остаются в интернете навсегда. Нужно только время и немного усилий, чтобы заглянуть немного дальше во времени — и можно найти моменты, когда киберпреступник либо воспользовался своим настоящим номером телефона, либо применил ник, под которым когда-то давно зарегистрировался в социальной сети, потенциально засветив свой фотоснимок или даже имя.
Киберпреступники, особенно неопытные, часто пользуются настоящим скайпом. А для правоохранительных органов нет никакой сложности получить доступ для записи скайпа.
В нашем случае этот персонаж так и сделал. Еще до начала криминальной карьеры он коммуницировал в кругах программистов, часто задавал вопросы на различных форумах неуголовной направленности. Оставлял свои данные при регистрации на форумах, настоящий год рождения, e-mail, а в одном месте ICQ, которым продолжал пользоваться много лет, после перехода «на темную сторону».
Как задерживали белорусского хакера
Часто случается, что это достаточно простые люди, с которыми живешь в соседнем доме и не можешь представить, что это один из самых известных хакеров, которого ищут по всему миру. Далеко за примерами ходить не надо. Есть молодой человек из Англии Маркус Хатчинса, которого ФБР арестовало летом. Он уже был известен как один из самых уважаемых специалистов по кибербезопасности в мире. Он остановил распространение вируса WannaCry, который в то время с огромной скоростью атаковал Россию, Украину, страны Европы. Его считали героем. А через месяц-два его арестовало ФБР по подозрению в распространении одного из самых мощных троянов, который расходился по уголовным форумам и в уголовном андерграунде.
Если вернуться к нашему персонажу, то мы выяснили, что он с 2004 года был администратором одного из самых уважаемых криминальных форумов технической направленности. Уголовные форумы бывают разных видов. Есть те, где большинство занимается кардингом — похищением денег с кредитных карточек, банковских счетов, взломом интернет-магазинов.
А есть форумы технической направленности, где обсуждают наиболее современное вредоносное программное обеспечение (malware), продают его, занимаются всем, что связано с его поддержкой. Именно такой форум вел Ar3s, наш Сергей Ярец. Он был главным администратором, причем одним из самых известных в криминальном окружении специалистов. Ведь даже если на других площадках являлось новое вредоносное программное обеспечение (ПО), его приглашали как независимого эксперта. Он получал доступ к новой версии ПО, исследовал, тестировал и выносил свой вердикт. Если Ярец. говорил, что ПО работает, как заявлено, то успех этого продукта был предопределен. Тогда продажи этих вредных программ шли «на ура», и никаких сомнений насчет него у уголовников уже не возникало.
«Скромный образ жизни хакера не означает малый доход»
— Если эти форумы существуют настолько публично, да и сам парень вел достаточно открытый образ жизни — взять хотя бы его активный Twitter — то в какой момент этот интерес к вредному ПО делается преступлением?
— В тот момент, когда люди приходят и задают о нем вопрос, и при этом всем понятно, что конечная цель — нанести вред либо лицам, либо организациям. Часто новички выпускают на продажу свое вирусное ПО и почему-то считают, что если они пишут в договоре, что ПО «разработано и продается исключительно в исследовательских целях», то это их каким-то образом спасти. Да, хакер может написать: мое ПО не предназначено для атак на людей и организации. Но все понимают, что оно распространяется на хакерских форумах, за это берутся деньги. Известно, что оно будет использоваться для атак на обычных граждан. Это уже преступление. Это не защищает в будущем хакеров от уголовного преследования.
— Сколько С. мог на этом зарабатывать? Его знакомые не верят в такую «блестящую» карьеру и говорят, что парень жил очень скромно.
— Если я не ошибаюсь, сама лицензия стоила 2000 долл. Но этот конкретный ботнет состоит из двух элементов: контрольная панель, позволяющая управлять всеми зараженными компьютерами, и вторая часть — так называемый payload, то есть сам вредный файл, который будет отправляться на компьютер — объект атаки. Например, это может быть вложение в электронное письмо, которое выглядит как безобидный формата .jpg файл. Вы его кликаете, и ваш компьютер заражается.
Антивирусные программы очень быстро учатся распознавать такие вредные документы. И чтобы такое ПО эффективно работало, их нужно постоянно чистить. Это и называется поддержка. И это одна из услуг, которые оказывал Ar3s. За это он получал 50 долларов. При широченном распространении вредоносного ПО это нужно делать практически ежедневно. Купив лицензию за 2000 долларов, нужно еще 1500 ежемесячно отдавать на поддержку.
Поэтому, думаю, скромный образ жизни Сергея не означает, что у него был маленький доход. У него была легальная работа, в глазах многих людей он был обычным гражданином, но при этом занимался еще и уголовными делами. И очень много лет.
«В том, что общество не видит в хакерах больших преступников, есть заслуга Голливуда»
— Сколько в Беларуси может быть таких хакеров?
— Было очень много, так как техническое образование в Беларуси — одно из лучших в мире. Но много «талантливых» хакеров уехали в свое время в более безопасные для них места. В том числе в Россию, Украину, так как в Беларуси правоохранительные органы в отношении их намного более профессионально действовали. Общеизвестно, что в Беларуси сложно дать взятку, отбиться от уголовного преследования. А в соседних странах это сплошь.
— Как вы относитесь к тому, что хакеры до сих пор считаются чуть ли не «ролевыми моделями», у них героически-романтический имидж, а когда они выходят из тюрьмы, то охотно раздают интервью о своих «киберподвигах», и множество людей ими увлекается?
— В современном обществе хакеров не считаются бандитами. Но уже давно прошло то время, когда от них не страдали обычные люди. До сих пор остается впечатление, что банки так или иначе компенсируют украденные хакерами деньги, но это неправда. Банкам уже давно сложно возвращать деньги, если их воруют с кредитных карт и банковских счетов. Даже в США трудно получить людям свои деньги обратно. Нынешние хакеры наносят огромный ущерб именно обычным людям.
Современные атаки происходят также с помощью вирусов-вымогателей, которые атакуют всех и все, — личные компьютеры, медицинские учреждения, полицию, суды, государственные структуры. Сейчас эти киберпреступления перешли все разумные пределы и больше напоминают ситуацию на Диком Западе XVIII века, чем современное общество XXI века.
Общество до сих пор не видит в хакерах больших преступников, и частично это «заслуга» Голливуда. Он продолжает штамповать кино, сериалы про хакеров, где показывает, какие они «робин-гуды», как им удается оставаться неуловимыми, путешествовать по миру, быть на шаг впереди полиции.
Но времена эти давно прошли. Тот же Сергей, которого арестовали в Беларуси, — один из динозавров. Он в этом бизнесе с 18 лет. В современном мире киберпреступления уже связаны с организованной киберпреступностью.
Современные кибератаки, особенно на банки, осуществляются мощными кибергруппировками, у которых есть огромная финансовая и административная поддержка, коррупционная составляющая со стороны полиции, когда их могут прикрывать и заботиться о их безопасности. В Америке часто киберпреступность пересекается с уличной преступностью. Это уже не просто хакер в байке с капюшоном, а люди, за плечами которых 2-3 ходки в тюрьму, которые грабят, убивают и параллельно еще воруют деньги со счетов. То, как общество видит киберкриминал, уже давно не соответствует действительности.
6 правил кибербезопасности от эксперта
Установите антивирус. Это, конечно, не панацея. Если хакер выбрал именно вас, то антивирус может и не помочь. Но он поможет отсеять большинство «оппортунистических» атак, цель которых — заразить как можно больше компьютеров.
Не открывайте приложения к электронным письмам. Прежде всего, если вы не знаете, от кого это письмо. Хакеры сейчас научились хорошо манипулировать сознанием через разнообразные методы НЛП — нейролингвистического программирования. Купив взломанные базы данных, они знают ваше имя, и вы получаете электронное письмо с зараженным файлом, адресованное вам лично. Мы живем в быстром ритме, нам некогда рассуждать, мы не задумываясь открываем электронные письма. А этого категорически не стоит делать. Если вы знаете человека, от которого пришло подозрительный письмо, не пожалейте времени отправить ему SMS и спросить, действительно ли он такое отправлял.
Не нажимайте на ссылки в электронных письмах, где вам предлагают бонусы, выгодную работу или говорят, что вы выиграли какой-то приз. Сейчас это очень распространенный метод хакеров, а в результате ваш компьютер заражается.
Имейте различные пароли к абсолютно всем сервисам, которыми вы пользуетесь. Буквально к каждому веб-сайту, прикладной программе. Установите генератор паролей, он поможет вам создавать рандомные пароли. Есть специальные программы, они могут стоить 10 долларов в год, но это стоит того. Такая программа сохранит вам много времени и сил, которые вы в будущем можете потратить на восстановление своих данных, возвращение денег.
Криминал знает, что люди ленятся, выдумывают 1-2 пароля и пользуются ими для всего. Мошенники давно уже это поняли. Хотя бы один пароль любого человека в мире можно найти в интернете и после путем элементарного подбора заполучить доступ к важным ресурсам — банковскому счету, кредитной карте, электронной почте и так далее.
Пользуйтесь двухфакторной гугл-аутентификацией. Хакеры до сих пор не научились обходить именно такой способ защиты.