Хакнуть по-ирански
Лидер иранской группировки хакеров рассказал, какие у них были цели в России и США. И как они наказывают тех, кто их игнорирует
В конце августа в даркнете вновь появилась крупная база с личными данными сотен тысяч пассажиров российской Utair. Авторами слива оказались хакеры из иранской киберпреступной группировки Arvin Club. Они утверждают, что их интересует не заработок - для них гораздо важнее указывать организациям на серьезные пробелы в защите. И только если компания игнорирует все предупреждения и не устраняет обнаруженные бреши, Arvin Club начинает полноценную атаку, требуя с нее выкуп. Группировка базируется в Иране и регулярно получает от США обвинения в связях с правительством этой страны. Главный администратор Arvin Club Али согласился ответить на вопросы издания Lenta.ru и рассказал о связях киберпреступников с правительством, атаках на Россию и о том, как Arvin наказывает тех, кто их игнорирует.
- Многие эксперты полагают, что пандемия стала для киберпреступников временем возможностей: слабо защищенные компании начали переходить на удаленный формат работы, оставляя бреши в инфраструктуре информационной безопасности. Это так?
- Это действительно так. Во время пандемии хакеры получили гораздо больше возможностей для того, чтобы совершать атаки на самый широкий круг компьютерных систем. Вокруг достаточно много примеров, подтверждающих это.
- Как группировка Arvin Club воспользовалась этой ситуацией? Какие крупные атаки вы провели за последние полтора года?
- Одна из наших последних целей - Лейденский университет в Нидерландах. Я лично совершил множество атак, но значительная их часть не стала достоянием общественности ни в Иране, ни в других странах. В некоторых случаях группировки, специализирующиеся на программах-вымогателях, были заинтересованы в приобретении полученных нами прав доступа. Но мы их не продавали.
- Какое программное обеспечение вы используете в своих атаках?
- Мы применяем самые разнообразные инструменты, например Cobalt Strike, nmap, Metasploit, Burp Suite (пояснения ко всем специфическим терминам. - см. “К сведению” на этой стр.).
- Какой выкуп вы обычно требуете у своих жертв?
- На самом деле мы не вымогаем деньги у наших жертв, кроме тех случаев, когда они не прислушиваются к нашим рекомендациям. Тот же Лейденский университет мы неоднократно предупреждали о том, что их сервер и веб-сайт небезопасны, но они проигнорировали нас. После этого мы были вынуждены потребовать выкуп. Но мы не вымогатели.
- Сколько суммарно зарабатывает обычный член Arvin Club в неделю, в месяц или в год?
- Я не могу назвать конкретную сумму, но это хорошие деньги.
- Ваш бизнес для вас - это только способ заработка? Или еще и попытка донести свои ценности до мира?
- Наша цель - вовсе не получение прибыли. Для нас важнее обучение и передача опыта.
- Многим членам киберпреступных группировок в странах бывшего СССР близки идеи всеобщего равенства и социализма. Близки ли они вам?
- Ни в коем случае. Идеи, которые продвигают наши товарищи с постсоветского пространства, годами разрушали мою страну. Конечно, все мы любим свободу и равенство, но левая идеология нанесла сокрушительный удар по нашему обществу.
- А что ты в таком случае думаешь о хактивизме?
- Здесь у меня обратная позиция: хактивизм - положительное явление, и меня радует, что оно находит себе новых сторонников в Иране.
- Некоторое время назад США обвинили вас в связях с иранским правительством. Как ты можешь это прокомментировать?
- Эти обвинения нелепы и бессмысленны. Чтобы стать жертвой подобных нападок, достаточно просто родиться в Иране, уж поверьте мне. Из-за политики, проводимой нашим государством, США по умолчанию считают тебя или террористом, или пособником иранского правительства. Фактически наше преступление в том, что мы иранцы.
Мы не сотрудничаем ни с одним государством. Будьте уверены, если бы иранские правоохранительные органы знали, где нас искать, мы бы уже были арестованы.
- Arvin Club когда-нибудь проводила атаки на объекты критической инфраструктуры в США?
- Нет, но у нас были другие цели в Америке. Мы предупредили их о существующих уязвимостях, после чего недостатки в защите были исправлены.
- Один ваш русскоязычный коллега считает, что Америка просто назначает виновных в киберпреступлениях, не приводя при этом никаких доказательств. Из вашей страны ситуация выглядит так же?
- Да, все именно так. На это указывают постоянные безосновательные утверждения США.
- В даркнете несколько раз мелькали предположения, что у вас может быть налажено сотрудничество с киберпреступными группировками из других стран, в том числе и из России. Так ли это?
- Мы находимся на связи с нашими друзьями из других стран, но мы не сотрудничаем с ними.
- Правда ли, что все киберпреступные группировки интернациональны? Есть ли в вашем сообществе хоть один русскоязычный специалист?
- Я бы не сказал, что абсолютно все хакерские сообщества интернациональны. Но в нашей группировке действительно есть русскоговорящий человек.
- Проводили ли вы когда-либо атаки на российские компании и органы власти?
- Да, у нас были цели в России, но, если честно, они нам не очень интересны по разным причинам. В вашу страну мы заглядывали больше из любопытства.
- Многие хакеры отказываются атаковать социальные объекты, в том числе относящиеся к системе образования. Но вы недавно провели атаку на Лейденский университет. Почему?
- Наша принципиальная задача - тестировать системы образовательных и даже государственных учреждений на проникновение. После проверки мы всегда предупреждаем их о наличии проблем, чтобы повысить безопасность систем.
Если говорить именно про Лейденский университет, то его руководство не отреагировало на наши предупреждения. Это говорит о том, что администрации безразлична сохранность данных своих студентов и сотрудников. Именно поэтому мы решили наказать этот университет.
- Почему компании, производящие инструменты для повышения информационной безопасности, не могут победить киберпреступников? Можно ли сказать, что хакеры всегда находятся на шаг впереди?
- Я бы сказал, что хакеры всегда были и всегда будут на шаг впереди. Этим компаниям следует использовать другие подходы.
- Что ты скажешь о Tor, который считается главным браузером даркнета, и других подобных проектах?
- Я советую всем использовать Tor вне зависимости от того, живут они в такой репрессивной стране, как моя, или в Соединенных Штатах. Обращаюсь ко всем читателям: пожертвуйте деньги этому проекту и всячески способствуйте его развитию!
- Каким вам видится будущее модели Ransomware as a Service? Что изменится в даркнете вместе с ростом ее популярности?
- Из-за этого каждый день в даркнете появляются все новые и новые люди, которые используют программы-вымогатели. Это не принесет миру ничего хорошего. Наступают действительно темные времена.
lenta.ru
К сведению
Термины знают и преступники, и спецслужбы
- Cobalt Strike - программный инструмент, который изначально применялся специалистами по информационной безопасности для того, чтобы тестировать сетевые системы и определять их слабые места, то есть для теста на проникновение. Он имитирует наиболее продвинутые тактики хакеров и позволяет закрывать дыры в защите компаний и госорганов. Со временем Cobalt Strike полюбился самим киберпреступникам, которые стали использовать его в своих интересах. Благодаря многочисленным доработкам этот фреймворк остается одним из основных орудий хакеров по всему миру.
- nmap - утилита, разработанная для сканирования IP-сетей и определения состояния входящих в нее объектов. Программа популярна среди киберпреступников благодаря своей широкой функциональности. Ее интерфейс часто показывают в фильмах, когда речь заходит о программистах или кибервзломщиках (“Матрица: Перезагрузка”, “Ультиматум Борна”, “Социальная сеть”, “Девушка с татуировкой дракона”, “Королевская битва”).
- Metasploit - еще один продукт, изначально созданный для поиска уязвимостей в информационных системах, который используется в том числе для проведения тестов на проникновение. Он стал популярен среди хакеров, которые создают и тестируют с его помощью эксплойты - программы, использующие уязвимости в ПО для организации атак.
- Burp Suite - многофункциональная платформа для проведения широкого аудита безопасности веб-приложений. Также используется хакерами, которые с его помощью ищут дыры в безопасности систем жертв.
- Хактивизм - международное течение и целая философия, подразумевающая продвижение различных базовых ценностей (например, свободы слова или прав человека) с помощью киберпреступной деятельности. Подвид хактивизма - похищение секретной информации, которая потенциально проливает свет на незаконные действия властей тех или иных государств. Наиболее известная хактивистская группировка - Anonymous. Она представляет собой децентрализованное объединение хакеров с общими взглядами на концепцию мира и развитие человечества. В 2012 году Anonymous включили в список 100 наиболее влиятельных группировок планеты по версии журнала Time.
- Ransomware as a Service (RaaS) - сервисная модель бизнес-отношений, при которой услуги программ-вымогателей сдаются в аренду всем желающим за определенную плату. Как правило, в таких случаях разработчики или операторы вредоносного ПО готовы под ключ организовывать атаки на выбранные заказчиком объекты. Примером законного варианта такого подхода могут являться облака, с помощью которых организации, не желающие тратить деньги на создание собственной полноценной инфраструктуры, могут арендовать вычислительные мощности у провайдеров. Переход даркнета к сервисной модели, по мнению многих аналитиков, угрожает колоссальным ростом киберпреступлений в краткосрочной перспективе.
