Примечание редактора: в интересах изучения нерассказанных историй кибербезопасности The Record публикует недавнее интервью между хакером в серой шляпе и аналитиком по анализу угроз Recorded Future.
Субъект интервью, RedBear, - русскоязычный исследователь и тестировщик на проникновение. В последние годы он стал популярным в даркнете благодаря тому, что управляет веб-сайтом, на котором он анализирует вредоносные программы и предоставляет учебные пособия и учебные курсы для киберпреступников. RedBear охватил такие темы, как внедрение SQL и XSS, атаки удаленного и локального включения файлов и атаки с подделкой межсайтовых запросов. Мало что известно о личности RedBear, но он был активен на нескольких хакерских форумах как минимум с 2013 года.
Интервью было проведено в Telegram экспертом по анализу угроз компании Recorded Future Дмитрием Смилянецом и переведено на английский с помощью профессионального переводчика. Приведенный ниже разговор, который был слегка отредактирован для ясности, состоялся в четверг, 20 августа.
Дмитрий Смилянец: Как вы попали в информационную безопасность?
RedBear: Несколько лет назад мой знакомый одобрил меня как «специалиста по компьютерам» для некоторых бизнесменов. Я пришел на встречу и много лгал о том, что знаю и что могу делать. У них было не так много работы для меня - они попросили меня сделать сайт и обновить его информацией. Изучил тему, сделал сайт на бесплатном движке, заполнил инфу, немного изменил дизайн. Я знал HTML и CSS еще со школы.
Клиенту так понравилось, что они договорились о зарплате. Они продавали мясо, но на самом деле были просто умными посредниками.
Я периодически выкатывал патчи, а потом заметил, что есть эксплойт для той же CMS, что и у нас. Я проверил, и все заработало. Как это работало - понятия не имел. Так что я медленно начал изучать PHP, SQL и т. д.
К тому времени, когда меня наняли, я уже успел поработать какое-то время системным администратором, взломать некоторые RDP и даже продать некоторые из них.
Какая ваша любимая веб-уязвимость?
РЦЭ.
Опишите хакерскую сцену в 2020 году - каковы основные тенденции?
Что я знаю? Тенденции остаются прежними - блокировка сетей, перехват кредитных карт, рассылка электронных писем с целевым фишингом, использование карт для iPhone.
Становится ли хакерская сцена менее талантливой? O г есть еще сильные люди в этой отрасли?
Нет спада в навыках, только новые лица. Весь мир оцифровывается, приходят новые люди. Многие методы настолько хорошо описаны и автоматизированы, что любой новичок может добиться определенных результатов, просто зная, в какой последовательности нажимать кнопки и вводить команды. Это может создать впечатление, что «сцена» (если ее можно так назвать) деградирует. Но это было бы неправильно. Есть много сильных людей. Многие, я уверен, могут жать лежа в 10 раз больше их собственного веса (смеется).
Вы когда-нибудь работали в западной компании? Если нет, было бы вам интересно?
Официально… Я точно не знал. Неофициально ... Не знаю, кто угодно может запросить и воспользоваться моими услугами, паспорт не прошу. KYC [знай своего клиента], это не обо мне.
Было бы мне интересно? Вопрос только в уровне оплаты труда и этичности, можно ли вообще использовать этот термин.
Как вы думаете, вас могут заинтересовать западные спецслужбы?
На мой взгляд, в спецслужбах должен быть хоть какой-то отбор сотрудников. И этот отобранный персонал должен провести хоть какой-то анализ. Основываясь на этих двух суждениях (возможно, необоснованных), я предполагаю, что после проведения минимального анализа моих «творческих способностей» даже для аналитика, не имеющего образования в области информационных технологий (если таковые имеются), станет ясно, что я вообще не представляю интереса. .
Какую черту вы никогда не переступите?
В психологии есть такое понятие - фундаментальная ошибка атрибуции. Это склонность объяснять действия других людей их личными качествами, а свои собственные - внешними обстоятельствами. Я не знаю, в каких жизненных обстоятельствах я могу оказаться, и поэтому не знаю, какие красные линии я перейду или не перейду. Отвечая на такой вопрос, легко сказать что-то, что потом окажется пустой чушью. Кто-то может подумать, что я сделал что-то не так, потому что я плохой или что я беспринципный. Но на самом деле дело просто в том, что я оказался в определенных обстоятельствах. Вы знаете, теперь я вижу, что мой ответ был бы таким же. Т.е., конечно, если я умею работать с сетями, - тогда кто, черт возьми, знает, чем бы я занимался. Может, буду работать. И, может быть, я буду искать другой способ заработать деньги.
Но в целом мои действия редко были мотивированы прибылью, в основном любопытством и весельем.
Что больше всего беспокоит спецслужбы и правоохранительные органы в СНГ [Содружестве Независимых Государств]?
Если мы говорим о ФСБ, то, вероятно, об оппозиционных, исламских и праворадикальных террористах. Если мы говорим о ГРУ / СВР - не знаю.
Вы следите за сценами в области информационной безопасности в Азии и Латинской Америке?
В общем, нет. Я только ковырялся на некоторых китайских сайтах. Ну, иногда читаю, что пишет Orange Tsai.
Вы участник давнего китайского хакерского форума t00ls?
Я помню, как переходил с этого сайта в блог, но на сам форум я не заходил.
Что вы думаете о Group-IB и их публичных исследованиях «fxmsp» и «redcurl»? [Примечание редактора: Group-IB - компания по анализу угроз безопасности и конкурент Recorded Future, основанная уроженцем России Ильей Сачковым]
Не думаю, что стоит заострять внимание на каких-то конкретных исследованиях Group-IB, тогда ответ станет менее актуальным, но если говорить о Group-IB в целом, то придется говорить об Илье Сачкове, и он неоднозначный персонаж. Не хочу привлекать к себе его внимание, он может меня застрелить.
Но им каким-то образом удается получить очень уникальную информацию - как вы думаете, они сотрудничают с черными шляпами?
Что ж, здесь есть несколько возможностей:
- Их сотрудники являются инсайдерами в разных хакерских группах на низком уровне, например, достань мне это, достань мне то, зашифруй это, разработай то.
- Они тайно взламывают админку ботнета и т.д.
- Они используют административный ресурс вроде - а это хостинг [.] Ru? У вас здесь размещается какая-то чушь, заблокируйте аккаунт и пришлите нам архив.
- Один из аферистов любит слишком много болтать, а некоторые из их сотрудников действительно хорошие слушатели.
- 24/7 мониторинг всей активности на публичных и закрытых форумах.
- Собственные сервисы приманки для черных шляп (VPN, Jabber и т. д.).
- Также те варианты, которые я не упомянул, но которые очевидны.
Как вы относитесь к атакам программ-вымогателей?
Я не имею к ним никакого отношения, попытки связать меня с ними - демагогия и ложь.
Почему ты так думаешь?
Я негативно отношусь к конкретным случаям использования программ-вымогателей. Это было бы более точное заявление. Например, когда его используют против медицинских учреждений. Я помню случай, когда больнице пришлось отменить операции и переместить пациентов в разные палаты именно из-за атаки шкафчиков. Гипотетически атака могла произойти во время реальной операции, что имело бы серьезные последствия. Более того, для некоторых пациентов даже перевод в другое здание сам по себе является стрессовой ситуацией.
Другой пример - бездумно загружать его всем. Например, средний пользователь теряет всю свою информацию (фотографии, видео, которые в некотором смысле могут быть бесценными). При этом цена выкупа может быть для них недоступна. Здесь вы попадаете в безвыходную ситуацию. Вы испортили вещи для человека и не получили от этого никаких денег. Что-то в этом роде… С моральной точки зрения тут нечего одобрять. Я могу немного понять, когда банки блокируются, но я не могу понять, когда атакуют больницы.
Какая машина вашей мечты?
Советский танк Т-34
Забавно, но я никогда не мечтал об автомобилях. Т-34 - выбор истинных патриотов.
Как вы думаете, могут ли США и Россия сотрудничать в области информационной безопасности, в том числе киберпреступности?
На этот вопрос нельзя ответить кратко. Если отбросить мои предположения, есть факты, указывающие на то, что в одних секторах есть сотрудничество, в других нет сотрудничества, а в некоторых сферах сотрудничества нет и никогда не будет.
Что вы думаете о сотрудничестве хакеров и государства?
Наверное, какое бы определение слова «хакер» мы ни использовали, сотрудничество однозначно есть.
Как вы думаете, это происходит? На чьей стороне инициатива?
Ну, если государство набирает таланты в Сколково, это одно. Но если государство вербует «таланты» по уголовному делу, то это совсем другое.
Инновационный центр «Сколково»
Западные исследователи различают Fancy Bear и Cozy Bear. Как вы думаете, в этом есть смысл?
Я эту тему не изучал и не могу дать грамотного ответа.
А вот ребята, которые реально выполняют задачи, они не работают через HR, поэтому не ограничиваются одной группой?
Что ж, если рассматривать весь этот анализ как единое целое, то одни относятся к СВР, другие - к ГРУ, и это две совершенно разные организации. Я думаю, что там настолько велика секретность, что они даже не знают друг о друге.
Вы верите, что информационная безопасность существует, достижима или можно что-нибудь взломать?
Информационная безопасность - это процесс, поэтому достичь его практически невозможно. Это недостижимая цель, похожая на достижение «конца радуги» или горизонта.
Вы опубликовали исследование, которое потенциально идентифицировало человека, стоящего за прозвищем Билар, русскоязычного злоумышленника. Многие люди с хакерской сцены говорят, что вы приговорили парня. Что вы думаете об этом?
У этого товарища была довольно длинная предыстория. Я знал, что он затеял какую-то фигню еще в 2019 году. В статье я просто описал взлом его сервера C2, не раскрывая никакой информации о нем. Более того, я намеренно исказил некоторые данные исследований, чтобы он имел возможность скрыть свои следы. Я был уверен, что он отреагирует так же, как и сам. У него уже были проблемы с клиентами, он плохо справлялся с ними, действовал очень неадекватно. Сейчас он пишет, что «сотрудничает с СБУ и что все персики и сливки». Но я напомню вам, что он продавал анализатор кредитных карт (мистер Сниффа), так что если вы действительно думаете, что я обрекал одного парня, сколько я сэкономил?
Какие книги оказали на вас наибольшее влияние?
Что сразу приходит мне в голову: Роберт Грин (у меня почти все в печатном виде), Чалдини (4 в печатном виде), Макиавелли и Сун-Цзы и еще несколько. Ну, психология тоже, на Чалдини я не остановился. Есть книги по математике, электронике, программированию, логике, философии, энциклопедии. В моей библиотеке почти нет художественной литературы. Какой-то Солженицын, но по мере прочтения, скорее всего, избавлюсь от него.
Что вы можете сказать о русскоязычном хакере FlatL1ne? При царе в России всегда был шут - у меня есть версия, что это назначенный шутник. Насколько я далек от истины?
Продолжая аналогию - для королевского шута костюм недостаточно хорош.
Расскажи мне секрет.
Я не совсем медведь.
Кто ты?
Секрет.
Субъект интервью, RedBear, - русскоязычный исследователь и тестировщик на проникновение. В последние годы он стал популярным в даркнете благодаря тому, что управляет веб-сайтом, на котором он анализирует вредоносные программы и предоставляет учебные пособия и учебные курсы для киберпреступников. RedBear охватил такие темы, как внедрение SQL и XSS, атаки удаленного и локального включения файлов и атаки с подделкой межсайтовых запросов. Мало что известно о личности RedBear, но он был активен на нескольких хакерских форумах как минимум с 2013 года.
Интервью было проведено в Telegram экспертом по анализу угроз компании Recorded Future Дмитрием Смилянецом и переведено на английский с помощью профессионального переводчика. Приведенный ниже разговор, который был слегка отредактирован для ясности, состоялся в четверг, 20 августа.
Дмитрий Смилянец: Как вы попали в информационную безопасность?
RedBear: Несколько лет назад мой знакомый одобрил меня как «специалиста по компьютерам» для некоторых бизнесменов. Я пришел на встречу и много лгал о том, что знаю и что могу делать. У них было не так много работы для меня - они попросили меня сделать сайт и обновить его информацией. Изучил тему, сделал сайт на бесплатном движке, заполнил инфу, немного изменил дизайн. Я знал HTML и CSS еще со школы.
Клиенту так понравилось, что они договорились о зарплате. Они продавали мясо, но на самом деле были просто умными посредниками.
Я периодически выкатывал патчи, а потом заметил, что есть эксплойт для той же CMS, что и у нас. Я проверил, и все заработало. Как это работало - понятия не имел. Так что я медленно начал изучать PHP, SQL и т. д.
К тому времени, когда меня наняли, я уже успел поработать какое-то время системным администратором, взломать некоторые RDP и даже продать некоторые из них.
Какая ваша любимая веб-уязвимость?
РЦЭ.
Опишите хакерскую сцену в 2020 году - каковы основные тенденции?
Что я знаю? Тенденции остаются прежними - блокировка сетей, перехват кредитных карт, рассылка электронных писем с целевым фишингом, использование карт для iPhone.
Становится ли хакерская сцена менее талантливой? O г есть еще сильные люди в этой отрасли?
Нет спада в навыках, только новые лица. Весь мир оцифровывается, приходят новые люди. Многие методы настолько хорошо описаны и автоматизированы, что любой новичок может добиться определенных результатов, просто зная, в какой последовательности нажимать кнопки и вводить команды. Это может создать впечатление, что «сцена» (если ее можно так назвать) деградирует. Но это было бы неправильно. Есть много сильных людей. Многие, я уверен, могут жать лежа в 10 раз больше их собственного веса (смеется).
Вы когда-нибудь работали в западной компании? Если нет, было бы вам интересно?
Официально… Я точно не знал. Неофициально ... Не знаю, кто угодно может запросить и воспользоваться моими услугами, паспорт не прошу. KYC [знай своего клиента], это не обо мне.
Было бы мне интересно? Вопрос только в уровне оплаты труда и этичности, можно ли вообще использовать этот термин.
Как вы думаете, вас могут заинтересовать западные спецслужбы?
На мой взгляд, в спецслужбах должен быть хоть какой-то отбор сотрудников. И этот отобранный персонал должен провести хоть какой-то анализ. Основываясь на этих двух суждениях (возможно, необоснованных), я предполагаю, что после проведения минимального анализа моих «творческих способностей» даже для аналитика, не имеющего образования в области информационных технологий (если таковые имеются), станет ясно, что я вообще не представляю интереса. .
Какую черту вы никогда не переступите?
В психологии есть такое понятие - фундаментальная ошибка атрибуции. Это склонность объяснять действия других людей их личными качествами, а свои собственные - внешними обстоятельствами. Я не знаю, в каких жизненных обстоятельствах я могу оказаться, и поэтому не знаю, какие красные линии я перейду или не перейду. Отвечая на такой вопрос, легко сказать что-то, что потом окажется пустой чушью. Кто-то может подумать, что я сделал что-то не так, потому что я плохой или что я беспринципный. Но на самом деле дело просто в том, что я оказался в определенных обстоятельствах. Вы знаете, теперь я вижу, что мой ответ был бы таким же. Т.е., конечно, если я умею работать с сетями, - тогда кто, черт возьми, знает, чем бы я занимался. Может, буду работать. И, может быть, я буду искать другой способ заработать деньги.
Но в целом мои действия редко были мотивированы прибылью, в основном любопытством и весельем.
Что больше всего беспокоит спецслужбы и правоохранительные органы в СНГ [Содружестве Независимых Государств]?
Если мы говорим о ФСБ, то, вероятно, об оппозиционных, исламских и праворадикальных террористах. Если мы говорим о ГРУ / СВР - не знаю.
Вы следите за сценами в области информационной безопасности в Азии и Латинской Америке?
В общем, нет. Я только ковырялся на некоторых китайских сайтах. Ну, иногда читаю, что пишет Orange Tsai.
Вы участник давнего китайского хакерского форума t00ls?
Я помню, как переходил с этого сайта в блог, но на сам форум я не заходил.
Что вы думаете о Group-IB и их публичных исследованиях «fxmsp» и «redcurl»? [Примечание редактора: Group-IB - компания по анализу угроз безопасности и конкурент Recorded Future, основанная уроженцем России Ильей Сачковым]
Не думаю, что стоит заострять внимание на каких-то конкретных исследованиях Group-IB, тогда ответ станет менее актуальным, но если говорить о Group-IB в целом, то придется говорить об Илье Сачкове, и он неоднозначный персонаж. Не хочу привлекать к себе его внимание, он может меня застрелить.
Но им каким-то образом удается получить очень уникальную информацию - как вы думаете, они сотрудничают с черными шляпами?
Что ж, здесь есть несколько возможностей:
- Их сотрудники являются инсайдерами в разных хакерских группах на низком уровне, например, достань мне это, достань мне то, зашифруй это, разработай то.
- Они тайно взламывают админку ботнета и т.д.
- Они используют административный ресурс вроде - а это хостинг [.] Ru? У вас здесь размещается какая-то чушь, заблокируйте аккаунт и пришлите нам архив.
- Один из аферистов любит слишком много болтать, а некоторые из их сотрудников действительно хорошие слушатели.
- 24/7 мониторинг всей активности на публичных и закрытых форумах.
- Собственные сервисы приманки для черных шляп (VPN, Jabber и т. д.).
- Также те варианты, которые я не упомянул, но которые очевидны.
Как вы относитесь к атакам программ-вымогателей?
Я не имею к ним никакого отношения, попытки связать меня с ними - демагогия и ложь.
Почему ты так думаешь?
Я негативно отношусь к конкретным случаям использования программ-вымогателей. Это было бы более точное заявление. Например, когда его используют против медицинских учреждений. Я помню случай, когда больнице пришлось отменить операции и переместить пациентов в разные палаты именно из-за атаки шкафчиков. Гипотетически атака могла произойти во время реальной операции, что имело бы серьезные последствия. Более того, для некоторых пациентов даже перевод в другое здание сам по себе является стрессовой ситуацией.
Другой пример - бездумно загружать его всем. Например, средний пользователь теряет всю свою информацию (фотографии, видео, которые в некотором смысле могут быть бесценными). При этом цена выкупа может быть для них недоступна. Здесь вы попадаете в безвыходную ситуацию. Вы испортили вещи для человека и не получили от этого никаких денег. Что-то в этом роде… С моральной точки зрения тут нечего одобрять. Я могу немного понять, когда банки блокируются, но я не могу понять, когда атакуют больницы.
Какая машина вашей мечты?
Советский танк Т-34
Забавно, но я никогда не мечтал об автомобилях. Т-34 - выбор истинных патриотов.
Как вы думаете, могут ли США и Россия сотрудничать в области информационной безопасности, в том числе киберпреступности?
На этот вопрос нельзя ответить кратко. Если отбросить мои предположения, есть факты, указывающие на то, что в одних секторах есть сотрудничество, в других нет сотрудничества, а в некоторых сферах сотрудничества нет и никогда не будет.
Что вы думаете о сотрудничестве хакеров и государства?
Наверное, какое бы определение слова «хакер» мы ни использовали, сотрудничество однозначно есть.
Как вы думаете, это происходит? На чьей стороне инициатива?
Ну, если государство набирает таланты в Сколково, это одно. Но если государство вербует «таланты» по уголовному делу, то это совсем другое.
Инновационный центр «Сколково»
Западные исследователи различают Fancy Bear и Cozy Bear. Как вы думаете, в этом есть смысл?
Я эту тему не изучал и не могу дать грамотного ответа.
А вот ребята, которые реально выполняют задачи, они не работают через HR, поэтому не ограничиваются одной группой?
Что ж, если рассматривать весь этот анализ как единое целое, то одни относятся к СВР, другие - к ГРУ, и это две совершенно разные организации. Я думаю, что там настолько велика секретность, что они даже не знают друг о друге.
Вы верите, что информационная безопасность существует, достижима или можно что-нибудь взломать?
Информационная безопасность - это процесс, поэтому достичь его практически невозможно. Это недостижимая цель, похожая на достижение «конца радуги» или горизонта.
Вы опубликовали исследование, которое потенциально идентифицировало человека, стоящего за прозвищем Билар, русскоязычного злоумышленника. Многие люди с хакерской сцены говорят, что вы приговорили парня. Что вы думаете об этом?
У этого товарища была довольно длинная предыстория. Я знал, что он затеял какую-то фигню еще в 2019 году. В статье я просто описал взлом его сервера C2, не раскрывая никакой информации о нем. Более того, я намеренно исказил некоторые данные исследований, чтобы он имел возможность скрыть свои следы. Я был уверен, что он отреагирует так же, как и сам. У него уже были проблемы с клиентами, он плохо справлялся с ними, действовал очень неадекватно. Сейчас он пишет, что «сотрудничает с СБУ и что все персики и сливки». Но я напомню вам, что он продавал анализатор кредитных карт (мистер Сниффа), так что если вы действительно думаете, что я обрекал одного парня, сколько я сэкономил?
Какие книги оказали на вас наибольшее влияние?
Что сразу приходит мне в голову: Роберт Грин (у меня почти все в печатном виде), Чалдини (4 в печатном виде), Макиавелли и Сун-Цзы и еще несколько. Ну, психология тоже, на Чалдини я не остановился. Есть книги по математике, электронике, программированию, логике, философии, энциклопедии. В моей библиотеке почти нет художественной литературы. Какой-то Солженицын, но по мере прочтения, скорее всего, избавлюсь от него.
Что вы можете сказать о русскоязычном хакере FlatL1ne? При царе в России всегда был шут - у меня есть версия, что это назначенный шутник. Насколько я далек от истины?
Продолжая аналогию - для королевского шута костюм недостаточно хорош.
Расскажи мне секрет.
Я не совсем медведь.
Кто ты?
Секрет.
