Охота за хакерами
admin
🕛 31.05.2005, 01:04
В октябре прошлого года правоохранители провели свою самую значительную операцию: разгромили группу The ShadowСrew, размах криминальной деятельности которой, по данным спецслужб, сопоставим с объемом продаж торгового портала eBay. Вот как, по информации представителей властей, действовала эта преступная группировка и как с ней справились. В доме без вывески в центре Вашингтона Брайан Нэйджел (Brian K. Nagel) и еще 15 агентов Секретной службы США, находясь в оснащенном по последнему слову высоких технологий командном центре, готовились к проведению крупнейшей в истории операции по задержанию банды киберпреступников. На огромной карте США на экранах 12 цифровых мониторов высвечивались адреса проведения операции- от Аризоны до Нью-Джерси. Был вторник 26 октября 2004 года. До начала операции Firewall оставалось всего ничего. Объект: группировка ShadowCrew, члены которой, по данным правоохранителей, занимались кражей личных данных, махинациями с банковскими счетами и сбытом через Интернет добытого преступным путем. Несколько месяцев агенты Секретной cлужбы следили за каждым их шагом, воспользовавшись для этого секретным входом на их сайт shadowсrew.com. C целью застать всех подозреваемых дома член группировки, ставший полицейским информатором, настоял на том, чтобы все собрались за компьютерами для общего сбора онлайн.
В 9 часов вечера замдиректора Секретной службы по расследованиям отдал приказ о начале операции. Агенты, вооруженные пистолетами Sig-Sauer 229 и полуавтоматическими пистолетами-пулеметами MP5, выдвинулись на позиции. Поддержку им оказывали и местные полицейские, и полицейские службы других стран. Адреналин бил ключом - по некоторым данным, кое-кто из ShadowCrew был вооружен. Удалось задержать 28 человек, большинство из них сидели за своими компьютерами. Предполагаемые главари шайки вели себя спокойно, но один подозреваемый выпрыгнул из окна второго этажа и был схвачен на земле. Позднее у него в квартире был найден заряженный автомат. Операция прошла быстро и бескровно. «[Кибербанды] привыкли считать, что их никто никогда не найдет, - говорит высокий, решительно настроенный Нэйджел. - Мы их встряхнули».
За порядок в киберпространстве бьется теперь новое поколение борцов с преступностью - охотники за хакерами. Возможность загребать большие деньги привлекла в Интернет профессиональных киберпреступников, которые сменили хакеров-любителей. Защитные программы совершенствуются быстро, но правоохранители и компании по кибербезопасности понимают: в деле борьбы с эпидемией атак хакеров, компьютерных взломов и Интернет-мошенничеств рассчитывать только на технологии больше уже нельзя. Борцы с киберпреступностью перераспределяют силы и берут на вооружение тактику внезапных действий исподтишка - внедрение в группы хакеров, мониторинг чатов в подпольных сетях, а по возможности задержание плохих парней, до того, как те успеют нанести очередной удар. «Будущее за тактикой инфильтрации внутрь таких групп с последующим сбором информации и ликвидацией», - считает Кристофер Пейнтер (Christopher M.E. Painter), замглавы сектора компьютерных преступлений Минюста США, который на намеченном на октябрь суде над участниками ShadowCrew будет поддерживать сторону обвинения.
Шаг за шагом полиция начинает разбираться в правилах игры. Частично они прибегают к тактике, применявшейся против организованной преступности в 1980-х, - использованию информаторов и своего рода прослушки для киберсетей. И упорно работают над новыми методами борьбы. Сотрудник ФБР Дэниэл Ларкин (Daniel J. Larkin), прослуживший в Бюро 20 лет, возглавляет Центр по работе с заявлениями о преступлениях в Интернете. Когда нужно приподнять завесу анонимности, идентифицировать преступника и отследить его, Ларкин привлекает поставщиков Интернет-услуг. Данные, предоставленные ФБР и порталом eBay, помогли румынской полиции в конце апреля задержать 11 членов банды, создававших фальшивые счета eBay и выставлявших на аукцион сотовые, лэптопы и камеры, которые они доставлять не собирались. «С каждым днем мы работаем все лучше», - отмечает Ларкин.
К тому же они становятся более открытыми для сотрудничества. ФБР и другие занимающиеся расследованиями органы подвергаются критике за то, что борются друг с другом почти так же яростно, как с обычными уголовниками. Но что касается борьбы с киберпреступностью, то здесь они взаимодействуют как ни в какой другой сфере. Правоохранители на местах, на уровне штатов и на федеральном уровне регулярно обмениваются информацией и проводят совместные операции. ФБР и Секретная служба, получившая право расследовать финансовые преступления еще будучи частью Минфина США, создали в Лос-Анджелесе объединенную спецкоманду по киберпреступлениям. Госструктуры тоже налаживают контакты с технологическими компаниями и частными экспертами по безопасности, которые нередко первыми вскрывают преступления и находят улики.
Поэтому охотники за хакерами - это люди очень разные. И Ларкин здесь оказывается в одной компании с Микко Хиппоненом (Mikko H. Hypponen), директором по антивирусным исследованиям финской компании безопасности F-Secure Corp. Ларкин - застегнутый на все пуговицы 45-летний уроженец Индианы (штат Пенсильвания), отточивший свои профессиональные навыки во время операции Illwind - расследования 1980-х годов об откатах, которые выплачивались подрядчиками Пентагона его чиновникам. А Хиппонену - 35, он эксперт по компьютерам и живет на острове к юго-западу от Хельсинки, где помимо него живут еще меньше ста человек и стадо лосей.
Они побеждают
ПОЧЕМУ разные структуры и люди в последнее время начали действовать вместе, ясно: плохие-то парни побеждают. Они крадут все больше денег, личных данных, выводят из строя все больше корпоративных компьютеров и взламывают все больше доселе безопасных сетей. По данным исследовательской фирмы Computer Economics Inc., в прошлом году общий ущерб составил не менее $17,5 млрд., что само по себе рекорд, и на 30% выше, чем в 2003 году. Среди пострадавших были компьютеры НАСА: один из главных подозреваемых в этом деле - 16-летний хакер из шведского университетского городка Упсала.
Отчасти проблема усугубляется тем, что у правоохранителей нет всего необходимого для отпора киберпреступникам. Им однозначно не хватает финансовых ресурсов, чтобы соответствовать техническим возможностям и географическому размаху, с которыми делают свое черное дело их противники. Из своего $5-миллиардного бюджета на 2005 финансовый год на борьбу с киберпреступлениями ФБР выделит только $150 млн. (без учета расходов на личный состав), несмотря на то, что это направление считается третьим по значимости после борьбы с терроризмом и контрразведки. Секретная служба финансовые проблемы не обсуждает. Оба ведомства агрессивно лоббируют в конгрессе выделение дополнительных средств.
Не очень-то способствует борьбе с киберпреступлениями и право-применительная практика. «Хакнуть» компьютерную сеть долго считалось чем-то вроде прикола, и обычно наказание ограничивалось тем, что провинившегося легонько хлопали по рукам. Однако эти настроения меняются. Прокуроры начинают решительно применять Computer Fraud & Abuse Act, предусматривающий наказание до 20 лет тюремного заключения. До сих пор самым длительным сроком тюремного заключения за подобные преступления были 9 лет, к которым подсудимого приговорили в декабре прошлого года. Теперь прокуратура намерена провести показательный процесс по делу ShadowCrew. В случае признания их виновными несколько членов банды могут получить от 5 до 10 лет. «Последствия обязательно должны быть», - уверен Пейнтер.
Самые хитрые хакеры по-прежнему кругами бегают от полиции. Российская банда HangUp Team «долбит» торговые сайты и водит своих преследователей за нос уже два года, заявляют полицейские чины. Банда запускает в компьютеры программы-вирусы, которые крадут пароли, и сдает напрокат обширные компьютерные сети под рассылку спама и вирусов. HangUp Team прячется на самом виду. Ее сайт - rat.net.ru/index.php - украшен красно-черной свастикой с молниями. На блоге обсуждаются хакерские методы и ведется антиамериканская пропаганда. Лозунг банды: In Fraud We Trust. «Мы полагаем, что знаем, что они делают, где их искать и кто они такие», - говорит Нэйджел. Но захватить их властям пока не удалось. Причины Секретная служба не называет.
Троянский конь
БЫТЬ на шаг впереди правоохранителей преступникам помогает дьявольская изворотливость. В январе 2004 года новый вирус MyDoom атаковал сайт SCO Group Inc., компании по разработке софта. Она утверждала, что софт Linux с открытым исходным кодом нарушает ее авторские права, и большинство экспертов были уверены, что создатель MyDoom - решивший отомстить фанат Linux. Они ошибались. Хотя увязка ситуации с SCO запутала дело, в конечном счете оказалось, что MyDoom действовал как троянский конь, заразив миллионы компьютеров, а потом открыв черный ход своему создателю. Через 8 дней после атаки автор вируса украл персональные данные владельцев зараженных компьютеров. Хиппонен из F-Secure вовремя догадался, что происходит, и предупредил своих клиентов. Но для множества других пользователей было уже слишком поздно. Ущерб от MyDoom составил $4,8 млрд. За всю историю это вторая по масштабам потерь вирусная атака. «Противник, с которым мы ведем борьбу, меняется», - сетует Хиппонен.
И в самом деле, сегодняшние кибермошенники небывало организованны. Чем-то это напоминает мафию: в хакерских группах есть свои «крестные отцы», определяющие стратегию, свои капо, отдающие приказы, и «бойцы» для грязной работы. А вот соблюдать обет молчания, омерту, им легче - Интернет ведь анонимен. Считается, что в ShadowCrew входили 4000 человек со всего мира - американцы, бразильцы, британцы, россияне и испанцы. «Организованная преступность поняла, что может делать в киберпространстве то, что делает на улице», - говорит Питер Эллор (Peter G. Allor), бывший «зеленый берет», возглавляющий сбор информации в фирме Internet Security Systems Inc. в Атланте.
И все же, возможно, есть надежда на то, что в этой войне наступит перелом. Среди правоохранителей, занимающихся проблемами киберпреступности, дело ShadowCrew считается образцовым. Они нередко не желают раскрывать подробности своих операций, но в данном случае Секретная служба и Минюст решили предать гласности историю пока еще редкого успеха. Поэтому согласились раскрыть BusinessWeek внутреннюю динамику этой игры в кошки-мышки. Это дело позволяет заглянуть в закрытый мир киберпреступников и увидеть, какие методы используются для борьбы с ними.
А. ДЖЕЙМС МЕЛНИК iDEFENSE Директор по разведке угроз
Мелнику 51 год, 13 из которых во времена холодной войны он проработал в Defense Intelligence Agency аналитиком отдела Советского Союза. Свободно говорит по-русски. В ночь похищения Михаила Горбачева заговорщиками в 1991 году он отвечал за информирование о происходившем тогдашнего министра обороны Дика Чейни (Dick Cheney). Женат, четверо детей. Более всего известен своим журналом Weekly Threat Report, который предлагает читателям самый бескомпромиссный анализ ситуации с хакерами, особенно русскими.
Началось все с того, что неожиданно стакнулись студент-вечерник Scottsdale Community College в Аризоне Эндрю Мантовани (Andrew Mantovani) и некогда работавший ипотечным брокером Дэвид Эпплярд (David Appleyard) из Линвуда (штат Нью-Джерси), в двух шагах от Атлантик-Сити. Эта парочка и возглавляла ShadowCrew с 2002 года и до момента своего ареста осенью прошлого года, говорится в обвинительном заключении, поданном в окружной суд США в Нью-Джерси - именно в этом штате располагались серверы преступной группы. Считается, что познакомились они в Интернете, хотя подробности их первой встречи неизвестны. Со своих домашних компьютеров Мантовани (сейчас ему 23 года) и Эпплярд (45 лет), как утверждается, руководили сайтом shadowcrew.com, который являлся клиринговым центром для краденых кредиток и личных документов. «Это был криминальный рынок», - отмечает Нэйджел, прослуживший в Секретной службе 22 года и охранявший президентов Джорджа Буша-старшего и Билла Клинтона.
Факты указывают на то, что группа ShadowCrew была в основном детищем Мантовани. Студент бизнес-факультета Scottsdale стал настоящим предпринимателем, сидя перед экраном собственного компьютера. Как говорят чиновники Минюста, до этого он входил в другую кибершайку, занимавшуюся преимущественно хранением украденных данных. Далее, считает обвинение, ему пришла в голову идея свести покупателей и продавцов в некоем онлайновом анклаве, где они могли бы сбывать краденый товар и делиться хакерскими трюками. Когда сайт уже сформировался, он частенько напоминал участникам чатов, что может помочь им подняться или упасть в иерархии банды в зависимости от степени их лояльности и преданности ему, рассказывает Скотт Кристи (Scott S. Christie), бывший заместитель прокурора, помогавший сформулировать обвинение. «[Мантовани] было важно, чтобы его воспринимали как духовного лидера Shadow-Crew», - говорит Кристи.
Если Мантовани был мозгом, то Эпплярд - мышцами, указывается в обвинении. В Интернете старший товарищ представал в образе бывшего солдата. Он имел ник Black Ops и был готов наказать всякого, кто нарушал неписаные правила. Однажды член банды по кличке ccsupplier не доставил проданный им товар и не сумел вернуть уплаченные деньги. Эпплярд, как утверждается, тут же вывесил на сайте ShadowCrew его настоящее имя, адрес и телефоны, мгновенно выведя его из бизнеса. В другом случае, согласно утверждениям полиции, в электронном письме он угрожал человеку физической расправой. А проживал бывший ипотечный брокер вместе с женой, двумя детьми и матерью, страдающей болезнью Альцгеймера.
Банда ShadowCrew получала номера кредиток и другую ценную информацию, прибегая к хитрым уловкам. Любимой была рассылка миллионов электронных писем якобы от вполне реальных компаний типа Yahoo! Inc. и Juno Online Services Inc. На самом же деле письма были фальшивками, с помощью которых преступники получали пароли и номера кредиток. Банда отлично умела взламывать базы данных и скачивать бухгалтерскую информацию. По данным источников, близких к следствию, ShadowCrew «грохнула» сети 12 компаний, которые даже не знали, что их системы взломаны. Названия этих компаний не разглашаются.
Так как большинство членов преступного сообщества днем работали на обычной работе, банда оживала по ночам в воскресенье. С 10 вечера до 2 ночи сотни человек встречались он-лайн, сбывая данные по кредитным картам, паспортам и даже оборудование для изготовления поддельных удостоверений личности. Платиновые кредитки стоили дороже золотых. За большие объемы предлагались скидки. Каков был масштаб бизнеса? Как-то в мае 2004 года член банды по кличке Scarface за одну сделку продал 115 695 украденных номеров кредиток. За два года своей деятельности банда произвела операций с кредитными картами на $4,3 млн. Реальная сумма добычи может быть в два раза больше, считают спецслужбы. Это был своего рода портал e-Bay теневого мира.
Слишком заметно
ПРЕДПРИЯТИЕ было организовано довольно сложно. Согласно обвинительному заключению Мантовани, фигурировавший под ником ThnkYouPleaseDie, и Эпплярд, который работал под кличками BlackBagTricks и Black Ops, были «администраторами». Они отвечали за стратегическое планирование, определяли, кто из соискателей может получить доступ на сайт ShadowCrew, и собирали средства с участников на функционирование сайта. «Модераторы» курировали он-лайновые форумы, где участники банды могли обмениваться информацией об изготовлении фальшивых удостоверений личности или задавать вопросы о том, как сделать внешне достоверные электронные письма-фальшивки. Под ними были «обозреватели», которые сортировали украденную информацию, такую как номера кредитных карт, по качеству и ценности. Самая большая группа, «продавцы», продавала товары другим членам банды, нередко на сетевых аукционах. Скорость имела решающее значение, поскольку номера кредиток следовало использовать быстро - до того, как их аннулируют.
Но масштабы операций были слишком большими - такие от полиции не спрячешь. В середине 2003 года Секретная служба начала операцию Firewall по выявлению поставщиков фальшивых кредитных и дебетовых карт. И ShadowCrew быстро попала в ее поле зрения, рассказывает Нэйджел, поскольку входила в число самых крупных сетей, открыто работающих в Интернете. Несколько месяцев спустя агенты завербовали в информаторы члена ShadowCrew. Его имя и подробности вербовки не раскрываются, но из показаний следует, что он был высокопоставленным членом банды и одним из ее «модераторов». В августе прошлого года этот человек помог Секретной службе создать новый вход на сайт, а потом пустил среди своих слух, будто он безопаснее. Так была организована первая в истории «прослушка» частной компьютерной сети в соответствии с законом 1968 года о юридических нормах прослушивания средств связи. «Мы стали shadowcrew.com», - говорит Нэйджел.
Это был большой успех, ведь теперь спецслужбы могли выявить все контакты членов ShadowCrew. Среди них был Омар Данани (Omar Dhanani), он же Voleur («вор» по-французски), который похвалялся тем, что может создать особую платежную систему для транзакций киберпреступников, отмечает полиция. За 10% он обменивал наличные на eGold (интернациональная платежная система, денежные средства которой корреспондированы в драгоценные металлы: серебро, золото, платину и палладиум. - «Профиль»), электронную валюту, обеспеченную золотыми слитками. Секретная служба наблюдала за тем, как он отмывает деньги от сделок не менее чем десятка членов ShadowCrew.
Виртуальная «прослушка» помогла полиции организовать слежку и в реальном мире. Начали они, запросив материалы Интернет-провайдеров, таких как Road Runner компании Time Warner Inc. Потом они отследили компьютерные адреса до реальных домов и квартир, чтобы иметь возможность наблюдать за «объектами» живьем. Одним из них был Роджерио Родригес (Rogerio Rodrigues). Следственные органы утверждают, что видели, как он загрузил в свой Ford Explorer полный банковский мешок и отвез его в отделение Citibank. Позднее он заезжал в Kinko’s, где, по мнению агентов, забирал контрафактный товар.
Новейшие цифровые методы слежки в сочетании со старой доброй наружкой дали горы изобличающих улик. На пике расследования с десяток агентов Секретной службы работали по 18 часов в сутки, для того чтобы вычислить главные контакты банды. Электронная почта, мгновенные сообщения и компьютерные адреса позволили выявить главарей. Оказалось, что Мантовани жил еще с одним предполагаемым членом ShadowCrew, Брэндоном Моншампом (Brandon Monchamp). Данани работал в изящном доме с лепниной в Фаунтин-Вэлли (штат Калифорния). Заполучив адреса, полиция была готова к осеннему штурму.
Однако дело ShadowCrew далеко от завершения. Арестованные в тот день по обвинениям в мошенничестве с кредитками и краже личных данных члены банды были в большинстве своем выпущены до суда под залог. Мантовани вернулся в родительский дом на Лонг-Айленде и работает на стройке. Его адвокат Паскуале Джаннетта (Pasquale F. Giannetta) настаивает на том, что Мантовани не преступник. «Он обычный 23-летний парень», - уверяет Джаннетта. Эпплярд никаких заявлений не делал и ждет, чтобы власти предъявили ему дополнительные доказательства его вины. Его адвокат Уильям Хьюз-мл. (William J. Hughes Jr.) утверждает, что Эпплярд был простым техником, поддерживавшим сайт ShadowCrew, а вовсе не преступником, извлекавшим из него выгоду. Адвокат Брэндона Моншампа Элизабет Смит (Elizabeth S. Smith) не стала комментировать ситуацию. Адвокаты Данани и Родригеса на телефонные звонки с просьбой о комментарии не ответили.
Глобальный масштаб
В РЕЗУЛЬТАТЕ операции был найден клад из бесценных доказательств. На данный момент Секретная служба обнаружила 1,7 млн. номеров кредиток, данные доступа более чем к 18 млн. адресов электронной почты и личные данные нескольких тысяч человек, включая поддельные британские паспорта и водительские права штата Мичиган. Утверждается, что ShadowCrew ограбила полтора десятка компаний от MasterCard Inc. до Bank of America Corp. В ходе операции получены улики против более чем 4000 подозреваемых, а также выходы на фигурантов в Болгарии, Канаде, Польше и Швеции. «Работы по арестам хватит на многие месяцы», - считает Нэйджел.
Теперь полиция и специалисты по безопасности, видя перед собой вдохновляющий пример операции против ShadowCrew, начинают действовать более решительно. Они прослушивают сомнительные сайты и чаты, укрепляют сотрудничество с правоохранительными органами других стран и вербуют информаторов для сбора доказательной базы обвинения. За последние шесть месяцев ФБР сумело убедить членов нескольких банд, промышляющих рассылкой спама и phishering, доносить на соучастников. Ларкин уверяет, что некоторые из этих дел станут достоянием гласности в ближайшие месяцы.
Успехи успехами, но есть и серьезные проблемы. Самая серьезная? Глобальный масштаб. Члены банд скрываются в странах со слабым антихакерским законодательством и вялой правоприменительной практикой. Сбивая спецслужбы со следа, они даже могут расположить серверы в отдельной стране. Любимые убежища: Россия, Восточная Европа и Китай.
В этом нет ничего удивительного. Что касается России, то иногда кажется, что власти здесь более заинтересованы в защите кибермошенников, чем в борьбе с ними. В 2000 году ФБР завлекло двух российских хакеров в Сиэтл обещаниями хорошей работы, где и арестовало. Позднее агенты, работавшие по этому делу, выгрузили данные с находившихся в Челябинске компьютеров этой парочки по каналам Интернета. А два года спустя Россия выдвинула против фэбээровских ищеек обвинения в хакерстве, заявив, что выгрузка была незаконной. «Если в деле фигурируют серверы в России, то вы можете почти физически ощутить, как тяжело вздыхают полицейские чиновники», - говорит Хиппонен.
HangUp Team безнаказанно действует в России не первый год. Считается, что часть членов банды живет в Архангельске, приполярном порту ржавеющих советских атомных подлодок и практически вечной зимы. В 2000 году предположительно первые члены группы, Алексей Галайко, Иван Петриченко и Сергей Попов, были арестованы за заражение двух местных компьютерных сетей вредным вирусом. Но российские власти отпустили их с условными приговорами.
Следующие два года о HangUp Team ничего не было слышно. Но в 2003-м банда запустила вирусы Berbew и Webber. В прошлом году группа заразила Интернет-магазины червем Scob. Как утверждает полиция, Scob ждал, пока посетители устанавливали связь с магазином, потом сбрасывал на их жесткие диски софт, который отслеживал набор на клавиатуре и отсылал тысячи паролей и номеров кредитных карт на сервер в России. «Эти ребята задали новый стандарт сложности в среде криминальных хакеров», - отмечает Джеймс Мелник (A. James Melnick), 51-летний директор по разведке угроз в iDEFENSE, фирме кибербезопасности в Рестоне (Виргиния). Группа HangUp даже не заметает следы. На всех трех вирусах имелась «фирменная» метка «Закодировано HangUp Team». Непонятно, почему при такой открытости операций HangUp так трудно задержать ее членов. Российские власти говорят, что им мешают бюрократические препоны: сложности с получением ордеров, организацией взаимодействия с американской и британской полицией и перевод документации.
Это еще одно указание на то, что ход сражения против киберпреступников не навсегда изменился в пользу правоохранителей. Преступники заполонили Интернет, а их атак можно ждать из любого уголка земного шара. Простых решений тут нет. Но одно ясно точно: старый метод защиты только при помощи программного обеспечения недостаточен. «Это пластырь, - считает Ларкин. - Если не попытаться придавить этих парней, они обязательно вернутся. Надо найти способ добраться до них физически и вырвать с кор нем. Не сделав этого, проблему не решить». Победа над хакерами Shadow - серьезный успех правоохра нительных органов. Но охота только начинается.
Источник:ПРОФИЛЬ