Интернет и СМИ
00:05, 20 сентября 2021

«Ты все время боишься» Хакер из России о жизни в постоянном страхе и связи со спецслужбами

Артур Галеев (Специальный корреспондент «Ленты.ру»)
Фото: Depositphotos

В даркнете — скрытой анонимной сети, которую используют для координации хакеры со всего мира — основным языком остается русский. Возможно, именно поэтому вокруг киберпреступников из России в западных медиа сложилось множество мифов: их обвиняют в масштабных атаках на США и в работе на российские спецслужбы — последнее утверждение подкрепляют тем, что действия силовиков почти никак не препятствуют успешным атаками на компании со всего мира. «Ленте.ру» удалось связаться с одним из так называемых «русских хакеров», работавшим с крупнейшими мировыми сообществами. На условиях анонимности он рассказал о том, как сегодня распределено влияние между группировками, как изменились тактики киберпреступников, а также о сложности жизни вне закона.

«Практика властей США смешит многих»

«Лента.ру»: Наш разговор происходит на фоне сообщений о воскрешении группировки REvil, которую на Западе безапелляционно связывают с Россией. Ей приписывают атаки на крупные американские компании, а вместе с этим — сотрудничество с российскими спецслужбами. Ты сотрудничал с REvil? Обоснованны ли подобные обвинения?

Antivirus: В нормальном мире меня бы назвали фрилансером: я не вхожу на постоянной основе ни в одно объединение, но выполняю некоторые задачи для многих сообществ, которые журналисты считают известными. Сам факт того, что я даю кому-то интервью, вряд ли понравится моим заказчикам, именно поэтому я скрываюсь за ничего не говорящим ником. Среди таких заказчиков была и группа REvil.

Чем известна группировка REvil

Сообщество REvil — одно из самых известных киберпреступных объединений даркнета, специализирующееся на программах-вымогателях. Несмотря на относительно короткую историю, хакеры из REvil считаются на Западе одними из самых активных в мире. Они известны атаками на Apple, их также связывают с нападениями на правительство Техаса, крупнейшего поставщика мяса JBS и IT-компанию Kaseya. Американские власти неоднократно предполагали, что группировка может иметь связи с руководством России, однако никаких доказательств не приводили.

Все ресурсы REvil в даркнете были отключены в июле этого года через несколько дней после телефонного разговора Владимира Путина и Джо Байдена, в ходе которого президент США потребовал от России принятия решительных мер в борьбе с киберпреступностью. В первой половине сентября хакеры из REvil вернулись к активной деятельности.

Выполняя какую-то работу, ты не всегда знаешь, кто на самом деле ставит задачу. Но практика властей США назначать виновных смешит многих. Есть китайские группировки, которые годами проходят во всех СМИ как связанные с властями страны, которые якобы чуть ли не физически сидят на их китайской Лубянке. Но внутри тусовки все догадываются, что это простые ребята, разбросанные по всему миру, у которых даже между собой затрудненные коммуникации, не то что с правительством.

Конечно, ничего нельзя исключать. Но лично у меня нет ощущения, что российские спецслужбы планируют какие-то атаки.

Другой мой источник считает, что REvil пропадали с радаров из-за повышенного интереса со стороны властей США.

Многие так или иначе сталкивались с пользователем Unknown, который был официальным рупором группировки в даркнете. Он пропал этим летом, о его судьбе ничего не известно. Существует версия, что американцам удалось узнать, кто это, после чего эти данные были переданы российским силовикам. Это возможно.

Но иногда банан — это просто банан. Человек мог слечь с коронавирусом, попасть в ДТП или просто уйти из бизнеса.

Из этого бизнеса уходят?

Это же не мафия. Плюс ты аноним. Когда ты хочешь уйти из бизнеса, ты просто нажимаешь на кнопку выключения ноутбука.

«Не чувствую себя Робин Гудом»

Давай разберемся: насколько прибыльна киберпреступность и что должно случиться в жизни человека, чтобы он решил ее оставить?

Скажем так: это работа, которая отнимает очень много времени. И если ты заработал достаточно, то ты можешь выйти из игры. Хроническая усталость, выгорание, дедлайны — все эти слова из жизни обычных офисных работников актуальны и для разработчиков вредоносного ПО.

И тут играют роль два фактора. С одной стороны, ты все время боишься. Ты просыпаешься в страхе, ты ложишься спать в страхе, ты прячешься за маской и капюшоном в магазине, ты скрываешься даже от своей жены или девушки. Я младше тебя, но я уже заработал на всю оставшуюся жизнь. Не миллионы, но хватит, чтобы спокойно жить и никогда не работать. И тут второй фактор: как бросить работу, которая приносит такой заработок, в стране, где тебя не сказать что сильно ищут?

Представители LockBit говорили в интервью, что не могут нормально спать. Это правда?

Да, сон очень плохой. Я стабильно сплю четыре-пять часов уже много лет. Но тут больше проблема в том, что днем у тебя семья, а работа вся по ночам, плюс часовые пояса.

Чем известна группировка LockBit

LockBit — известный разработчик хакерского ПО, в том числе одноименного вируса-шифровальщика. Появилась на рынке в 2019 году, с тех пор с помощью LockBit и его вариаций были проведены тысячи успешных атак. Наиболее известное нападение последнего времени было совершено на компанию Accenture.

Группировка LockBit предпочитает работать в сервисной модели: клиент заказывает атаку, а после выплаты выкупа получает до 75 процентов от суммы выкупа, остальную сумму забирает разработчик. Западные медиа периодически связывают сообщество с Россией, однако никаких доказательств не приводят.

В доковидное время не было соблазна переехать в Европу или куда-то еще?

Если наступит какой-то момент, когда мне нужно будет собирать рюкзак и первым рейсом бежать из страны, — я это сделаю. Но сейчас мне комфортно.

Патриотизм — обычная история среди киберпреступников?

Это не сообщество, в котором можно провести опрос. Понятно, что есть какие-то площадки для найма фрилансеров и обмена мнениями, где еще и постят новости. Но каждый человек моей профессии живет без связи с комьюнити. Я не знаю, что в голове у моего работодателя, как и он не знает о том, что в моей.

Но если попытаться отвечать глобально, то я вижу, что в интервью многих соратников, даже из той же группировки LockBit, сквозит скорее тема социального равенства. Если вы зайдете на итальянские форумы в даркнете, то там больше пишут про социализм, чем про взломы.

Мне и самому близка эта идея. Мир несправедлив к слабым, все построено на финансовой выгоде. Есть люди, которые возглавляют крупнейшие корпорации просто по праву рождения. В лучшем случае они скидывают сотые доли процента от своих сверхприбылей на благотворительность, за что их обожествляют руками их личных пиарщиков. В худшем они прячут свои миллиарды от налоговых служб. Так быть не должно, но так происходит не только в США или Европе, но и в России.

Чувствуешь себя Робин Гудом?

Честно? Нет. И я против романтизации своей работы. В том числе моими руками крадут или вымогают деньги. Но мне не стыдно за то, чем я занимаюсь. Я искренне стараюсь найти хоть что-то плохое в этом и не могу. Наверное, у меня как-то смещены понятия о том, что такое хорошо и что такое плохо. Но в таком случае они смещены у многих в этой профессии.

Многие группировки заявляют в своих блогах, что они не атакуют социальные объекты. Твои разработки когда-нибудь использовались в подобных целях?

Насколько мне известно, нет.

«Для точечных атак иногда придумывают элегантные решения»

У тебя, как и у многих твоих коллег, яркая социалистическая риторика. Можно ли предположить, что пусть не всегда, но хотя бы изредка американские компании атакуют именно из-за того, что они капиталисты?

Во-первых, их атакуют потому, что они богатые и у них много денег. Мне сложно себе представить атаку, продиктованную идеологическими причинами. Во-вторых, киберпреступность — это международное явление, а сами сообщества интернациональны. В этом году я работал с фрагментами кода по заказу сообщества, переписку с которым я вел на русском языке. А в коде были комментарии на французском.

Если чуть углубляться в специфику атак, то какие направления сейчас считаются наиболее перспективными и какие защитные инструменты причиняют наибольшие неудобства разработчикам вредоносного ПО?

Мне кажется, тут я не расскажу ничего нового. Основную массу атак можно сравнить с автоматизированной спам-рассылкой. Кого зацепит — того и будут «доить». Именно поэтому у каждой группировки такая география поражения: от крепких европейских компаний до вьетнамского или камбоджийского среднего и даже малого бизнеса.

Иногда атакуется конкретная компания. Здесь тактика меняется в зависимости от цели. Я где-то читал историю о том, как ребята несколько лет не могли попасть внутрь периметра безопасности (условная граница между внешним миром и внутренними системами компании — прим. «Ленты.ру») крупной корпорации и придумали элегантное решение. Они начали подбрасывать к офису этой компании флешки с ее логотипами, чтобы кто-нибудь из сотрудников подумал, что его коллега потерял важные документы, и вставил флешку в компьютер в попытке узнать, чья она. После этого должен был запуститься вредоносный код, который мгновенно распространялся по внутренней сети. Не помню, чем история закончилась.

В таких ситуациях в современном мире атакуют не саму компанию, а небольшие организации из ее цепочки поставок. Скажем, атакуют не банк, а производителя незначительного программного обеспечения, закрывающего минорную задачу. Сейчас это самый популярный способ точечных атак, который помогает обойти традиционные средства защиты и проникнуть внутрь периметра безопасности.

Стратегия наших условных противников — департаментов по информационной безопасности — сегментация сети по принципу нулевого доверия (при таком подходе инфраструктура делится на множество изолированных маленьких частей. Если происходит заражение одной из них, остальные элементы сети остаются в безопасности. При этом ни один из этих элементов не считается в компании безопасным — прим. «Ленты.ру»). Об этом сейчас говорят все безопасники, но тактика пока не доведена до идеала.

Сервисная модель потребления вредоносного ПО (при которой можно брать разработки хакеров в аренду, что делает киберпреступления более доступным и массовым видом деятельности — прим. «Ленты.ру») уже доминирует в даркнете?

Пока нет, но это вопрос времени. Удобный подход.

«Атаки на корпорации могут спровоцировать геополитический конфликт»

BlackMatter несколько дней назад нанесли удар по японскому гиганту Olympus. До этого они говорили, что считают себя лидерами хакерского сообщества. Возрождение REvil помешает их планам?

Честно говоря, я не составляю такие рейтинги [лидерства] для себя. Да и никто не составляет. Как ты себе это представляешь?

Чем известна группировка DarkSide

Киберпреступники из DarkSide впервые появились в даркнете летом 2020 года. В течение следующего года, по мнению западных аналитиков, группировка стала одним из лидеров киберпреступного мира. Власти США считают, что именно DarkSide стоит за масштабной атакой на американскую компанию Colonial Pipeline, которая была, по ряду оценок, самой крупной из всех, направленных против критической инфраструктуры США. Западные исследователи считают, что менее чем за год работы хакеры из DarkSide заработали около 90 миллионов долларов.

DarkSide ушли с рынка в мае 2021 года, объяснив это колоссальным давлением американских правоохранительных органов.

Вместе с REvil из даркнета пропала группировка DarkSide, ответственная за атаку на Colonial Pipeline. Существует теория о том, что BlackMatter и DarkSide — это одно и то же сообщество. Это так?

Думаю, да. Хотя я не уверен, что для кого-то, кроме журналистов и силовиков, это принципиально.

Многие заметили, что в первом же интервью BlackMatter пообещали не атаковать объекты американской инфраструктуры. Было похоже на белый флаг — мол, ребята, мы больше так не будем.

Чем известна группировка BlackMatter

Группировка BlackMatter появилась в даркнете летом 2021 года, назвав себя новым лидером хакерского сообщества. Хакеры заявили в одном из интервью, что не будут атаковать объекты критической инфраструктуры США, чтобы не привлекать к себе внимание. На хакерских форумах распространено мнение, что BlackMatter частично либо полностью укомплектован теми же киберпреступниками, которые входили в DarkSide.

Возможно, и так, но это неважно. BlackMatter просто зарабатывают деньги, и им не хочется привлекать к себе внимания. Можно один раз сорвать куш, но спровоцировать такой геополитический конфликт, что тебя быстро найдут. Лучше спокойно получать стабильные небольшие суммы от компаний средней величины, лишь изредка заходя в такие корпорации, как Olympus.

< Назад в рубрику