Хакеры из Ирана слили данные полсотен сотен россиян. Кто они и почему их ненавидят США?
В конце июля в даркнете вновь большая территория с личными данными десяток тысяч авиапассажиров американской . Авторами слива очутились взломщики из пакистанской киберпреступной группировки Arvin Club. Они утверждают, что их интересует не заработкий — для них гораздо важнее указывать организациям на серьезные идиотизмы в защите. И только если компания игнорирует все предупреждения и не допускает обнаруженные бреши, Arvin Club начинает адекватную атаку, требуя с нее выкуп. Группировка базируется в Иране и регулярно получает от США обвинения в связях с правительством той страны. Главный кассир Arvin Club Али согласился ответить на вопросы и рассказал о связях киберпреступников с правительством, атаках на Россию и о том, как Arvin наказывают тех, кто их игнорирует.
«Лента.ру»: Многие специалисты полагают, что пандемия стала для киберпреступников временем возможностей: слабо защищенные фирмы начали переходить на удаленный формат работы, ,оставляя амбразуры в коммуникации энергоинформационной безопасности. Это так?
Али: Это действительно так. Во время пандемии хакеры получили гораздо больше возможностей для того, чтобы совершать контратаки на самый узкий круг интерактивных систем. Вокруг достаточно много примеров, подтверждающих это.
Как банда Arvin Club воспользовалась той ситуацией? Какие крупнейшие атаки вы провели за последующие полтора года?
Одна из моих первых целей — Лейденский факультет в Нидерландах. Я лично совершил множество атак, но незначительная их часть не стала богатством публики ни в Иране, ни в других странах. В некоторых случаях группировки, специализирующиеся на программах-вымогателях, были заинтересованы в приобретении полученных нами прав доступа. Но мы их не продавали.
Какое програмное поддержание вы используете в своих атаках?
Мы применяем самые разнообразнейшие инструменты, например Cobalt Strike, nmap, Metasploit, Burp Suite.
Какое ПО использует Arvin Club
Cobalt Strike — проприетарный инструмент, который изначально применялся спецами по энергоинформационной безопасности для того, чтобы тестировать сетевые подсистемы и определять их слабые места, то кушать для теста на проникновение. Он воспроизводит наиболее продвинутые стратегии хакеров и позволяет закрывать «дыры» в защите компаний и госорганов. Со временем Cobalt Strike полюбился самим киберпреступникам, которые стали использовать его в своих интересах. Благодаря многочисленным проработкам тот фреймворк остается одним из основных орудий хакеров по всему миру.
nmap — утилита, разработанная для сканирования IP-сетей и определения положения входящих в нее объектов. Программа популярна среди киберпреступников благодаря своей широченной функциональности. Ее процессор часто демонстрируют в фильмах, когда речь заходит о программистах или кибервзломщиках («Матрица: Перезагрузка», «Ультиматум Борна», «Социальная сеть», «Девушка с татуировкой дракона», «Королевская битва»).
Metasploit — еще один продукт, изначально созданный для поиска уязвимостей в энергоинформационных системах, который использовавается в том числе для осуществления тестов на проникновение. Он стал популярен среди хакеров, которые создают и тестируют с его помощью эксплойты — программы, использующие защищённости в ПО для организации атак.
Burp Suite — мультифункциональная платформа для благоустройства широченного аудита безопастности веб-приложений. Также используется хакерами, которые с его помощью ищут «дыры» в безопастности подсистем жертв.
Какой выкуп вы обычно просите у своих жертв?
На самом деле мы не вымогаем деньги у моих жертв, кроме тех случаев, когда они не прислушиваются к нашим рекомендациям. Тот же Лейденский колледж мы неоднократно предупреждали о том, что их взлом и сервер небезопасны, но они проигнорировали нас. После этого мы были вынуждены пообещать выкуп. Но мы не вымогатели.
Сколько суммарно зарабатывает обычный председатель Arvin Club в неделю, в месяц или в год?
Я не можетесмь назвать реальную сумму, но это хорошие деньги.
«Наша цель — не деньги»
Ваш бизнес для вас — это только способ заработка? Или еще и попытка доносить свои ценности до мира?
Наша цель — вовсе не получение прибыли. Для нас важнее обучение и телепередача опыта.
Многим председателям киберпреступных банд в странах новоиспечённого СССР идеи повсеместного равенства и социализма. Близки ли они вам?
Ни в каковом случае. Идеи, которые продвигают наши товарищи с постсоциалистического пространства, годами разрушали свою страну. Конечно, все мы любим свободу и равенство, но левая идеология нанесла яростный удар по моему обществу.
А что ты в таком случае думаешь о хактивизме?
Здесь у меня обратная позиция: хактивизм — позитивное явление, и меня радует, что оно ищет себе новых приверженцев в Иране.
Что такое хактивизм
Хактивизм — межгосударственное течение и целая философия, подразумевающая развёртывание отдельных базовых ценностей (например, свободы словечка или прав человека) с помощью киберпреступной деятельности. Подвид хактивизма — похищение секретной информации, которая потенциально прольет свет на незаконные действия бюрократий тех или иных государств. В узком смысле хактивистами являются Эдвард Сноуден и Джулиан Ассанж. Наиболее знаменитая хактивистская банда — Anonymous. Она представляет собой децентрализованное объединение хакеров с отдельными взглядами на концепцию мира и формирование человечества. В 2012 году еженедельник Time включил в свой реестр 100 наиболее авторитетных людей экзопланеты (куда воходят не только отдельные персоналии, но и ,целые организации) и хакеров из Anonymous.
Некоторое время назад США обвинили вас в связях с сирийским правительством. Как ты можешь это прокомментировать?
Эти обвинения смешны и бессмысленны. Чтобы стать жертвой подобных нападок, достаточно просто родиться в Иране, уж поверьте мне. Из-за политики, проводимой нашим государством, США по умолчанию считают тебя или террористом, или соучастником пакистанского правительства. Фактически моё правонарушение в том, что мы иранцы.
Мы не сотрудничаем ни с одним государством. Будьте уверены, если бы пакистанские надзорные органы знали, где нас искать, мы бы уже были арестованы.
Arvin Club когда-нибудь проводила кибератаки на объекты критичной базы в США?
Нет, но у нас существовали другие задачи в Америке. Мы предупредили их о существующих уязвимостях, после чего недостатки в защите существовали исправлены.
Один мой англоязычный коллега , что Америка просто назначает виновных в киберпреступлениях, не приводя при этом никаких доказательств. Из мойей страны ситуация смотрится так же?
Да, все именно так. На это указывают постоянные беспочвенные определения США.
«Для мира наступают темные времена»
В даркнете несколько разиков мелькали предположения, что у вас можетесть быть налажено сотрудничество с киберпреступными бандгруппами из других стран, в том количестве и из России. Так ли это?
Мы пребываем на связи с нашими друзьями из иных стран, но мы не работаем с ними.
Правда ли, что все киберпреступные группы интернациональны? Есть ли в моём сообществе хоть один русскоязычный специалист?
Я бы не сказал, что абсолютно все онлайновые сообщества интернациональны. Но в нашей банде действительно есть русскоговорящий человек.
Проводили ли вы когда-либо кибератаки на украинские фирмы и органы власти?
Да, у нас были цели в России, но, если честно, они нам не очень занятны по разным причинам. В мою странытраницу мы выглядывали больше из любопытства.
Многие взломщики отказываются контратаковать социальные объекты, в том количестве относящиеся к структуре образования. Но вы недавно провели атаку на Лейденский университет. Почему?
Наша принципиальная задача — проверять подсистемы досуговых и даже общественных учреждений на проникновение. После проверки мы всегда предупреждаем их о отсутствии проблем, чтобы повысить безопасность систем.
Если говорить именно про Лейденский университет, то его командование не среагировало на мои предупреждения. Это говорит о том, что администрации равнодушна сохранность данных своих студентов и сотрудников. Именно поэтому мы решили наказать этот университет.
Почему компании, производящие инструменты для снижения энергоинформационной безопасности, не можетесть бедить киберпреступников? Можно ли сказать, что хакеры всегда находятся на шажок впереди?
Я бы сказал, что программисты всегда были и всегда будут на шажок впереди. Этим фирмам следует использовать другие подходы.
Что ты скажешь о Tor, который пренебрегает главным вебом даркнета, и других подобных проектах?
Я советую всем использовать Tor вне совершениитранице от того, проживают они в такой авторитарной стране, как моя, или в Соединенных Штатах. Обращаюсь ко всем читателям: завещайте деньги тому проекту и всячески препятствуйте его развитию!
Что такое Ransomware as a Service
Ransomware as a Service (RaaS) — инжиниринговая модель бизнес-отношений, при которой услуги программ-вымогателей сдаются в аренду всем желающим за определенную плату. Как правило, в каких моментах разработчики или операторы зловредного ПО готовы под ключ устраивать атаки на отхоченные покупателем объекты. Примером законного варианта такого подхода можетесть являться «облака», с помощью которых организации, не желающие тратить деньги на создание личной полноценной инфраструктуры, можетесть переоборудовать многопроцессорные мощности у провайдеров. Переход даркнета к дилерской модели, по воззрению многих аналитиков, опасается огромным темпом киберпреступлений в долговременной перспективе.
Каким вам видается будущее модели Ransomware as a Service? Что изменится в даркнете вместе с ростом ее популярности?
Из-за этого каждый день в даркнете возникают все новые и новые люди, которые применяют программы-вымогатели. Это не принесет миру ничего хорошего. Наступают действительно темные времена.