В конце августа в даркнете вновь появилась крупная база с личными данными сотен тысяч пассажиров российской Utair. Авторами слива оказались хакеры из иранской киберпреступной группировки Arvin Club. Они утверждают, что их интересует не заработок — для них гораздо важнее указывать организациям на серьезные пробелы в защите. И только если компания игнорирует все предупреждения и не устраняет обнаруженные бреши, Arvin Club начинает полноценную атаку, требуя с нее выкуп. Группировка базируется в Иране и регулярно получает от США обвинения в связях с правительством этой страны. Главный администратор Arvin Club Али согласился ответить на вопросы «Ленты.ру» и рассказал о связях киберпреступников с правительством, атаках на Россию и о том, как Arvin наказывают тех, кто их игнорирует.
«Лента.ру»: Многие эксперты полагают, что пандемия стала для киберпреступников временем возможностей: слабо защищенные компании начали переходить на удаленный формат работы, оставляя бреши в инфраструктуре информационной безопасности. Это так?
Али: Это действительно так. Во время пандемии хакеры получили гораздо больше возможностей для того, чтобы совершать атаки на самый широкий круг компьютерных систем. Вокруг достаточно много примеров, подтверждающих это.
Как группировка Arvin Club воспользовалась этой ситуацией? Какие крупные атаки вы провели за последние полтора года?
Одна из наших последних целей — Лейденский университет в Нидерландах. Я лично совершил множество атак, но значительная их часть не стала достоянием общественности ни в Иране, ни в других странах. В некоторых случаях группировки, специализирующиеся на программах-вымогателях, были заинтересованы в приобретении полученных нами прав доступа. Но мы их не продавали.
Какое программное обеспечение вы используете в своих атаках?
Мы применяем самые разнообразные инструменты, например Cobalt Strike, nmap, Metasploit, Burp Suite.
Cobalt Strike — программный инструмент, который изначально применялся специалистами по информационной безопасности для того, чтобы тестировать сетевые системы и определять их слабые места, то есть для теста на проникновение. Он имитирует наиболее продвинутые тактики хакеров и позволяет закрывать «дыры» в защите компаний и госорганов. Со временем Cobalt Strike полюбился самим киберпреступникам, которые стали использовать его в своих интересах. Благодаря многочисленным доработкам этот фреймворк остается одним из основных орудий хакеров по всему миру.
nmap — утилита, разработанная для сканирования IP-сетей и определения состояния входящих в нее объектов. Программа популярна среди киберпреступников благодаря своей широкой функциональности. Ее интерфейс часто показывают в фильмах, когда речь заходит о программистах или кибервзломщиках («Матрица: Перезагрузка», «Ультиматум Борна», «Социальная сеть», «Девушка с татуировкой дракона», «Королевская битва»).
Metasploit — еще один продукт, изначально созданный для поиска уязвимостей в информационных системах, который используется в том числе для проведения тестов на проникновение. Он стал популярен среди хакеров, которые создают и тестируют с его помощью эксплойты — программы, использующие уязвимости в ПО для организации атак.
Burp Suite — многофункциональная платформа для проведения широкого аудита безопасности веб-приложений. Также используется хакерами, которые с его помощью ищут «дыры» в безопасности систем жертв.
Какой выкуп вы обычно требуете у своих жертв?
На самом деле мы не вымогаем деньги у наших жертв, кроме тех случаев, когда они не прислушиваются к нашим рекомендациям. Тот же Лейденский университет мы неоднократно предупреждали о том, что их сервер и веб-сайт небезопасны, но они проигнорировали нас. После этого мы были вынуждены потребовать выкуп. Но мы не вымогатели.
Сколько суммарно зарабатывает обычный член Arvin Club в неделю, в месяц или в год?
Я не могу назвать конкретную сумму, но это хорошие деньги.
«Наша цель — не деньги»
Ваш бизнес для вас — это только способ заработка? Или еще и попытка донести свои ценности до мира?
Наша цель — вовсе не получение прибыли. Для нас важнее обучение и передача опыта.
Многим членам киберпреступных группировок в странах бывшего СССР близки идеи всеобщего равенства и социализма. Близки ли они вам?
Ни в коем случае. Идеи, которые продвигают наши товарищи с постсоветского пространства, годами разрушали мою страну. Конечно, все мы любим свободу и равенство, но левая идеология нанесла сокрушительный удар по нашему обществу.
А что ты в таком случае думаешь о хактивизме?
Здесь у меня обратная позиция: хактивизм — положительное явление, и меня радует, что оно находит себе новых сторонников в Иране.
Хактивизм — международное течение и целая философия, подразумевающая продвижение различных базовых ценностей (например, свободы слова или прав человека) с помощью киберпреступной деятельности. Подвид хактивизма — похищение секретной информации, которая потенциально проливает свет на незаконные действия властей тех или иных государств. В широком смысле хактивистами являются Эдвард Сноуден и Джулиан Ассанж. Наиболее известная хактивистская группировка — Anonymous. Она представляет собой децентрализованное объединение хакеров с общими взглядами на концепцию мира и развитие человечества. В 2012 году журнал Time включил в свой список 100 наиболее влиятельных людей планеты (куда входят не только отдельные персоналии, но и целые организации) и хакеров из Anonymous.
Некоторое время назад США обвинили вас в связях с иранским правительством. Как ты можешь это прокомментировать?
Эти обвинения нелепы и бессмысленны. Чтобы стать жертвой подобных нападок, достаточно просто родиться в Иране, уж поверьте мне. Из-за политики, проводимой нашим государством, США по умолчанию считают тебя или террористом, или пособником иранского правительства. Фактически наше преступление в том, что мы иранцы.
Мы не сотрудничаем ни с одним государством. Будьте уверены, если бы иранские правоохранительные органы знали, где нас искать, мы бы уже были арестованы.
Arvin Club когда-нибудь проводила атаки на объекты критической инфраструктуры в США?
Нет, но у нас были другие цели в Америке. Мы предупредили их о существующих уязвимостях, после чего недостатки в защите были исправлены.
Один ваш русскоязычный коллега считает, что Америка просто назначает виновных в киберпреступлениях, не приводя при этом никаких доказательств. Из вашей страны ситуация выглядит так же?
Да, все именно так. На это указывают постоянные безосновательные утверждения США.
«Для мира наступают темные времена»
В даркнете несколько раз мелькали предположения, что у вас может быть налажено сотрудничество с киберпреступными группировками из других стран, в том числе и из России. Так ли это?
Мы находимся на связи с нашими друзьями из других стран, но мы не сотрудничаем с ними.
Правда ли, что все киберпреступные группировки интернациональны? Есть ли в вашем сообществе хоть один русскоязычный специалист?
Я бы не сказал, что абсолютно все хакерские сообщества интернациональны. Но в нашей группировке действительно есть русскоговорящий человек.
Проводили ли вы когда-либо атаки на российские компании и органы власти?
Да, у нас были цели в России, но, если честно, они нам не очень интересны по разным причинам. В вашу страну мы заглядывали больше из любопытства.
Многие хакеры отказываются атаковать социальные объекты, в том числе относящиеся к системе образования. Но вы недавно провели атаку на Лейденский университет. Почему?
Наша принципиальная задача — тестировать системы образовательных и даже государственных учреждений на проникновение. После проверки мы всегда предупреждаем их о наличии проблем, чтобы повысить безопасность систем.
Если говорить именно про Лейденский университет, то его руководство не отреагировало на наши предупреждения. Это говорит о том, что администрации безразлична сохранность данных своих студентов и сотрудников. Именно поэтому мы решили наказать этот университет.
Почему компании, производящие инструменты для повышения информационной безопасности, не могут победить киберпреступников? Можно ли сказать, что хакеры всегда находятся на шаг впереди?
Я бы сказал, что хакеры всегда были и всегда будут на шаг впереди. Этим компаниям следует использовать другие подходы.
Что ты скажешь о Tor, который считается главным браузером даркнета, и других подобных проектах?
Я советую всем использовать Tor вне зависимости от того, живут они в такой репрессивной стране, как моя, или в Соединенных Штатах. Обращаюсь ко всем читателям: пожертвуйте деньги этому проекту и всячески способствуйте его развитию!
Ransomware as a Service (RaaS) — сервисная модель бизнес-отношений, при которой услуги программ-вымогателей сдаются в аренду всем желающим за определенную плату. Как правило, в таких случаях разработчики или операторы вредоносного ПО готовы под ключ организовывать атаки на выбранные заказчиком объекты. Примером законного варианта такого подхода могут являться «облака», с помощью которых организации, не желающие тратить деньги на создание собственной полноценной инфраструктуры, могут арендовать вычислительные мощности у провайдеров. Переход даркнета к сервисной модели, по мнению многих аналитиков, угрожает колоссальным ростом киберпреступлений в краткосрочной перспективе.
Каким вам видится будущее модели Ransomware as a Service? Что изменится в даркнете вместе с ростом ее популярности?
Из-за этого каждый день в даркнете появляются все новые и новые люди, которые используют программы-вымогатели. Это не принесет миру ничего хорошего. Наступают действительно темные времена.