- Мой батя тебя через даркнет найдет
Пока русские хакеры затариваются #doshirak в Wallmart и окуривают спайсами кейкапсы своих клавиатуры, нас найдут между листами гиганской луковицы на огороде в следующем перевоплощении, чтобы праведно перепрожить жизнь, выйти из кармического loophole, чтобы не попасть в /dev/null, вспоминая опыт прошлых жизней по видео-урокам истории в виртуальной школе. Раздел про информационную третью мировую, подраздел "Теневой интернет". Глава Ransomware.
Пятно на белой шляпе
Был один эпизод, который инициировал. Через общего знакомого, обратился владелец подающего на большие размеры среднего бизнеса в одном европейском городе. Он столкнулся с определенными условиями, которые надо преодолеть, чтобы бизнес развивался дальше. За каждый гигабайт данных внешнего диска, где так бережно хранилась вся база клиентов, история сделок, документов, бухгалтерских отчетов, проектной документации и прочей важной бюрократии, за отсутвие которой совет директоров вместе с партнерами уже искали виновника, чтобы превратить его жизнь в хардкор букаке пати, предлагалось заплатить 1000 единой валюты. Общая сумма насчитывалась до ста пачек Евы, что само по себе было не пугающей суммой для владельца бизнеса и он легко расчехлил бы ее и забыл про ноющих сотрудников, которые уже готовили жалобы в комиссию из-за задержки зарплаты в следствии форс-мажора и искали другое место работы, ожидая выплат от страховой, но если и позволять кому-то такой сношение с собой, принимая сабмиссив позицию, то хотелось бы полноценного контакта с доминантом, а не безжизненный текстовый файл с биткоин кошельком на рабочем столе. Это надо было видеть, по ту сторону ransomware, что очень помогло в будущем увеличить "пробив".Вот наш братка пригодился. Извращенная бизнес смекалка, построенная на мусорских схемах 90-ых, в которые то и дело он влипал и клялся никогда с мусорами не связываться, оставила отпечаток в душе и он тут же предложил взаимовыгодную схему – найти в даркнете этих русских (кто бы сомневался) хакеров и договориться с ними о скидке. Жирным плюсом, в качестве аперетива предстоящего дела, с дуру, пообещал ответить за свои слова и взять на себя все риски, выступив в качестве страхового агента на данную сумму, что по нашему, просто говоря, вложиться своими деньгами, в случае если облажается. Впрочем, это возымело должный эффект и послужило решающим триггером, и в голове уже начался перебор, какой именно гарант форума поможет в данном деле. Сабмиссив увидел свой потенциал в роли доминанта и клюнул на крючок.
Было морально проще обставить проклятого капиталиста, ведь ложь и двуличие – это его главный инструмент, почему бы его не столкнуть с тем же?
Бесконечно вдохновляясь статьями и успехами коллег по цеху про криптование и обход антивирусов, постепенно становилось ясно, что человеческий мозг сроден устройству компьютера: достаточно подать слишком длинную строку на input в дискретную звуковую карточку через ушную раковину, случиться buffer overflow, при отсутствии натренированного с годами garbage collector'a в подсознании конкретной модели человека и пока процессор счищает лапшу в оперативной памяти, можно успеть затолкать определенные команды через командую строку, подняв привилегии, практически до суперпользователя. Понятно, надо соблюдать правильный синтаксис, чувствовать тайминги и иметь хотя базовый набор эксплоитов. И самое замечательное, что прошивку люди не любят обновлять, для них это потеря старых программ и неизбежное возникновение конфликта зависимостей. В общем, что-то похожее на upgrade старого ядра линукса на latest, на котором еще не все обкатано, да и не на все устройства портированы драйвера, что-то работает, а что-то нет, вот из-за этих стрессов не особо и любят обновлятся. А вот, например, над скриптами для человеко-роботов в колл-центрах, уже давно работают братья кардеры, занимаясь реверсивной психологией, анализируя тот или иной output при прозвонах.
"Если ты думаешь, что криптолокер на коленке и html фейк на почту пробьет компухтер и золотое дно у CEO из Fortune 500, который отправит биткоины по американски улыбаясь "Was pleasure to meet you, sir" – х#й там. Тема уже не работает. Даже не суйтесь." - братка был жесток и всегда защищал свою корову, убеждая что там денег нет. Но в его словах присутствовала и истина тоже. Ему самому было тяжело, накипело. Он понимал, что без хорошей команды не справиться и всегда был чуток, давая всем шанс проявить себя.
После продолжительной практики вымогательств через интернет, появилось множество мелочей, которые многое говорят о носителе разума по другую сторону экрана. Чем быстрее отвечает собеседник в переписке, тем более он откровенен и имеет серьезное дело. Важно все.
Хоттабыч
Их познакомил голубь, издав свой звук и запросил авторизовать контакт, обменяться ключами OTR. Уже по строчке mcabber-1.1.0 в мета-данных контакта, как по отблеску хромированных часов с надписью Swiss Made, стало ясно многое и братка заострил внимание для диалога.Операция ответа на сообщение состоит из пяти фаз: 1) прочтение, 2) обдумывание, 3) написание ответа, 4) проверки написанного, 5) отправка. Если первая и вторая фаза занимают 2-3 секунды, третью можно сократить за счет практики слепой печати и удобной клавиатуры, то на 4-ую и 5-ую тратят время только нубы. Таких можно скидывать в низкий приоритет, давить alt+tab и заниматься своими делами. С нормальным контактером, после обмена 2-3 репликами, устанавливается беспрерывная связь, а если есть еще рабочий процесс, то здесь важно быть профессионалом своего дела и озвучивать реальные тайминги на каждую операцию, чтобы не терять контакт и действовать в общем потоке.
Мы ненавидим шантажистов, но поделать с ними ничего не можем, потому что шантажисты хитры и безжалостны.
Это справедливо для всех. Даже в переписке по Whatsapp. При потоковом общении достигается эффект кокона и происходит определяющая лингвистическая схватка, в ходе которой ясно, есть ли страх, вынуждающий заплатить выкуп и насколько отчаянно его пытается прикрыть разум какой-нибудь напускной и нелепой уверенностью. Заранее записанные звонки с робо-войсом, требующие перечислить биткоины – вызывают лишь смех и недоумение.
Приходит текстовое предупреждение, которому слабо вериться, но достаточно пару раз сдержать слово и когда начинают сыпаться алерты о нарушении безопасности, следом кто-то звонит и под диктовку в левое полушарие тело начинает наполняться страхом, попутно перепрыгивая вниманием на забегающем сотруднике с жалобой о том, что пароли уже не подходят и по общей обстановке в офисе. "Да он у меня с ума сойдет сейчас, нахрапом возьмем, все и сразу. По моей отмашке выключай ему сайт", братка знает толк в перегрузах.
Вот и вся работа. Все что до – это подготовка к этому решающему моменту. Все что после – сжигание мостов.
Вопрос в смекалке и накопленному жизненному опыту, который может себя спонтанно проявить, особенно когда нет времени на подумать и какую-либо подготовку. Но со временем, появляются инструменты, рычаги, педали, схемы и трюки. А потом этот опыт необходимо передать, иначе он начинает протухать и мешает накоплению нового.
В поисках таких педалей, приходят самые разнообразные идеи, одна из которых была нажата на сотрудника, в порыве толи алчности толи мести, он стал информатором: глазами и ушами в офисе и подливал масла в котел emergency responce team.
Вообще, не все любят, когда кошмарят их персонал. В конце концов, биг бос оценит, если дать ему возможность сохранить лицо не только перед клиентами, заплатив выкуп и вернув репутацию, но и перед сотрудниками, которые еще никогда не видели такой страх в глаза начальника. Ведь он им говорит как работать, жить и вести себя, имеет репутацию.
Всегда было важно общаться с человеком, принимающим решения, опыт в кол-центре и топорные скрипты с трюками в стиле: "Peter Woodman speaking, John waiting for my call regarding last contract that has mistake, it's urgent, tell him please it's more valuable whatever he's busy on right now, I'll wait on a line for his voice. Thanks" – это помогает выйти на ЛПР с обходом gatekeeper'a. Не важно, каким бы эффектным образом на экране появился бы биткоин кошелек. Нужно живое общение, передача состояния. Не зря добавляют онлайн-чаты на лик-сайты вымогателей, но все давно уже просветленные и следуют Омару: “Не удерживай то, что уходит, и не отталкивай то, что приходит. И тогда счастье само найдет тебя. “. Поэтому будь этим счастьем, прийди и будешь принятым.
Так вот, о Хоттабыче.
Началось все с простой мысли – прервать ежеминутный поток бабла. Ниш и сайтов в интернете много и далеко не у всех этот поток вообще имеется, а особенно такой плотности, чтобы не было в облом заплатить за его восстановление, платить ИБ-сесурити и пытаться защититься.
Такие бизнесы они не сильно любят выпячиваться и в основном это b2b, например колл-центры. Они сильно боятся и хорошо платят. Были и майнкрайт сервера, но там надо запариться над эмуляцией сетевого общения клиента игры, чтобы прочно обосноваться в нише. Были так же HYIP проекты, что очень логично. Но как-то не задалось, т.к. владелец такого проекта запутал не только всех его вкладчиков, но и сам себя, у него попросту не было достаточной суммы денег. Ему проще слиться с той накопленной суммой и забросить проект, чем платить выкуп.
Кризис
Все чаще пускались руки, приходилось себя заставлять совершать зло. Это похоже на обычную лень или как часто говорят офисные смузихлебы "прокрастинация". Но находились еще в жизни увлекающие занятия, которые уносили в оффлайн и все меньше хотелось проводить времени на теневых форумах, обкручивая в голове новые схемы и новости в мире IT. Прожив уже спрятанную внутри злость на правительство, партнеров, коллег, друзей, излив ее на всех своих жертв, вспоминаются с улыбкой те коварные затеи и их воплощение в реальность. Высвободив все накопившееся – нет мочи более злонамеренно действовать. Невольно, неприятности сами находили братку. Кого-то, было удобно обвинить в своих неудачах. Кто-то обманывал его так же как и он это делал. Все это давало последующее право на возмездие, хоть и ни в чем непричастному человеку. И повторялось. Новый поиск дерьма в который вляпаться и новое желание отыграться на ком-нибудь. Маятник раскачивался и каждая новая партия становилась сложнее, подсвечивались ранее незаметные ходы и решения, а так же и диллемы, например, стоит ли жестко поступать с человеком, который, хоть и мерзко, но безобидно объегорил?
Готов ли ты встретить то, что сам готовишь для другого? Ведь легко отделаться – это именно то чего каждый бы пожелал друг другу.
Хоттабыч отсраненно реагировал на подобную шелуху, писал: just business. Ведь это тоже, по своей сути оказываемая услуга. Однажды, после очередной хвалебной речи перед батей об успехах, братка передал ему мобильный телефон, где как раз был открыт диалог с очередным "клиентом" и предложил своими словами объяснить человеку, что он должен денег за услугу.
На своем, близком душе, русском языке, стало видно тогда эту игру и легкость, собеседник буквально поменялся на глазах. Как будто, через написанный текст, передавался не просто смысл в словосочетаниях, а устанавливался полноценный контакт, живое взаимодействие. Словно сели они за пивом и шашлыками в беседке и решили все накипевшие вопросы, которые не поднимали ранее из-за напряженности в них.
Тогда и подсветилось, что-то, что ясно и точно сообщило. Хладнокровность это всего лишь маска и непонимание того, что происходит, попытка побега. Да и нет смысла выплескивать свою злость, ненависть или неудачи на других, даже наказывать других мошенников или коллег по цеху, деанонить тех кто обидел и плакаться публично что кто-то является негодяем и крысой. Вкладывая сильную эмоцию в другого, прилетит unhandled exception throw в stack traceback через других людей или обстоятельства.
В чем сила, брат?
"Начиналось все довольно давно, в Post-EbaMazon Fraud эру, как раз во времена Modern Booking VCC Cashout, с того момента как мы с Хоттабычем обменялись первыми UDP пакетами. Он был таким себе сетевым шаманом, не просто умел, а практиковал нестандартные способы и подходы. Там, где большинство людей объясняют себе весь мир законами физики, он представит все в виде скорости светового пучка в опто-волокне между client-server."С нестандартностями братка познакомился еще в игровухе, с Жекой, который не играл в халфу, он в ней жил, а поскольку, постигал жизнь он через невозможности и нестандарты, ему не было интересно набивать фраги или следовать сюжету, он всегда сворачивал на неведомую тропинку и все скрипты глючили, а NPC терялись в шоке от непредвиденного. Жека проплачивал час, два или больше игрового времени, если это требовалось и упорно ходил по crossfire, ставил растяжки в skybox, кидал гранаты в текстуры, запускал жучков под себя в прыжке, в общем все то, что создатели игры никак не ожидали от игрока. Интересно, сколько людей на планете открыли для себя джамп на жучках, как он, а не просто повторили за кем-то? Не то чтобы он сильно упорно это делал, он всегда резко заливался смехом предвкушения, заприметив малейшее отклонение от задуманного и всеми известного паттерна происходящего. Жеку, скорее всего, избивал отец, были слышны крики из его балкона, когда его звали пацаны гулять. И поскольку, он не мог выйти из этого сюжета, в который втянула его мамка, встретившись с таким альфа-самцом, он находил другую матрицу и пытался выйти из нее, играючи. Может, это было своеобразной тренировкой на бдительность в реальности, чтобы увидеть уязвимость, всунуть кавычку и просочиться в базу данных через нее, увидев все секретные пароли.
Все эти технологии по типу crimeflare или cloudflare ip leak, а точнее банальные ошибки админов, когда они настраивают сервер, были детскими шалостями, контрольные работы ботаников. Хоттабыч находил эндпоинты будто светлячков в лесу, которые едва подсвечивались ему в темноте неуловимыми пучками отраженного оптоволоконного света. По ним он и выходил на цель. Да, можно просканировать все айпи всех крупнейших датацентров, но что если по IP не отдавался frontend? Хоттабыч говорил, что замечает оставание часов по http выдаче, задержки по traceroute и ищет вплоть до отпечатка favicon.ico. Поэтому с ним работать было одно удовольствие.
Залечь на дно в Новочебоксарске
А вот когда наш братка заигрался общаясь с CEO по аудио связи, переворачивая шампуры и сетки с мясом над огнем, он уже понял, что его жертва определила русские корни: "You're from CIS". Много было мест, где акцент мог выдать, да и звонок был с 3g из под VPN, к которому нет доверя через SIP. К которому тоже его нет, хоть он и был зарегистрирован дропа. Сноуден давно рассказал, что АНБ прослушивает микрофоны телефонов удаленно, вот тогда и добила параноя, когда они начали расследование со спецслужбами по финансовому следу. А еще эти сесурити ресерчеры начали пиариться на чужой работе.Учитывая, что на какого-то из менял биткоинов могут выйти, было разумно не оставлять никаких личных следов, но среди прочего, было столь много деталей: куски кода, headers емейл письма, сервера, отпечаток голоса, да что угодно – все это вскипало в голове и не давало спокойно жить.
Новая личность была не дорогая и быстрая. Блефаропластика изменила бы разрез глаз, немного ринопластики(всегда хотелось убрать этот горбик на носу), несколько инъекций под скуловую кость и в подбородок(ямочка говорят сексуально), некоторое время, поколебался насчет шрамирования, решено было обойтись лазерной коррекцией формы бровей, щетины и контура волосяного покрова головы(засылины хорошо старят и добавляют сходу +10 лет). Но когда уже присматривалась клиника по кольцевой кератопигментации радужки глаз раздался звонок в дверь и в мыслях начался кавардак в поиске наиболее снисходительного вида психического расстройства, под которое получиться закосить, с минимальным колличеством нейролептиков в ежедневном приеме фармы. Парафренный синдром или навязчивая параноидальная шизофрения объяснила бы всю ту конспирологию на ноутбуке но в медицинской практике эта форма имеет довольно низкий процент успешного лечения... Но через стеклышко глазка отчетливо была видна тетка с планшеткой, скорее всего, по проверке счетчика, что она и подтвердила, брякнув в ответ на "кто там?".
Все это было похоже на сплошной бедтрип и только лишь предание всех гаджетов огню за чертой города, выпустило пар вскипевшего чайника. Догорающий, почвакиющий пластик, минуту назад шипяще испускающий клубы дыма, стекая по платам, обнажал камень с двадцати двух нанометровыми транзисторами которые все еще продолжали обрабатывать поступающую информацию, перемигивая в огне зловещими огоньками, обещая забрать с собой все секреты.
Выход, призрачный, хоть и иллюзорный, не 100%-тный, но давал спокойствие, надежду, оставалось лишь ежемесячно проплачивать сервер, чтобы все данные которые были получены в ходе утечки не были опубликованы со ссылкой на несколько аккаунтов разных файлообменников со ссылкой на почту информаторам. Да, это ежемесячная работа, своеобразный договор – расследование не будет продолжаться, пока оплачивается сервер и информация не предана публичности. А как только в новостях всплывает любая статья про утечку или начало расследования – все данные публикуются. За это и производится оплата. За тишину, длинною в жизнь. Жаль только лишь, что деньги закончатся раньше. Тогда и появилась идеи абонплаты.
Сама идея, воспринимать себя абонентом по оплате за одну и ту же, определенную угрозу, довольно сложна для понимания. На первый взгляд. Но об этом чуть позже.
Пост-квантовая параноя
Галактическая Нить Персея-Пегаса закручивается и все ускоряется в геометрической прогрессии, с приходом квантовых компьютеров с чипами, которые работают не на нано-метровых транзисторах, а на световых пучках и элементарных частицах, очевидно, что в 2022 или в 2024, или, на крайняк, в 2030-ом, все дампы переписок в jabber под otr будут расшифрованы брутом на квантовых чипах.Туда же все https логи vpn-провайдеров, и прочий шифропанк. Федералы США поднимут все архивы и всех задеанонят, возьмут на карандаш.
Поэтому важно, уже сейчас, задумываться что использовать, а не полагаться на до-квантовые криптоалгоритмы. И пора уже наконец сменить привычный jabber brat2 at creep dot im, но пока нет достойных альтернатив. Лучше будем готовиться к первым кибер-квантовому криминалу - квантовый брутфорсер приватных ключей биткоин кошельков. Хоть бы python на кванты тоже перевели бы.
Ну а пока, рансомварщикам вроде братки, осталось себе заработать достойную пенсию, хоть и не такую большую, как премиальные выплаты за проделанную работы, но зато стабильно выплачиваемую и гарантирующую безопасность. У компаний появится ежемесячная графа расходов на outsourcing informational security research и появятся новые формы ИБ-компаний, на гранях bug bounty и ransomware, личности которых никто никогда не видел, но зато надежно охраняющих от олдскульных ransomware подонков. Такие себе двойные агенты в DarkNet.
Отрывки из личных записей рансомварщика на пенсии.
Дата публикации 29 октября 2020 от Рождества Христова,
Носитель-первоисточник материала в сети WWW интернет, домен xss в доменной зоне is
Адрес: галактическая Нить Персея-Пегаса, комплекс сверхскоплений "Рыб-Кита", "Ланиакеа", Местная группа галактик, сверхскопление Девы, галактика "Млечный путь", рукав Ориона, Солнечная система, планета "Земля", Российская Федерация, Московская область, Москва, Казанский пер., 7/19, 119991, подъезд №1, правое крыло, офис 13, справа у окна, за столом с ноутбуком.
Последнее редактирование:
