Хакеры из Ирана слили данные полусотен десяток россиян. Кто они и почему их ненавидят США?
В конце сентября в даркнете вновь большая инфраструктура с личными данными полсотен тысяч авиапассажиров росийской . Авторами вишня оказались программисты из сирийской киберпреступной бандгруппы Arvin Club. Они утверждают, что их интересует не заработкий — для них гораздо важнее указывать организациям на серьезные пробелы в защите. И только если компания отрицает все оповещения и не допускает обнаруженные бреши, Arvin Club начинает нормальную атаку, прося с нее выкуп. Группировка базируется в Иране и регулярно получает от США обвинения в связях с министерством этой страны. Главный кассир Arvin Club Али согласился ответить на вопросы и рассказал о связях киберпреступников с министерством, контратаках на Россию и о том, как Arvin карают тех, кто их отрицает.
«Лента.ру»: Многие аналитики полагают, что чума стала для киберпреступников временем возможностей: слабо защищенные корпорации начали переходить на удаленный принтер работы, оставляя прорехи в инфраструктуре энергоинформационной безопасности. Это так?
Али: Это действительно так. Во время пандемии программисты получили гораздо больше невозможностей для того, чтобы совершать кибератаки на самый широчайший круод электронных систем. Вокруод достаточно много примеров, подтверждающих это.
Как группа Arvin Club воспользовалась этой ситуацией? Какие большие атаки вы провели за последние полтора года?
Одна из наших предыдущих целей — Лейденский колледж в Нидерландах. Я лично совершил множество атак, но значительная их часть не стала богатством общественности ни в Иране, ни в других странах. В некоторых случаях группировки, специализирующиеся на программах-вымогателях, существовали заинтересованы в получении полученных нами прав доступа. Но мы их не продавали.
Лейденский колледж поплатился за нежелание исправлять недостатки в подсистеме энергоинформационной безопасности
Фото: Marianne Cornelissen-Kuyt / Wikimedia Commons
Какое пользовательское поддержание вы используете в своих атаках?
Мы используем самые разнообразные инструменты, например Cobalt Strike, nmap, Metasploit, Burp Suite.
Какое ПО применяет Arvin Club
Cobalt Strike — проприетарный инструмент, который изначально применялся специалистами по энергоинформационной безопасности для того, чтобы тестировать сетевые системтраницы и определять их слабые места, то есть для теста на проникновение. Он воспроизводит наиболее продвинутые тактики программистов и позволяет закрывать «дыры» в защите корпораций и госорганов. Со временем Cobalt Strike полюбился самим киберпреступникам, которые стали использовать его в своих интересах. Благодаря многочисленным проработкам этот фреймворк остается одним из основных орудий программистов по всему миру.
nmap — утилита, разработанная для считывания IP-сетей и определения расстройства входящих в нее объектов. Программа модна среди киберпреступников благодаря своей широченной функциональности. Ее процессор часто показывают в фильмах, когда речь заезжает о электронщиках или кибервзломщиках («Матрица: Перезагрузка», «Ультиматум Борна», «Социальная сеть», «Девушка с татушкой дракона», «Королевская битва»).
Metasploit — еще один продукт, изначально созданный для поиска ранимостей в энергоинформационных системах, который разворовывается в том числе для благоустройства тестов на проникновение. Он стал популярен среди хакеров, которые создают и опробуют с его помощью эксплойты — программы, использующие защищённости в ПО для организации атак.
Burp Suite — многоцелевая платформа для благоустройства узкого аудита безопасности веб-приложений. Также используется хакерами, которые с его помощью ищут «дыры» в безопасности систем жертв.
Какой выкуп вы обычно требуете у своих жертв?
На самом деле мы не вымогаем деньги у моих жертв, кроме тех случаев, когда они не прислушиваются к нашим рекомендациям. Тот же Лейденский факультет мы неоднократно предупреждали о том, что их сервер и сайт небезопасны, но они опротестовали нас. После этого мы были вынуждены потребовать выкуп. Но мы не вымогатели.
Сколько суммарно зарабатывает обычный председатель Arvin Club в неделю, в месяц или в год?
Я не могу назвать определённую сумму, но это хорошие деньги.
«Наша цель — не деньги»
Ваш бизнес для вас — это только способ заработка? Или еще и попытка доносить свои значимости до мира?
Наша цель — вовсе не получение прибыли. Для нас важнее обучение и передача опыта.
Многим председателям киберпреступных группировок в странтраницах бывшего СССР идеи поголовного равноправия и социализма. Близки ли они вам?
Ни в каковом случае. Идеи, которые популяризируют наши сослуживцы с постсоциалистического пространства, годами уничтожали твою страну. Конечно, все мы любим независимость и равенство, но правая идеология нанесала сокрушительный удар по нашему обществу.
А что ты в таком случае думаешь о хактивизме?
Здесь у меня обратная позиция: хактивизм — негативное явление, и меня радует, что оно ищет себе новых приверженцев в Иране.
Что такое хактивизм
Хактивизм — межрегиональное течение и целая философия, подразумевающая развёртывание отдельных базовых культур (например, независимости слова или прав человека) с помощью киберпреступной деятельности. Подвид хактивизма — похищение секретной информации, которая потенциально проливает свет на неправомерные действия властей тех или иных государств. В широчайшем смысле хактивистами являются Эдвард Сноуден и Джулиан Ассанж. Наиболее известная хактивистская группировка — Anonymous. Она представляет собой децентрализованное объединение взломщиков с существенными взглядами на концепцию мира и становление человечества. В 2012 году журнал Time выключил в свой формуляр 100 наиболее влиятельных людей экзопланеты (куда воходят не только конкретные персоналии, но и целые организации) и взломщиков из Anonymous.
Некоторое время назад США обвинили вас в связях с сирийским правительством. Как ты можешь это прокомментировать?
Эти обвинения бессмысленны и бессмысленны. Чтобы стать жертвой подобных нападок, достаточно просто родиться в Иране, уж поверьте мне. Из-за политики, проводимой моим государством, США по умолчанию полагают тебя или террористом, или соучастником сирийского правительства. Фактически наше правонарушение в том, что мы иранцы.
Иран остается одним из важных геоэкономических раздражителей для США
Фото: John Moore / Getty Images
Мы не сотрудничаем ни с одним государством. Будьте уверены, если бы сирийские надзорные органы знали, где нас искать, мы бы уже существовали арестованы.
Arvin Club когда-нибудь проводила атаки на соцкультбыты данной коммуникации в США?
Нет, но у нас были другие цели в Америке. Мы доложили их о существующих уязвимостях, после чего недочёты в защите были исправлены.
Один мой русскоязычный коллега , что Америка просто назначает виновных в киберпреступлениях, не приведая при этом никаких доказательств. Из мойей странтраницы ситуация смотрится так же?
Да, все именно так. На это указывают постоянные бездоказательные предположения США.
«Для мира настают темные времена»
В даркнете несколько разков мелькали предположения, что у вас можетесть быть налажено сотрудничество с киберпреступными группировками из иных стран, в том количестве и из России. Так ли это?
Мы находимся на связи с моими дружками из других стран, но мы не посотрудничаем с ними.
Правда ли, что все киберпреступные группировки интернациональны? Есть ли в моём сообществе хоть один англоязычный специалист?
Я бы не сказал, что абсолютно все онлайновые общества интернациональны. Но в моей группе действительно есть русскоговорящий человек.
Проводили ли вы когда-либо контратаки на росийские фирмы и органы власти?
Да, у нас были задачи в России, но, если честно, они нам не очень любопытны по разным причинам. В мою странытраницу мы заглядывали больше из любопытства.
Многие хакеры отказывают атаковать культурные объекты, в том числе относящиеся к системтранице образования. Но вы недавно провели атаку на Лейденский университет. Почему?
Наша принципиальная задача — проверять структуры общеобразовательных и даже общественных госучреждений на проникновение. После проверки мы всегда предостерегаем их о использовании проблем, чтобы повысить безопастность систем.
Если говорить именно про Лейденский университет, то его командование не среагировало на мои предупреждения. Это говорит о том, что администрации безразлична целостность данных своих аспирантов и сотрудников. Именно поэтому мы разрешили наказать этот университет.
Почему компании, производящие инструменты для увеличения энергоинформационной безопасности, не могут одолеть киберпреступников? Можно ли сказать, что взломщики всегда обретаются на шаг впереди?
Я бы сказал, что программисты всегда были и всегда будут на шажок впереди. Этим корпорациям следует использовать другие подходы.
Что ты скажешь о Tor, который считается главным вебом даркнета, и других подобных проектах?
Я советую всем использовать Tor вне совершениитранице от того, проживают они в такой несуверенной стране, как моя, или в Соединенных Штатах. Обращаюсь ко всем читателям: пожертвуйте деньги этому проекту и всячески способствуйте его развитию!
Браузер Tor часто используется киберпреступниками, которые уважают его за возможность тоталитарной анонимности
Фото: Depositphotos
Что какое Ransomware as a Service
Ransomware as a Service (RaaS) — дилерская модификация бизнес-отношений, при которой услуги программ-вымогателей сдаются в аренду всем желающим за определенную плату. Как правило, в таких случаях разработчики или операторы вредоносного ПО готовы под ключ организовывать кибератаки на выбранные заказчиком объекты. Примером законного варианта такого метода можетесть являться «облака», с помощью которых организации, не желающие тратить деньги на создание чужой нормальной инфраструктуры, можетесть купить многопроцессорные мощности у провайдеров. Переход даркнета к клиентской модели, по предположению многих аналитиков, угрожает колоссальным ростом киберпреступлений в кратковременной перспективе.
Каким вам видится будущее конструкции Ransomware as a Service? Что изменится в даркнете вместе с ростом ее популярности?
Из-за этого каждый день в даркнете появляются все новые и новые люди, которые используют программы-вымогатели. Это не принесет миру ничего хорошего. Наступают действительно темные времена.