«Выбітным» хакерам называюць затрыманага пару тыдняў таму ў Рэчыцы 33-гадовага С.Я. Чалавек, супраць якога ФБР і СК зладзілі сумесную апэрацыю, быў ідэнтыфікаваны экспэртамі ў кібэрбясьпецы з кампаніі Recorded Future. Доўгія гады ён хаваўся пад нікам Ar3s і стаяў за найбуйнейшым і найстарэйшым ботнэтам Andromeda.
Як простыя хлапцы з Рэчыцы становяцца вядомымі на ўвесь сьвет хакерамі і пра першыя правілы кібэрбясьпекі распавядае дырэктар аддзелу перадавых распрацовак Recorded Future Андрэй Барысевіч.
Нашто хакеры заражаюць нашы кампутары
— Што такое Andromeda, якую абслугоўваў беларускі хакер з Рэчыцы?
— Andromeda — ботнэт. Гэта вялікая сетка заражаных кампутараў па ўсім сьвеце, падкантрольная або аднаму чалавеку, або крымінальнай структуры. Для кіраваньня ўсёй сеткай ці асобнымі кампутарамі ў ёй існуе адзіная кантрольная панэль. Празь яе можна на заражаны кампутар накіроўваць загады — напрыклад, усталяваць шкоднае праграмнае забесьпячэньне або распачаць рассылку спаму праз электронную пошту.
Найбольш распаўсюджаны спосаб выкарыстаньня заражаных кампутараў — элемэнтарны крадзеж пэрсанальных зьвестак карыстальнікаў. На кампутар ставіцца keylogger — адмысловая праграма, якая перахоплівае ўсё, што друкуецца на клявіятуры. Калі чалавек заходзіць у свой банкаўскі рахунак праз мабільнік, уводзіць пароль, гэтая інфармацыя перахопліваецца і накіроўваецца зламысьніку. Доступ да асобных заражаных кампутараў могуць прадаваць іншым зламысьнікам.
Як карыстаюцца дадзенымі? Адзін са спосабаў — незаконная купля ў інтэрнэт-краме. Сучасныя інтэрнэт-крамы змагаюцца з хакерскімі злачынствамі даўно і пасьпяхова, бо іх досыць лёгка распазнаць. Напрыклад, калі хтосьці заходзіць у краму з IP іншай краіны. Каб гэта абысьці, зламысьнік атрымлівае доступ да выпадковага кампутара ў ЗША, заходзіць зь яго на сайт таго ж Amazon ці PayPal і робіць незаконную транзакцыю. Інтэрнэт-крама, аплатная сыстэма ці банк бачыць гэта як транзакцыю са звыклай краіны.
Але спосабаў выкарыстоўваць заражаныя кампутары вельмі шмат. Практычна любое кібэрзлачынства, пра якое мы чуем — ці скралі грошы з банкаўскага рахунку, ці зламысьнікі атрымліваюць доступ да сетак фінансавых установаў і крадуць грошы проста ў банкаў, ці крадуць грошы ў людзей з кампутараў, з электронных гаманцоў, крыптавалюту і гэтак далей, асабістыя зьвесткі — усё гэта, як правіла, робіцца праз стварэньне ботнэта.
Той, хто кантралюе гэтую сетку, безумоўна, і зарабляе досыць шмат, і наносіць вельмі істотную шкоду.
— Калі амаль кожная сфэра нашага жыцьця ўжо дыгіталізаваная, ці можна казаць, што кожны з нас сутыкнецца з кібэрзлачынствам?
— Гэта сапраўды вялізарная праблема, і яна зьявілася ня сёньня і ня ўчора. Ботнэты такога маштабу, як Andromeda, пачалі зьяўляцца 10-15 гадоў таму. Для крымінальнага сьвету гэта штосьці паўсядзённае. Ёсьць пэўныя групы рызыкі, у якіх верагоднасьць сутыкнуцца з такой праблемай самая высокая. Найперш гэта карыстальнікі Windows, таму што большасьць шкоднага софту пішацца для Windows або Android, калі казаць пра мабільныя тэлефоны.
Гістарычна склалася, што карыстальнікаў макбукаў і айфонаў зламысьнікі практычна не атакуюць. Найперш таму, што прадукцыя Apple найбольш абароненая і менш уразьлівая да вонкавых пагрозаў. А па-другое, проста таму, што прыладаў на Windows і Android нашмат больш, чым ад Apple. Для зламысьнікаў колькасьць патэнцыйных ахвяраў нашмат важнейшая за якасьць.
Практычна любы чалавек раней ці пазьней пападзецца на кручок зламысьнікаў. Гэта не азначае, што будуць атакаваць асабіста вас. Найхутчэй, гэта адбудзецца праз масавае заражэньне. Але раней ці пазьней вашу інфармацыю некаму прададуць.
Звычайныя грамадзяне ўжо даўно нясуць вялікія фінансавыя страты. Шэрагі кібэрзлачынцаў растуць. Калі яшчэ 5 гадоў таму было негалоснае правіла сярод кібэрзлачынцаў не атакаваць грамадзян з прасторы СНД, то цяпер на гэта ўсе закрываюць вочы. Мы бачым, што не спыняюцца атакі на беларускія, расейскія, украінскія банкі, фінансавыя ўстановы. Такія атакі бываюць даволі пасьпяховыя, калі з банкаў выкрадаюцца дзясяткі мільёнаў даляраў. Увесь час спрабуюць распаўсюджваць вірусы-вымагальнікі (ransomware). Такі вірус блякуе доступ да вашага дэвайса і патрабуе ад вас выкуп за вяртаньне дадзеных.
Статыстка — рэч упартая, і яна паказвае, што раней ці пазьней кожны сутыкнецца з такой праблемай.
На чым папаўся рэчыцкі хакер
— Што такога выключнага ў асобе рэчыцкага хакера? І як мог такі аўтарытэтны ў сьвеце кібэрзлачыннасьці чалавек папасьціся на тым, што ICQ быў зарэгістраваны на рэальны нумар МТС?
— Вызначыць, хто стаіць за гэтым нікам, насамрэч ня стала вялікай праблемай. Спатрэбілася ўсяго некалькі дзён. Мы гэта зрабілі прыблізна за паўгода да яго арышту.
Як правіла, людзі робяць такія памылкі на самым пачатку сваёй крымінальнай кар’еры, калі яны яшчэ маладыя, недасьведчаныя. Робяць нязначныя ляпы, а яны застаюцца ў інтэрнэце назаўжды. Трэба толькі час і трошкі намаганьняў, каб зазірнуць трохі далей у часе — і можна знайсьці моманты, калі кібэрзлачынец альбо скарыстаўся сваім сапраўдным нумарам тэлефона, альбо ўжыў нік, пад якім калісьці даўно зарэгістраваўся ў сацыяльнай сетцы, патэнцыйна засьвяціўшы свой фатаздымак ці нават імя.
Кібэрзлачынцы, асабліва неспрактыкаваныя, часта карыстаюцца сапраўдным скайпам. А для праваахоўных органаў няма ніякай складанасьці атрымаць доступ для запісаў скайпу.
У нашым выпадку гэты пэрсанаж так і зрабіў. Яшчэ да пачатку крымінальнай кар’еры ён камунікаваў у колах праграмістаў, часта задаваў пытаньні на розных форумах некрымінальнай скіраванасьці. Пакідаў свае дадзеныя пры рэгістрацыі на форумах, сапраўдны год нараджэньня, e-mail, а ў адным месцы ICQ, якім працягваў карыстацца шмат гадоў, калі ўжо перайшоў «на цёмны бок».
Як затрымлівалі беларускага хакера:
Часта здараецца, што гэта досыць простыя людзі, зь якімі жывеш у суседнім доме і ня можаш уявіць, што гэта адзін з самых вядомых хакераў, якога шукаюць па ўсім сьвеце. Далёка па прыклады хадзіць ня трэба. Ёсьць малады чалавек з Англіі Маркус Хатчынс, якога ФБР арыштавала ўлетку. Ён ужо быў вядомы як адзін з самых паважаных спэцыялістаў у кібэрбясьпецы ў сьвеце. Ён спыніў распаўсюд віруса WannaCry, які ў той час зь велізарнай хуткасьцю атакаваў Расею, Украіну, краіны Эўропы. Яго лічылі героем. А празь месяц-два яго арыштавала ФБР па падазрэньні ў распаўсюджваньні аднаго з самых магутных траянаў, які разыходзіўся на крымінальных форумах і ў крымінальным андэрграўндзе.
Калі вярнуцца да нашага пэрсанажа, то мы высьветлілі, што ён з 2004 году быў адміністратарам аднаго з самых паважаных крымінальных форумаў тэхнічнай скіраванасьці. Крымінальныя форумы бываюць розных відаў. Ёсьць тыя, дзе большасьць займаецца кардынгам — выкраданьнем грошай з крэдытных картак, банкаўскіх рахункаў, узломам інтэрнэт-крамаў.
А ёсьць форумы тэхнічнай скіраванасьці, дзе абмяркоўваюць найбольш сучаснае шкоднае праграмнае забесьпячэньне (malware), прадаюць яго, займаюцца ўсім, што зьвязана зь яго падтрымкай. Менавіта такі форум вёў Ar3s, наш С.Я. Ён быў галоўным адміністратарам, прычым адным з самых вядомых у крымінальным асяродзьдзі спэцыялістаў. Бо нават калі на іншых пляцоўках зьяўлялася новае шкоднае праграмнае забесьпячэньне (ПЗ), яго запрашалі як незалежнага экспэрта. Ён атрымліваў доступ да новай вэрсіі ПЗ, дасьледаваў, тэставаў і выносіў свой вэрдыкт. Калі Я. казаў, што ПЗ працуе, як заяўлена, то посьпех гэтага прадукту быў прадвызначаны. Тады продажы гэтых шкодных праграм ішлі «на ўра», і ніякіх сумненьняў наконт яго ў крымінальнікаў ужо не ўзьнікала.
«Сьціплы лад жыцьця хакера не азначае малы даход»
— Калі гэтыя форумы існуюць настолькі публічна, дый сам хлапец вёў досыць адкрыты лад жыцьця — узяць хаця б ягоны актыўны Twitter — то ў які момант гэтая цікавасьць да шкоднага ПЗ робіцца злачынствам?
— У той момант, калі людзі прыходзяць і задаюць пра яго пытаньне, і пры гэтым усім зразумела, што канчатковая мэта — нанесьці шкоду альбо асобам, альбо арганізацыям. Часта навічкі выпускаюць на продаж сваё віруснае ПЗ і чамусьці лічаць, што калі яны пішуць у дамове, што ПЗ «распрацавана і прадаецца выключна ў дасьледчых мэтах», то гэта іх нейкім чынам ратуе. Так, хакер можа напісаць: маё ПЗ не прызначана для атак на людзей і арганізацыі. Але ўсе разумеюць, што яно распаўсюджваецца на хакерскім форуме, за гэта бяруцца грошы. Вядома, што яно будзе выкарыстоўвацца для атак на звычайных грамадзян. Гэта ўжо злачынства. Гэта не абараняе ў будучым хакераў ад крымінальнага перасьледу.
— Колькі С. мог на гэтым зарабляць? Ягоныя знаёмыя ня вераць у такую «бліскучую» кар’еру і кажуць, што хлапец жыў вельмі сьціпла.
— Калі я не памыляюся, сама ліцэнзія каштавала 2000 даляраў. Але гэты канкрэтны ботнэт складаецца з двух элемэнтаў: кантрольная панэль, якая дазваляе кіраваць усімі заражанымі кампутарамі, і другая частка — так званы payload, то бок сам шкодны файл, які будзе адпраўляцца на кампутар — аб’ект атакі. Напрыклад, гэта можа быць далучэньне да электроннага ліста, якое выглядае як бяскрыўдны вордаўскі файл. Вы яго націскаеце, і ваш кампутар заражаецца.
Антывірусныя праграмы вельмі хутка вучацца распазнаваць такія шкодныя дакумэнты. І каб такое ПЗ эфэктыўна працавала, іх трэба ўвесь час чысьціць. Гэта і называецца падтрымка. І гэта адна з паслуг, якія рабіў Ar3s. За гэта ён атрымліваў 50 даляраў. Пры шырозным распаўсюджаньні шкоднага ПЗ гэта трэба рабіць практычна штодзённа. Купіўшы ліцэнзію за 2000 даляраў, трэба яшчэ 1500 штомесяц аддаваць на падтрымку.
Таму, думаю, сьціплы лад жыцьця С. не азначае, што ў яго быў малы даход. У яго была легальная праца, у вачах многіх людзей ён быў звычайным грамадзянінам, але пры гэтым займаўся яшчэ і крымінальнымі справамі. І вельмі шмат гадоў.
«У тым, што грамадзтва ня бачыць у хакерах вялікіх злачынцаў, ёсьць „заслуга“ Галівуда»
— Колькі ў Беларусі можа быць такіх хакераў?
— Было вельмі шмат, бо тэхнічная адукацыя ў Беларусі — адна з найлепшых у сьвеце. Але багата «таленавітых» хакераў зьехалі ў свой час у больш бясьпечныя для іх месцы. У тым ліку ў Расею, Украіну, бо ў Беларусі праваахоўныя органы ў дачыненьні іх нашмат больш прафэсійна дзейнічалі. Агульнавядома, што ў Беларусі складана даць хабар, адбіцца ад крымінальнага перасьледу. А ў суседніх краінах гэта спрэс.
— Як вы ставіцеся да таго, што хакеры дагэтуль лічацца ледзьве не «ролевымі мадэлямі», у іх гераічна-рамантычны імідж, а калі яны выходзяць з турмы, то ахвотна раздаюць інтэрвію пра свае «кібэрподзьвігі», і мноства людзей імі захапляецца?
— У сучасным грамадзтве хакеры ня лічацца бандытамі. Але ўжо даўно мінуў той час, калі ад іх не цярпелі звычайныя людзі. Дагэтуль застаецца ўражаньне, што банкі так ці інакш кампэнсуюць скрадзеныя хакерамі грошы, але гэта няпраўда. Банкам ужо даўно складана вяртаць грошы, калі іх крадуць з крэдытных картак і банкаўскіх рахункаў. Нават у ЗША цяжка атрымаць людзям свае грошы назад. Цяперашнія хакеры наносяць вялізную шкоду менавіта звычайным людзям.
Сучасныя атакі адбываюцца таксама з дапамогай вірусаў-вымагальнікаў, якія атакуюць усіх і ўсё, — асабістыя кампутары, мэдычныя ўстановы, паліцыю, суды, дзяржаўныя структуры. Цяпер гэтыя кібэрзлачынствы перайшлі ўсе разумныя межы і больш нагадваюць сытуацыю на Дзікім Захадзе XVIII стагодзьдзя, чым сучаснае грамадзтва XXI стагодзьдзя.
Грамадзтва дагэтуль ня бачыць у хакерах вялікіх злачынцаў, і часткова гэта «заслуга» Галівуда. Ён працягвае штампаваць кіно, сэрыялы пра хакераў, дзе паказвае, якія яны «робін-гуды», як ім удаецца заставацца няўлоўнымі, падарожнічаць па сьвеце, быць на крок наперадзе паліцыі.
Але часы гэтыя даўно мінулі. Той жа С., якога арыштавалі ў Беларусі, — адзін з дыназаўраў. Ён у гэтым бізнэсе з 18 гадоў. У сучасным сьвеце кібэрзлачынствы ўжо зьвязаныя з арганізаванай кібэрзлачыннасьцю.
Сучасныя кібэратакі, асабліва на банкі, ажыцьцяўляюцца магутнымі кібэргрупоўкамі, у якіх ёсьць вялізная фінансавая і адміністрацыйная падтрымка, карупцыйны складнік з боку паліцыі, калі іх могуць прыкрываць і дбаць пра іх бясьпеку. У Амэрыцы часта кібэрзлачыннасьць перасякаецца з вулічнай злачыннасьцю. Гэта ўжо ня проста хакер у байцы з капюшонам, а людзі, за плячыма якіх 2–3 ходкі ў турму, якія рабуюць, забіваюць і паралельна яшчэ крадуць грошы з рахункаў. Тое, як грамадзтва бачыць кібэркрымінал, ужо даўно не адпавядае рэчаіснасьці.
6 правілаў кібэрбясьпекі ад экспэрта
- Усталюйце антывірус. Гэта, вядома, не панацэя. Калі хакер выбраў менавіта вас, то антывірус можа і не дапамагчы. Але ён дапаможа адсеяць большасьць «апартунісцкіх» атак, мэта якіх — заразіць як мага больш кампутараў.
- Не адкрывайце дадаткі да электронных лістоў.
Найперш, калі вы ня ведаеце, ад каго гэты ліст. Хакеры цяпер навучыліся добра маніпуляваць сьвядомасьцю праз разнастайныя мэтады НЛП — нэўралінгвістычнага праграмаваньня. Купляючы ўзламаныя базы дадзеных, яны ведаюць ваша імя, і вы атрымліваеце электронны ліст з заражаным файлам, адрасаваны вам асабіста. Мы жывём у хуткім рытме, нам няма калі разважаць, мы не задумваючыся адкрываем электронныя лісты. А гэтага катэгарычна ня варта рабіць. Калі вы ведаеце чалавека, ад якога прыйшоў падазроны ліст, не пашкадуйце часу адправіць яму SMS і спытацца, ці сапраўды ён такое адпраўляў.
- Не націскайце на лінкі ў электронных лістах, дзе вам прапануюць бонусы, выгадную працу або кажуць, што вы выйгралі нейкі прыз. Цяпер гэта вельмі распаўсюджаны мэтад хакераў, а ў выніку ваш кампутар заражаецца.
- Майце розныя паролі да абсалютна ўсіх сэрвісаў, якімі вы карыстаецеся. Літаральна да кожнага вэб-сайту, прыкладной праграмы.
- Устанавіце генэратар пароляў, ён дапаможа вам ствараць рандомныя паролі. Ёсьць спэцыяльныя праграмы, яны могуць каштаваць 10 даляраў за год, але гэта варта таго. Такая праграма выратуе вам шмат часу і сіл, якія вы ў будучыні можаце змарнаваць на ўзнаўленьне сваіх дадзеных, вяртаньне грошай.
Крымінал ведае, што людзі лянуюцца, выдумляюць 1-2 паролі і карыстаюцца імі для ўсяго. Махляры даўно ўжо гэта зразумелі. Хаця б адзін пароль любога чалавека ў сьвеце можна знайсьці ў інтэрнэце і пасьля шляхам элемэнтарнага падбору займець доступ да важных рэсурсаў — банкаўскага рахунку, крэдытнай карты, электроннай пошты і так далей.
- Карыстайцеся двухфактарнай гугл-аўтэнтыфікацыяй. Хакеры дагэтуль не навучыліся абыходзіць менавіта такі спосаб абароны.