Информационная безопасность IT

Необычные виды устройств и гаджетов есть не только у сотрудников спецслужб и агентов 007. Немало девайсов были специально разработаны для нужд хакеров и исследователей безопасности. Что они собой представляют? Мы решили собрать настоящий хакерский чемоданчик.

Зачем это нужно?

Все, кто серьезно занимается пентестом или хакингом, наверняка хоть раз оказывались в условиях, когда для успешного проведения атаки не хватало буквально одного шага. В книге Кевина Митника «Искусство вторжения» (The Art of Intrusion) подробно описана история одного пентеста, в котором препятствие для проверяющих представлял грамотно настроенный системным администратором файрвол. Казалось бы, во внутреннюю сеть компании проникнуть нет шанса. Но один из членов команды обнаружил в приемной рабочий разъем для подсоединения к сети и незаметно подключил к нему миниатюрное устройство для беспроводного доступа (на которое никто так и не обратил внимания до окончания тестирования). Таким образом команда пентестеров получила прямой доступ к внутренней сети компании через Wi-Fi. Это один из многих примеров, иллюстрирующих, что недооценивать хак-девайсы не стоит. Именно поэтому мы сегодня рассмотрим наиболее интересные варианты, которые можно приобрести в Сети.

WARNING!

Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.

 

1. WiFi Pineapple Mark IV

цена: 99,99 $

Животная жажда бесплатного интернета приводит к тому, что люди, приехав в какое-то заведение или, скажем, аэропорт, тут же начинают проверять: а нет ли там бесплатного инета? При этом мало кому известно, что под видом открытого хот-спота может действовать специально настроенный роутер, который перехватывает весь открытый трафик (это несложно, все же «идет» через него) и использует различные виды MITM-атак, чтобы перехватить те данные, которые передаются по защищенному соединению. Для большего успеха злоумышленник может использовать звучное имя сети вроде «Wi-Fi Guest» или вообще маскироваться под популярных провайдеров — тогда от клиентов отбоя не будет. Поддельный хот-спот (Rogue AP) довольно легко поднимается на любом ноутбуке. Однако в хакерских кругах давно известен продуманный до мелочей девайс, реализующий атаку в прямом смысле слова «из коробки». WiFi Pineapple, появившийся еще в 2008 году, сейчас продается в своей четвертой модификации. Первая ревизия девайсов была для шутки замаскирована под ананас — отсюда и название девайса. По сути, это обычный беспроводной роутер (на базе беспроводного чипа Atheros AR9331 SoC и процессора 400 МГц), но со специальной, основанной на OpenWRT прошивкой, в которой по умолчанию включены такие утилиты, как Karma, DNS Spoof, SSL Strip, URL Snarf, ngrep и другие. Таким образом, достаточно включить устройство, настроить интернет (все конфигурируется через веб-интерфейс) — и перехватывать данные пользователей. Роутер нуждается в питании, и это мешает его мобильности; однако существует огромное количество вариантов (что активно обсуждается на официальном форуме) использовать аккумуляторы — так называемые Battery Pack. Они дарят девайсу два-три часа автономной работы.

2. Ubertooth One

цена: 119,99 $

В отличие от перехвата данных в сетях Wi-Fi, который легко устроить с ноутбука с подходящим беспроводным адаптером, анализ эфира Bluetooth — задача куда более сложная. Вернее, была сложной до выступления Майкла Оссмана на конференции ShmooCon 2011 (видео доклада — youtu.be/KSd_1FE6z4Y), где он представил свой проект Ubertooth. Оцени разницу. Промышленное железо для BT-эфира можно было приобрести за суммы, начинающиеся от 10 000 долларов. Майкл рассказал, как собрать подходящий девайс, стоимость которого не превышает ста баксов. По сути, это USB-донгл с возможностью подключения внешней антенны, построенный на процессоре ARM Cortex-M3. Адаптер изначально разработан так, чтобы его можно было перевести в режим promiscuous, в котором возможно пассивно перехватывать данные из Bluetooth-эфира, передаваемые между собой другими девайсами. Это важная опция, потому что большинство донглов обращает внимание лишь на то, что адресовано именно им, игнорируя все остальное, — причем повлиять на такое поведение нельзя. В случае с Ubertooth One можно беспрепятственно перехватывать фреймы из Bluetooth-эфира, причем использовать для этого привычные утилиты вроде Kismet. Можно девайс собрать самому, если руки растут из нужного места, или же купить готовое к использованию устройство в одном из авторизированных магазинов.
3. ALFA USB WiFi AWUS036NHA

цена: 35,99 $

Если говорить об аудите беспроводных сетей, то для реализации атак самым частым и, по сути, единственным препятствием становится неподходящий Wi-Fi-модуль, встроенный в ноутбук. Увы, производители не задумываются о выборе правильного чипа, который, к примеру, поддерживает инъекцию в эфир произвольных фреймов :). Впрочем, нередко нет и более заурядной возможности — просто извлекать данные из эфира. Если покопаться на форумах, то найдешь множество рекомендаций о том, какой адаптер лучше всего подходит для вардрайвинга. Один из вариантов — ALFA USB WiFi AWUS036NHA. Это Wi-Fi USB-адаптер повышенной мощности Alfa AWUS036NHA, построенный на чипсете Atheros AR9271 и работающий в стандартах b/g/n (до 150 Мбит/с). Его без лишних танцев с бубном можно использовать в основных операционных системах, в том числе и скрипткидис-дистрибутиве BackTrack 5, в котором уже собраны все необходимые инструменты для вардрайвинга. К слову, внешний USB-адаптер позволяет работать в привычной винде, при этом использовать все возможности в гостевой системе (том же самом Backtrack), запущенной под виртуальной машиной с проброшенным из основной ОС USB-портом. Адаптер совместим и с Pineapple Mark IV. Начиная с прошивки версии 2.2.0 Pineapple может использовать его для проведения так называемых deauth-атак. Суть атаки довольно проста: клиентам посылаются деаутентификационные фреймы, что заставляет их заново подключаться. Злоумышленник перехватывает WPA handshake’и, которые затем используются для брутфорса WPA-ключа.
4. Reaver Pro

цена: 99,99 $

Как известно, длинная парольная фраза для подключения к беспроводной WPA-сети практически сводит на нет вероятность ее брутфорса. Однако сложность реализации этой атаки испаряется, если беспроводная сеть поддерживает механизм WPS. Об уязвимости в этой технологии мы подробно рассказывали в ][032012, в том числе об ее эксплуатации с помощью утилиты Reaver. Автор этого инструмента выпустил специальный кит, который позволяет реализовать эту атаку. Состоит он из беспроводного модуля и загрузочной флешки с преднастроенным дистрибутивом. Цель атаки — подобрать WPS pin, как только он будет получен, беспроводная точка с радостью предоставит нам свой WPA-ключ. Таким образом, как видишь, длина и сложность ключа не влияют на длительность атаки. В среднем Reaver’у требуется от 4 до 10 часов для подбора WPS pin’а. Честно говоря, когда я впервые прочитал, что существует аппаратная реализация этой атаки, то представлял себе небольшой портативный девайс, который можно незаметно спрятать в зоне уверенного приема нужной точки доступа. Ведь в отличие от брутфорса WPA-ключа, который можно осуществлять где угодно (достаточно лишь перехватить handshake), атака на WPS является активной. То есть необходимо находиться в непосредственной близости от точки доступа: если прием будет недостаточно надежным, то перебор быстро остановится. Хорошей альтернативой Reaver Pro может стать реализованный программный модуль для WiFi Pineapple Mark IV (и серьезный набор аккумуляторных батарей для его питания). Пока все, что предлагает создатель Reaver Pro, — это возможность приостановить атаку, чтобы в следующий раз продолжить с прерванного места.

5. 16dBi Yagi Antenna

цена: 30 $

Все беспроводные устройства обладают серьезным недостатком — ограниченным радиусом действия. Надежный прием часто является ключевым параметром для успешной реализации атаки. Чем ближе ты будешь сидеть к цели вместе со своими «странными» коробочками-устройствами — тем больше внимания ты будешь привлекать и больше подозрений вызывать. Чем дальше от цели — тем это безопасней и незаметней. Существуют всенаправленные (так называемые omni), а также узконаправленные антенны. Для примера мы взяли представителя второго типа — 16dBi Yagi Antenna. Эта узконаправленная антенна позволяет находиться на достаточном расстоянии от беспроводной сети и сохранять необходимый уровень сигнала. Благодаря коннектору RP-SMA ее можно подключить к адаптеру ALFA AWUS036H, «коробочке» WiFi Pineapple, донглу Ubertooth One, а также ко многим другим Wi-Fi-устройствам. Важно понимать, что это лишь одна из тысяч самых разных антенн. В Сети не только продается огромное количество самых разных антенн с разнообразными характеристиками, но и лежит немало инструкций о том, как быстро сварганить антенну из подручных материалов (например, из банки или проволоки).
6. USB Rubber Duck


В одном из недавних номеров у нас была статья о зловредных USB-устройствах, построенных на программируемой плате Teensy. Идея в том, чтобы эмулировать HID-устройство (клавиатуру) и, пользуясь тем, что система воспринимает их как доверенные, эмулировать ввод, который создает в системе нужные нагрузки (например, открытие шелла). USB Rubber Ducky является аналогом Teensy. Сердце устройства — 60-мегагерцевый 32-битный AVR-микроконтроллер AT32UC3B1256, однако хардкодить что-то на низком уровне не требуется. Устройство поддерживает удивительно простой скриптовый язык Duckyscript (похожий на обычные bat-сценарии), на котором к тому же уже реализованы всевозможные пейлоады. Запустить приложение, создать Wi-Fi-бэкдор, открыть reverse-шелл — можно сделать все то же самое, как если бы ты имел физический доступ к компьютеру. Еще большую гибкость предоставляет дополнительное хранилище в виде microSD карточки, на которой можно одновременно разместить несколько пэйлоадов. Функциональность можно расширить за счет подключаемых библиотек, тем более что сама прошивка, написанная на чистом С, полностью открыта и хостится на гитхабе. Микросхема очень маленькая, но для того, чтобы сделать ее использование абсолютно незаметным, разработчики предлагают для нее специальный корпус от флешки.

7. Throwing Star LAN Tap

Следующий хак-девайс также предусматривает, что у атакующего есть доступ: правда, не к конкретному компьютеру, а к кабелям локальной сети. И нужен он для пассивного и максимально незаметного мониторинга сегмента сети. Фишка в том, что его невозможно обнаружить программными средствами, — фактически это просто кусок кабеля, который никак себя не выдает. Как это возможно? Throwing Star LAN Tap выглядит как небольшая микросхема крестообразной формы, на концах которой расположены четыре Ethernet-порта. Представим, что нам надо перехватить трафик между двумя хостами (А и В), соединенными кабелем. Для этого просто перерезаем кабель в любом месте и соединяем получившийся разрыв через Throwing Star LAN Tap. Соединять разрыв надо через порты J1 и J2, в то время как J3 и J4 используются для мониторинга. Тут надо отметить, что J3 и J4 подключены только к жилам, ответственным за получение данных, — это намеренно сделано для того, чтобы мониторящая машина могла случайно послать пакет в целевую сеть (что выдаст факт мониторинга). Throwing Star LAN Tap спроектирована для мониторинга сетей 10BaseT и 100BaseTX и для своей работы не требует подключения источников питания. Благодаря тому что устройство не использует никакого электропитания, оно не может мониторить сети 1000BaseT. В таком случае ему приходится снижать качество связи, заставляя машины общаться на более низкой скорости (обычно скорости 100BASETX), которую уже можно пассивно мониторить. Девайс несложно спаять самому, все схемы открыты (концепция Open Source hardware).

8. GSM/GPS/Wi-Fi-глушилки

цена: От 100 $

Разговаривая о хакерских устройствах, мы не могли обойти такой класс девайсов, как jammer’ы или, говоря по-русски, глушилки. Мы намеренно не стали выделять какой-то отдельный девайс, а решили посмотреть целый класс таких устройств. Все они, независимо от технологии, которую требуется заглушить, основываются на одном и том же принципе — замусоривании эфира. Это одинаково работает для сотовых сетей (GSM), где телефон общается с базовой станцией, или, к примеру, GPS-приемника, который для определения координат должен держать связь сразу с несколькими спутниками. Девайсы отличаются радиусом действия, мощностью, размерами и вообще внешним видом. Подавители сигнала могут быть стационарными (большие бандуры с антеннами) или мобильными, замаскированными, к примеру, под пачку сигарет. В Сети можно найти огромное количество джеммеров, особенно если посмотреть китайские интернет-магазины. Сейчас бушуют споры о том, насколько легально использование подобных глушилок в России. В прошлом году их всерьез предлагали использовать в школах, когда выяснилось (вот это открытие!), что, несмотря на все запреты, школьники все равно проносили мобильники во время сдачи ЕГЭ.
 

9. RFID 13.56MHz Mifare Reader and Writer Module

цена: 65 $

Последние несколько лет одним из неотъемлемых атрибутов каждого офисного работника стала пластиковая карта, позволяющая открывать дверные замки рабочих кабинетов и помещений. Речь идет о картах Mifare Classic 1K. Карта представляет собой пластиковую карту, внутри которой размещена микросхема (чип) с защищенной памятью, приемник, передатчик и антенна. Объем памяти этой карты составляет 0,5, 1 или 4 Кб, а вся память разбита на 16 секторов. Каждый сектор состоит из четырех блоков (три информационных и один для хранения ключей). Минимальный срок хранения данных в памяти карты Mifare составляет 10 лет, а число циклов записи — около 100 000. Такие карты относятся к пассивным устройствам хранения данных, то есть для ее работы и бесконтактной передачи данных энергия и батарея не нужна. Расстояние до считывателя, на котором начинается передача данных, определяется мощностью передатчика считывателя и чувствительностью приемника карты. Если тебе необходимо скопировать такую карту или просто посмотреть, что же там записано, в твоем распоряжении существуют различного рода девайсы. Ведь это так удобно: карты, бывает, ломаются или теряются :). Наиболее популярный девайс для таких затей стоимостью всего 65 долларов. К нему прилагаются несколько «болванок» карт, на которые можно производить клонирование, что позволит тебе сразу окунуться в мир социотехнических методов хакинга. К слову, транспортные компании, осуществляющие пассажирские перевозки, очень часто используют технологию Mifare Ultralight. Помимо этого, существует несметное количество других устройств для работы с менее популярными клиентами в беспроводных сетях связи, например NFC, ZigBee и многие другие. Технология NFC, кстати, является логическим продолжением семейства RFID, работать с которой можно даже с помощью передовых мобильных устройств.

10. KeyGrabber

цена: 38–138 $

Перед нами аппаратный кейлоггер

Идея простая: девайс подключается между компьютером и клавиатурой и на свой накопитель записывает все введенные символы. Естественно, существует огромное количество коммерческих реализаций этой задумки, в том числе серия KeyGrabber, предлагающая модели как для PS/2, так и для USB-клавиатур. Производитель подумал о том, как сделать использование подобных девайсов более незаметным. Ведь мало того, что нужно подключить такой кейлоггер, необходимо еще периодически снимать с него данные. Оказалось, что последнее можно упростить, если снабдить снифер Wi-Fi-адаптером, который может незаметно подключиться к ближайшей точке доступа и отправлять перехваченные данные на e-mail. Этот же производитель также предлагает несколько других полезных решений. Кроме готовых девайсов, выглядящих как переходник, можно купить KeyGrabber Module — готовую микросхему, которую можно внедрить в PS/2- или USB-клавиатуру. Также в продаже есть устройства VideoGhost — «переходничек», подключаемый между монитором и компьютером, который каждые десять секунд сохраняет скриншоты экрана на встроенный накопитель (2 Гб). Существуют версии для DVI-, HDMI-, VGA-разъемов, цена на них начинается от 149,99 доллара.

13. AR.Drone

Этот девайс разительно отличается от всех остальных. Ведь с его помощью можно… нет, не перехватывать трафик, не отлавливать нажатия клавиш и не сохранять снимки рабочего стола — с его помощью можно… подглядывать! Да-да. Современный пентестинг все больше походит на шпионаж, поэтому эксперты не пренебрегают данной возможностью. Честно говоря, увидев AR.Drone в магазине, я вряд ли бы подумал о тестах на проникновение или взломе. Это игрушка чистой воды: обычный квадрокоптер с прикрепленной к нему камерой. Вторая версия AR.Drone снабжена камерой высокого разрешения, поэтому, как бы это фантастично ни звучало и ни напоминало шпионский боевик, можно подглядеть через окно, что происходит в помещении, какое оборудование используется, как ведут себя сотрудники. И не обязательно обладать острым глазом и фотографической памятью: к камере можно присоединить флешку, на которую будет записываться видео. Управлять девайсом проще простого: в качестве пульта можно использовать iPhone, iPad и Android, предварительно установив специальное приложение. Девайс можно использовать и в мирных целях, делая потрясающие снимки с высоты птичьего полета. Так что, даже если подсматривать не за кем, с таким девайсом все равно не заскучаешь.

14. Raspberry Pi

цена: 25 $

Заканчивает наш обзор девайс по имени Raspberry Pi, вокруг которого сейчас много шума. Это простенький одноплатный компьютер, выпущенный компанией Raspberry Pi Foundation. Микросхема выполнена на базе процессора ARM 11 с тактовой частотой 700 MГц и по размеру сопоставима с банковской пластиковой карточкой. Одно из достоинств этого «компьютера» — он идет без корпуса, просто в виде микросхемы, и это позволяет замаскировать его практически подо что угодно. На плате располагаются порты ввода/вывода, два разъема USB 2.0, отсек для карт памяти SD/MMC/SDIO, Ethernet-контроллер, композитный и HDMI-видеовыходы. Как видишь, идеальный вариант для создания своего бюджетного drop-box’а. Вообще, такой девайс с хорошим процессором, небольшим энергопотреблением, возможностью подключения Wi-Fi-адаптера по USB и Linux’ом на борту грех не использовать для скрытой установки. В качестве ОС можно использовать любой Linux-дистрибутив — Debian, Fedora, Ubuntu, но лучше специализированный дистрибутив , выпущенный умельцами специально для установки на Raspberry Pi. Он уже содержит в себе весь необходимый хакерский инструментарий. К тому же умельцы охотно делятся своим опытом установки на него скрытого сервера в анонимной сети I2P, установки Metasploit, создания аппаратного снифера и многого другого.

ФБР против Славика. История охоты на главного российского хакера

Кибервойна между США и самым разыскиваемым российским хакером Евгением Богачевым началась весной 2009 года. Тогда ФБР обратило внимание на то, что недавние пропажи денег с банковских счетов ряда компаний ($100 тысяч здесь, $450 тысяч там) объединяет нечто странное: все они были совершены с IP-адресов внутри самих компаний. Как оказалось, компьютеры были заражены популярным в определенных кругах вирусом-трояном Zeus(«Зевс») – незаметным, гибким и эффективным. Кто придумал его, в ФБР не знали: этот человек был известен только по псевдонимам в сети – Slavik, lucky12345 и еще нескольким, которые ничего не говорили о человеке. Каверстори апрельского Wiredрассказывает подробности восьмилетней безуспешной охоты за хакером.

Zeus проникал в компьютер стандартным способом – через фальшивый имейл от Налогового управления США или уведомления от курьерской компании UPS, которые заставляли пользователя перейти по ссылке. В зараженном компьютере хакеры могли делать что хотели – узнавать пароли, PIN, ответы на «секретные» вопросы и многое другое, как только пальцы владельцев касались клавиатуры. Получая таким образом информацию, злоумышленники опустошали счета своих жертв. Кроме того, подцепившие вирус компьютеры можно было объединить в ботнет – сеть из тысяч машин, чьи ресурсы скрытно использовались. Постепенно Zeus стал любимым оружием киберпреступников – чем-то вроде Microsoft Office для онлайн-мошенничества. Его создатель Slavik вел себя в высшей степени профессионально – регулярно выпускал обновления для программы, устраивал бета-тестирование новых функций.

Д

Денежные мулы

В 2009 году, когда ФБР уже наблюдало за деятельностью Slavik, пишет Wired, тот пошел дальше: начал собирать вокруг себя команду хакеров-единомышленников. Ущерб от их работы оказался огромным – все новые и новые случаи кибермошенничества сыпались на следователей, как спелые груши. Когда в сентябре 2009 года ФБР сумело раздобыть переписку членов группировки на русском и украинском (с расшифровкой сленга пришлось попотеть, признаются агенты), они обнаружили упоминания о сотнях жертв. Чтобы *ичить украденное, мошенники пользовались услугами «денежных мулов» – десятков людей, которые ходили по банкам в Нью-Йорке, открывая там счета и снимая определенные суммы через несколько дней за скромный процент; десятки тысяч долларов на счетах возникали из ниоткуда благодаря переводам Славика и его сообщников. Для некоторых «мулов» это занятие стало постоянной работой: один из них рассказал, что отправлялся снимать деньги в 9 утра, заканчивал в 3 часа дня, а вечера проводил на пляже.

Сеть *ьщиков в США была лишь частью общей картины: впоследствии такие же схемы обнаружились в Румынии, Чехии, Великобритании, на Украине и в России. ФБР удалось связать с группой Славика $70–80 млн, присвоенных таким образом, но реальная сумма, по мнению следователей, гораздо больше.

В 2010 году ФБР и Министерство юстиции США определили местонахождение нескольких лидеров преступной группы – это оказался украинский Донецк. Операция по поимке киберглаварей – троих мужчин в возрасте 20 с лишним лет – состоялась осенью; после нее ФБР удалось провести еще 39 арестов по всему миру и нарушить работу сети, но ключевые игроки ускользнули. Slavik, стоявший за всей схемой, так и остался фантомасом – тем, кого никто никогда не видел.

В

Возвращение

Невидимый хакер затаился примерно на год, а затем, осенью 2011-го, независимые эксперты по кибербезопасности начали замечать, что в сети появились новые варианты Zeus. Исходный код программы фактически оказался в открытом доступе, что позволило желающим адаптировать, улучшать и использовать его в своих целях. Но одна из версий отличалась от всех прочих: она была особенно сложной и имела дополнительные механизмы сохранения работоспособности при атаке со стороны. Называлась она GameOver Zeus – «Игра окончена». Специалисты, изучавшие программу, пришли к выводу, что ее контролирует группа очень умелых хакеров под предводительством Славика. Хакер не только вновь вернулся к активной деятельности, но и создал новую преступную группу – Business Club.

Первоначально Business Club работал с банками, причем метил на счета с шести- и семизначными суммами. Хакеры заражали компьютеры GameOver и перехватывали банковские данные и пароли, как только пользователь входил в свой аккаунт онлайн. Со счета снимали все деньги, а чтобы их владелец и сотрудники банка не успели заметить это, на экран выводилось сообщение об ошибке или сбое в работе, который длился несколько дней. С помощью этой схемы за один день 6 ноября 2012 года, пишет Wired, на изумленных глазах ФБР злоумышленники украли $6,9 млн одной транзакцией. Скрыть такие огромные суммы с помощью *ьщиков в Бруклине уже было невозможно, и вместо этого хакеры прятали денежные переводы внутри самой банковской системы – в триллионных потоках легальных транзакций. Это, признают эксперты, стало революцией в организованной преступности: хакерам не нужно было даже приближаться к стране, из которой они выводили деньги.

Помимо банков, злоумышленники не брезговали любыми суммами, большими и маленькими, лежащими на чьих угодно счетах – некоммерческих организаций, компаний и даже частных лиц. Именно группа Славика ввела в практику кибершантаж, который процветает по сей день: хакеры заражают сторонние компьютеры программой, которая делает невозможным доступ к хранящимся на них файлам, и требуют с владельцев выкуп за снятие блокировки. Размер выкупа был сравнительно небольшим, в среднем $500, но за счет массовости схема приносила неплохой доход. В ноябре 2013 года даже полицейский участок в штате Массачусетс вынужден был заплатить $750 в биткоинах, о которых до этого, как признался местный полицейский, «мы даже не слышали никогда». По оценке компании Dell SecureWorks, в 2013 году конкретной программой CryptoLocker для шантажа были заражены 250 тысяч компьютеров по всему миру.

Остановить Business Club пытались многие: с 2011 по 2013 год коммерческие и некоммерческие специалисты по кибербезопасности (включая антикриминальное подразделение Microsoft) предприняли несколько попыток, которые, однако, не увенчались успехом. Во время одной из операций против GameOver европейские расследователи почти сумели взять вирус под контроль, но оказалось, что у программы был резервный уровень защиты, который программисты не учли. Крестовый поход против сети Славика вновь провалился. Именно тогда европейские специалисты решили объединиться с ФБР.

Глобальная операция

После неудачи с украинскими хакерами ФБР расстроилось, но не забыло. Отдел ведомства по борьбе с киберпреступностью в Питтсбурге следил за успехами GameOver около года, когда с его руководителем Китом Муларски связались независимые эксперты по безопасности. Обычно Бюро не сотрудничает с частным сектором и не делится информацией, но цель – свалить ботнет разошедшегося Slavik – требовала исключений. Работа шла по трем направлениям. Во-первых, необходимо было установить, кто управлял GameOver и кому в будущем предъявлять обвинение – спустя год пристального наблюдения за Business Club у агентов не было ни одного имени. Во-вторых, следовало найти способ одолеть цифровую инфраструктуру вируса. И наконец, нужно было вывести из строя физическую инфраструктуру – добиться решений суда для отключения серверов в самых разных точках земного шара. Параллельно необходимо было, чтобы частные компании обновили свои антивирусные программы и прочее ПО, чтобы восстановить зараженные компьютеры, как только это станет возможно. Словом, команда Муларски начала собирать международный отряд для победы над хакерами, в который вошли специалисты из Великобритании, Швейцарии, Украины, Люксембурга и дюжины других стран, а также эксперты из Microsoft, McAfee, Dell SecureWorks и других профильных компаний.

Постепенно отряд начал понимать, как работает Business Club. Выяснилось, что в группу входит около 50 киберпреступников, каждый из которых оплатил вступительный взнос, чтобы получить возможность контролировать GameOver. Сеть опиралась на два британских сайта. Судя по логам, которые удалось раздобыть расследователям, группа состояла из действительно высококлассных профессионалов. Через несколько месяцев после начала объединенного расследования эксперты из голландской компании Fox-IT напали на важный след: они смогли отследить на британском сервере электронный адрес, который Slavik использовал для управления сайтами Business Club, а затем сумели сопоставить адрес с аккаунтом в одной из российских соцсетей, который наконец дал имя: Евгений Михайлович Богачев. Только недели спустя расследователи поняли, что Богачев и есть тот, за кем они охотятся, – призрак, создавший Zeus и Business Club. Так выяснилось, что Slavik – это тридцатилетний мужчина, живущий в Анапе, у которого были жена, дочь и кот.



Плакат ФБР с фотографией Евгения Богачева и обещанием вознаграждения $3 млн. Фото: Reuters

В процессе расследования эксперты также обнаружили, что GameOver был не только вирусом для кражи паролей к банковским аккаунтам, но и сложнейшим инструментом для сбора разведывательных данных – кто-то, используя программу, искал на зараженных компьютерах информацию о грузинской службе разведки, турецкой полиции, сирийском конфликте, российских поставках оружия. Доступ к этому инструментарию, судя по всему, имел только Богачев. Команда специалистов не смогла выявить прямой связи между хакером и российскими государственными структурами, но предположила, что он работает на российскую разведку: сразу после вторжения в Крым часть ботнета принялась искать засекреченные файлы Украины. По мнению экспертов, Slavik мог начать сотрудничать со спецслужбами в 2010 году, когда симулировал отход от дел, – возможно, в обмен на свободу.

А

Атака

К концу весны 2014-го, после года подготовки, команда борцов с киберпреступностью была готова начать атаку на организацию Славика. Операцию назначили на 30 мая, проинформировав о ней Белый дом. Атака началась в пятницу (причем компания McAfee умудрилась еще до старта разместить на своем сайте объявление в духе «берегись, CryptoLocker и Zeus, игра окончена») и завершилась только спустя 60 часов, в воскресенье вечером. Объединенная команда в Питтсбурге праздновала победу, Slavik перестал пытаться реанимировать свою сеть. На следующий день, 2 июня 2014 года, ФБР и Министерство юстиции США предъявили Богачеву заочное обвинение по 14 пунктам.

В 2015 году ФБР объявило, что готово выплатить за информацию, ведущую к поимке Евгения Богачева, рекордную сумму – $3 млн. Это максимальная награда, когда-либо назначавшаяся за киберпреступника. В конце декабря 2016 года СШАвключилиБогачева в санкционный список. Несмотря на все это, хакер остается на свободе и вне зоны досягаемости ФБР и Госдепартамента. Хотя агенты в Питтсбурге продолжают по крупицам собирать намеки на то, где он может находиться и чем заниматься, местоположение Славика неизвестно; в профиле Богачева на сайте ФБР указано, что он «может путешествовать на катере вдоль берега Черного моря». Главные вопросы, касающиеся этого человека, – каковы его отношения с российскими спецслужбами, сколько денег он присвоил – остаются без ответа. На сайте американского казначейства говорится, что «Богачев и его сообщники ответственны за кражу более $100 млн у финансовых учреждений и государственных агентств США»; в действительности сумма, скорее всего, больше, а круг пострадавших – шире.

Тем временем дело самого разыскиваемого российского хакера продолжает жить. Тактики, которые Slavik использовал одним из первых, стали массовыми, отмечает Wired, распространение злокачественных программ набирает обороты. Сегодняшние ботнеты – например, Mirai, сеть зараженных девайсов интернета вещей – даже опаснее созданий Богачева.