«После удачной кибератаки нас просили подтянуть кибербезопасность компании»
Фото: rawpixel.com
Редакционное задание — сделать интервью с настоящим хакером — оказалось непростым упражнением. Выйти на контакт с ним человеку, не связанному с темой кибербезопасности, практически невозможно. Нет проблем с мелкими взломщиками, работающими на заказ, — они делают сайты-визитки, оставляют электронную почту для связи, а за тысячу долларов готовы дать даже видеоинтервью. Серьезные хакеры, наоборот, избегают всего, что может их раскрыть. Но неделя в даркнете, закрытые форумы, рекомендации и немного удачи дали свои плоды — нам удалось поговорить с одним из руководителей хакерской группировки, на счету у которой несколько громких взломов международных финансовых организаций.
— Наша группа не имеет никаких опознавательных знаков и маркеров, как, например, у REvil, Lockbit и других. Мы даже не обсуждали это — участники понимают уровень наших операций. Думаю, анонимность — это то, что помогло нам продержаться на плаву 11 лет без особых проблем.
— Только из финансовых соображений. Чем больше оборот компании, тем больше она может заплатить.
— Может. Например, скачками криптовалют. В этом случаесразу в поле зрения оказываются криптобиржи и криптоагрегаторы. Та же история и с акциями и фондовыми рынками. Но есть и редкие случаи, когда провоцируют через идеолого-политические убеждения. Мы не любим Америку и когда обижают наш дом.
— Не трогаем государственные, некоммерческие организации, системы здравоохранения и образования. Не работаем против организаций на территории России и стран бывшего СНГ — и по моральным соображениям, и по соображениям безопасности. Зачастую в используемом нами ПО стоит ограничение на запуск на компьютерах ру- или СНГ-сегмента.
— Подготовка проводится с точки зрения анализа и/или таргета жертвы. Анализируется деятельность компании: ее оборот, количество филиалов, используемые методы защиты. Еще проводится анализ конкурентов. Далее уже составляется база потенциальных жертв, выбор способа заражения или атаки. Все зависит от метода атаки — подготовка может занять сутки, а может и год.
— Исключительно собственные разработки. Иногда для отдельных сегментов ПО прибегаем к помощи сторонних кодеров-фрилансеров, но очень редко.
— Сейчас готовые шифровальщики получили большую популярность, что на самом деле очень плохо для нас. Хакеры сливают исходные коды своих разработок, а на их основе специалисты по безопасности строят выходы и решения. И еще это ведет к деградации комьюнити нашей сферы — слишком много неопытных людей начинают заниматься такой деятельностью, не зная границ. И под их удар идут и частные пользователи, и запрещенные сегменты — больницы, госучреждения…
— Конечно. Мы все общаемся между собой, пишем статьи, изучаем частные проблемы, участвуем в конкурсах. У каждого есть своя сетевая «жизнь»: кто-то занимается «пробивом», кто-то —кодингом, хакингом, различными исследованиями или обучением.
— Лучше всего защищены компании среднего по обороту сегмента, потому что трепетно относятся к своей безопасности. Проще же работать с большими компаниями, имеющими филиалы и представительства по всему миру. Зачастую в них очень много уязвимостей, которые либо игнорируют, либо просто не замечают. Касаемо общего анализа систем безопасности компаний — они сырые. Множество топ-компаний имеют уязвимости 10–15 летней давности. По нашему опыту, лучше всего защищены компании, так или иначе связанные со СМИ и рекламой.
— Она определяется, исходя из анализа оборота компании. Не работаем с компаниями, оборот которых меньше $50 млн. Дело в том, что маленький оборот — это малые процент успеха и сумма выкупа, но много заморочек. По сумме выкупа — это минимум $300 тыс.
— Переговоры ведутся с жертвой исключительно в защищенных каналах связи, иногда в мессенджерах собственной разработки. У нас для этого есть специальные люди, которые ведут диалог с жертвой — они заранее изучают, какие у нас есть козыри в рукаве и во что невыплата выкупа может обойтись компании. Если не удается адекватно договориться с жертвой, то переходим к общению с ее конкурентами и инсайдерами. Зачастую выкуп для жертвы выходит дешевле, чем сумма, которую готовы предложить конкуренты за слив данных.
— Больше всего платят компании финансовой сферы, в частности те, что обрабатывают и анализируют персональные данные: кредитные организации и разные финансовые конторы. Бывали случаи, когда после удачной кибератаки они с нами повторно связывались и просили помочь подтянуть общую кибербезопасность, чтобы исключить подобные инциденты в будущем. Сложнее всего вести переговоры с компаниями, связанными с социальными сетями и мессенджерами, — они не дорожат своими клиентами, а утечки информации им ничего не стоят.
— Переговорщики, скорее, упрощают. Обычно они понимают все сложности и риски, с ними проще сторговаться. Сложнее вести диалог с человеком, который не понимает всей сложности возникшей проблемы.
— Про максимальный выкуп отвечать не буду — это деанонимизирующий вопрос. А в среднем выходит порядка $250 тыс. на каждого участника группы за один выкуп. Касаемо DDoS-атаки, взлома и прочих услуг — все зависит от выбора атаки и жертвы. Цены варьируются от $3 тыс. — это банальный взлом аккаунта соцсети или месседжера, до $30 тыс. Опять же, все зависит от жертвы и бюджета заказчика.
— Если мы сами добыли уязвимость или доступ, то прибыль распределяется в процентном отношении поровну, вне зависимости от объема работы каждого участника. Когда доступ к сети компании предоставляет сторонний человек, то мы обговариваем его процент и свой. Но и в этом случае наша доля делится поровну между всеми участниками команды.
— Все следы стерты уже на момент оповещения жертвы о произведенной атаке.
— На банальных вещах: приеме и отмывании средств, интервью, демонстрации незадекларированного дохода. Частая большая ошибка — следы в исполняемых файлах. Многие кодеры используют личный почерк, который легко «сдеанонить».
— Есть, но редко встречаются. Это самый устойчивый к раскрытию сегмент. Они могут иметь тысячу личностей, а за ними стоит один человек. Таких сложнее всего вычислить. Имеют невзрачный ник типа «ivan3728388» и никогда не светятся, даже на теневых площадках.
— Да, иерархия есть. У начала стоят три человека — только у них есть специальные инструменты, которые применяются в критической ситуации. К примеру, бэкдоры. Все остальные участники могут уйти из группировки в любой момент. Спорные ситуации по поводу выбора жертв бывают редко, чаще решаем судьбу какого-либо сотрудника за излишнюю болтовню или неправильное поведение.
— Интересный вопрос. Сначала изучаем кандидата: пробиваем по форумам и другим тематическим площадкам. Наблюдаем за его поведением и общением, определяем его технические навыки. Отличным показателем будет, если кто-то из команды может за него поручиться.
Обязательным условием является первый депозит — он варьируется от $3 тыс. до $20 тыс. и позволяет отсеять несерьезных претендентов. Депозит возвращаем после первой успешной операции с его участием.
— Зачастую группировки не имеют границ. Интернационал. В группе могут быть люди из совершенно разных стран. Чем отличаются?.. Да ничем, кроме менталитета. А объединяет всех финансовое положение зарубежных стран — в них много денег. Нет смысла воровать в Индии или России, где средняя зарплата $200.
— Пойманный коллега — больше не коллега. Работа с ним навсегда прекращается.
— Уходят, часто. Добровольно. Многие начинают «параноить». Не все выдерживают психологической нагрузки, начинают пить, употреблять вещества. Некоторые уходят для того, чтобы открыть свой бизнес и вести законную, белую деятельность. Потом кто-то возвращается — те, кого привлекают не только деньги, но и сам процесс. После нашей жизни сложно жить обычной.
— Было много предложений, но «белую» сторону не рассматривал, это два совершенно разных типа мышления. Не знаю никого толкового, кто бы все бросил и пошел работать в антивирусную компанию. А вот единичные консультации и помощь предоставляем.
— Думаю, что Сачков либо не тем помог, и это нарушило ход привычных действий, например кого-то оскорбило, либо отказал или не смог выполнить ту или иную услугу. То есть показал себя бесполезным. Близость к власти является гарантией безопасности от всех, кроме этой же власти и ее друзей.
— Учитывая глобальную оцифровку всех видов деятельности — появляется еще больший полигон для испытаний. Но ничего принципиально нового не будет: как все работали, так и продолжат. Сколько бы новых гаек ни закрутили, всегда найдутся способы раскрутить. Не будет хакеров, не будет и антивирусов, систем безопасности и прочего — хакеры нужны всей этой индустрии. Такой вот совместный эволюционный процесс.
Подписывайтесь на нас:
Еще по теме
