Дневники даркнета: Микко

Покер - это соревновательная игра. И в отличие от других игр казино, в покере человек играет против других людей. Криминальные хакеры уже давно это поняли и иногда они взламывают других игроков, чтобы получить преимущество в игре. И это небольшое преимущество может привести к выигрышам в миллионы долларов. Эта история содержит рассказ специалиста по информационной безопасности Микко Хиппонена из финской компании F-Secure, которая занимается разработкой инструментов информационной безопасности и приватности.

Дневники даркнета: Микко

Многоликий

Техасский холдем является очень интересной игрой. Раздаются карты, делается ставка на деньги, и победителем становится не тот, у кого лучшая рука, а тот, кто играет лучше всех. Смысл игры заключается в том, чтобы играть не картами, а своими действиями. Некоторые профессиональные игроки в покер даже не считают безлимитный холдем азартной игрой. Но есть еще и онлайн-покер, где можно играть на реальные деньги против реальных игроков с помощью компьютера (или ноутбука). В онлайновом покере сложно прочитать действия определенного игрока. И когда с чем-то вроде этого связано много денег, люди готовы пойти на все, чтобы получить даже небольшое преимущество. Для примера, возьмём историю обладателя браслета Мировой серии (WSOP) и бывшего представителя покеррума 888poker, Даррена Вудса.

Даррен Вудс читает тебя, как открытую книгу
Даррен Вудс читает тебя, как открытую книгу

В 2011 году Даррен выигрывает браслет World Series of Poker и начинает активно играть в покер в интернете. Его винрейт в онлайновом покере был очень высоким. Покерное сообщество тщательно наблюдало за игрой Даррена. Они определили, что Даррен должен был жульничать, потому что он выигрывал очень странные раздачи. Но как? Как оказалось, Даррен открыл пятьдесят разных учетных записей на одном покерном сайте и играл одновременно на нескольких учетках. По сути, он действительно мог видеть другие карты, сданные на этом столе, поскольку он контролировал несколько мест. Вы можете спросить, как игра за несколькими учетными записями может дать вам преимущество?

Нам известно, что в колоде карт есть четыре туза. И если один туз был в руке Даррена, а на столе находились еще два туза, и последний туз был в руке одного из его "игроков", то он знал наверняка, что у его реальных противников тузов не было. Это весьма небольшое преимущество, которое Даррен имел над своими противниками за столом, но даже этого оказалось достаточно для выигрыша весьма крупных денежных сумм. Игроки, которые следили за странной игрой Даррена, заподозрив неладное, сообщили об аномальной игре в службу безопасности покеррума. Произведя проверку и выяснив, что Даррен жульничал, покеррум заблокировал все его учетные записи, после чего, последовало обращение в полицию. Даррен частично признался в совершенных преступлениях, после чего он был приговорён к пятнадцати месяцам тюремного заключения (с обязательной выплатой всех нечестно заработанных сумм). Эта история - всего лишь прелюдия перед рассказом о настоящем киберпреступлении, в котором пытались жульничать в хай-стейкс играх, идущих на просторах интернета.

Это реальные истории с темной стороны интернета. Меня зовут Джек Рисайдер. И это Дневники даркнета.

Хай-роллер

Йенс «Jeans89» Киллонен
Йенс «Jeans89» Киллонен

Есть один игрок в покер, живущий в Финляндии, по имени Йенс Киллонен, и последние пятнадцать лет он зарабатывал деньги. Он начал играть в покер со своими друзьями еще в детстве. Вот его старое интервью о том, как он начал.

Я начал с играть друзьями, кажется, с семнадцати лет. Просто прочитал несколько книг и играл понемногу. Всего за год я дошел до весьма высоких лимитов, например, играл 5/10, 10/20 - лимиты бились один за другим. Я не заносил денег в покеррум на старте. Просто получилось попасть в призы во фриролле, после чего начал гриндить и идти вверх.

Йенс Киллонен, Финский профессиональный игрок в покер

Йенс действительно проделал впечатляющую работу. Он был очень хорошим игроком в покер. Jeans89 (как его знали в покеррумах) с каждым разом разыгрывал все более крупные банки и зарабатывал довольно хорошие деньги. В 2009 году он участвовал в Европейском покерном турнире (EPT) и занял там первое место в турнире по безлимитному холдему. Приз составил внутшительную сумму в $1,1 миллиона долларов. Примерно в это же время Йенс начал много играть в онлайн-покер по высоким ставкам, однако он не обделял своим вниманием и живые турниры. В 2012 году он участвовал в турнире One Drop с бай-ином в один миллион долларов (бай-ином называют сумму, которую нужно внести для участия в турнире). Среди всех участников он был самым молодым - на тот момент Йенсу было 22 года.

Киллонен мог себе позволить поставить на кон целый миллион долларов ради достижения более крупного приза. Однако, на том турнире Йенсу не удалось занять призовое место. Что, впрочем, не помешало ему играть по еще более крупным ставкам в онлайне. Йенс прогрессировал в игре и вполне мог побороться за главные призовые места в крупных покерных турнирах. И вот, наступил 2013 год. В Барселоне (Испания) состоялся Европейский турнир по покеру.

Страх в отеле Барселоны

Дневники даркнета: Микко

Этот турнир проходил на берегу моря, в роскошном пятизвездочном отеле Arts в Барселоне. EPT проходил в одном из конференц- залов, рядом находилось казино. Турнир был весьма крупным событием: в зале выставили около двадцати покерных столов. Йенс и его приятель Генри вылетели из Финляндии в Барселону для участия в этом турнире. Они жили вместе в одной комнате, и тут нужно рассказать пару слов о приятеле Йенса. Генри живет в Финляндии, недалеко от того места, где живет Йенс, и они иногда тусуются в доме друг друга и вместе отправляются в поездки. Однажды Генри и Йенс отправились в двухмесячную поездку в Южную Америку. В общем, они были хорошими друзьями, которые доверяли друг другу.

На второй день турнира Йенс вылетает из него. Он проигрывает все свои фишки. Йенс уходит от покерного стола, оглядывается по сторонам и решает подняться в свою комнату, чтобы посерфить в интернете на своем ноутбуке, который был в его комнате. Он поднимается на лифте на свой этаж, достает ключ от комнаты. Это небольшой ключ от отеля с магнитной полосой. Он вставляет его в замок, но замок...не открывается. Мигает красный свет, указывая, что это не тот ключ. Он пытается снова, и снова, и снова. Он не может открыть дверь своим ключом. Йенс спускается к стойке регистрации. Администратор повторно синхронизирует для него ключ от номера и говорит ему, что теперь все должно работать. Йенс идет к своей комнате, вставляет ключ в замок, и он срабатывает. Дверь открывается; Йенс входит внутрь.

Но как только он вошел в комнату, то сразу заметил, что что-то было не так. Йенс точно знал, где оставлял свой ноутбук тем утром. Он оставил его на столе. Но ноутбук на столе отсутствовал. Зарядное устройство было на месте. Йенс оглядел комнату в поисках своего мобильного лэптопа, но его не было. Он подумал, что, возможно, Генри взял его на время. Либо ноутбук украли. Йенс спускается вниз, находит Генри, играющего в покер и спрашивает его о ноутбуке. Генри отвечает, что ноутбук не видел и даже не прикасался к нему. Он также добавляет, что его ключ от номера, который он делил с Йенсом, тоже не работал в этот день. "Довольно странно" - подумал про себя Йенс, после чего он решил вернуться в свою комнату, чтобы еще раз поискать ноутбук. Однако, когда Йенс вошел в номер, он увидел, что ноутбук находился именно там, где он оставил его утром. "Какого..." - подумал про себя Йенс. Его разум не мог понять происходящие события.

Дневники даркнета: Микко

Йенс начал сомневаться в том, что он видел своими глазами, когда вернулся в номер после вылета из турнира. Неужели это действительно произошло несколько минут назад? Он хорошо помнил, что видел зарядное устройство на столе, само по себе, без ноутбука. Теперь ноутбук лежал там, где было зарядное устройство. Он хорошо запомнил это, потому что это произошло всего десять минут назад. Йенса охватывает страх. Кто-то был в его комнате в последние десять минут, и этот неизвестный положил его ноутбук на то место, где он его оставил. И, возможно, что этот человек все еще прячется где-то в этой комнате или в ванной. Йенс выскакивает из номера, входит в лифт, спускается к стойке регистрации и разговаривает с Лейей, куратором по работе с гостями. Лея слушает рассказ Йенса и делает две вещи; она меняет кодировку замка на двери и также меняет кодировку ключей от номера Генри и Йенса.

Лея добавила, что если у кого-то был дубликат ключа от их номера, то после перекодировки дубликат больше не сработает. Она также свяжется с охраной отеля, чтобы посмотреть по камерам, кто мог войти в их номер. Йенс возвращается в свою комнату. Он открывает ноутбук и включает его, но...что-то не так. При загрузке появляется черный экран с надписью: "Windows не может быть запущен. Причиной может быть недавнее изменение конфигурации оборудования или программного обеспечения. Провести диагностику или запустить операционную систему в обычном режиме?". До этого момента компьютер Йенса работал нормально. Почему теперь появляется эта ошибка? Когда он пытается запустить Windows в обычном режиме, на экране ноутбука появляется еще одно предупреждение. "Вы хотите восстановить свой компьютер?" Что? Это очень странно. Йенсу все это не нравится и он спускается вниз, чтобы еще раз поговорить с Лейей, администратором отеля.

Дневники даркнета: Микко

Лея рассказала Йенсу, что камеры в коридоре, где находится его номер, не работали последнюю неделю, поэтому они не могут посмотреть по видео с камер наблюдения, кто заходил в номер в то время. Лея, похоже, не относится к этому делу всерьез и говорит, что они будут продолжать расследование, но не говорит, как именно. Йенс возвращается в свою комнату. Он вводит ключ-карту от номера в дверь, и она снова не работает. Йенс несколько раз пытался вводить ключ-карту, но дверь не открывалась. Он возвращается к стойке регистрации и говорит, что его ключ-карта снова не работает. Лея повторно синхронизирует его карту, а затем идет с ним лично в его комнату, чтобы проверить замок. Карта теперь отлично открывает дверь, но как только они входят, Йенс сразу видит, что его ноутбук снова пропал. Йенс в полном шоке. Он даже не знает, как объяснить происходящее.

Расследование

Лея вызывает службу безопасности отеля. Они приносят свои извинения и соглашаются перевести Йенса и Генри из этого номера в номер класса "люкс" двумя этажами выше. Йенс решает спуститься вниз и поискать своих друзей - возможно, кто-то из них согласится дать ему их ноутбук на время. Получив в свое временное распоряжение лэптоп, он сразу же закрывает все свои учетные записи в онлайновым покеррумах, на тот случай, если кто-то попытается получить к ним доступ. После этого он снова идет общаться с Леей. В это время она говорит с кем-то по телефону по-испански. Она спросила Йенса, можешь ли ты описать свой ноутбук? Он говорит, что это тяжелый ноутбук Fujitsu Celsius. Лея сообщает, что да, ноутбук найден сотрудниками службы безопасности отеля в холле. Она говорит ему подождать минутку. Лея уходит, после чего возвращается с ноутбуком Йенса. В этот момент Йенс находится на грани панической атаки. Кто продолжает красть его ноутбук? Почему его ключ-карта все время деактивируется? Почему ноутбук появился в холле? Если вор взял его и запаниковал, почему бы не выбросить в море? Ведь отель находится на самом берегу. Йенс запускает свой ноутбук. Он загружается нормально, но что-то всё же не так.

Обычно, когда ноутбук Йенса загружается, он защищен паролем, и ему нужно ввести свой пароль, чтобы войти. Но теперь ноутбук больше не запрашивает пароль, а просто загружается прямо в Windows. Итак, он определенно знает, что кто-то взломал его компьютер. Йенс берет свой ноутбук и идет прямиком в IT-отдел и службе безопасности турнира EPT. Сотрудники турнира очень дружелюбны и готовы помочь Йенсу. Команда безопасности турнира собирает всю его информацию и начинает расследование. Йенс и Генри идут в свой новый номер и ложатся спать на ночь, думая, что где-то должны быть какие-то видеозаписи с камер наблюдения того, кто это сделал. Теперь, когда этим занимались две разные службы безопасности, наверняка к утру они что-нибудь выяснят.

Отель Arts в Барселоне
Отель Arts в Барселоне

Йенс и Генри пытаются уснуть после тяжелого дня. Но сон не шёл. Я имею в виду, день начался с проигрыша в турнире и закончился тем, что в их комнату три раза проник неизвестный, а ноутбук Йенса взломали. Когда такое случается с вами, расслабляться нельзя. Ноутбук теперь ощущается чужим устройством, а ваше чувство безопасности находится под угрозой. На этом этапе истории я задаюсь вопросом, как можно было попасть в их комнату? У меня есть несколько теорий. Во-первых, вы могли подумать, что кто-то просто задел их в холле и неизвестный мог сделать дубликат карты Йенса или Генри. Но я так не думаю. Обычно такая тактика работает с картами типа RFID. Но это была карта с магнитной полосой, поэтому, чтобы клонировать ее, вам нужно было провести карту через специальное устройство.

Можно предположить, что кто-то украл карту Йенса, клонировал её, а затем положил карту обратно в карман Йенса. Но вероятность того, что найдется такой ловкий вор, который может провернуть этот трюк дважды за один день, крайне мала. К тому же, есть проблема, связанная с возможностью сделать эти гостевые ключи нерабочими. Как это можно сделать? Поскольку это карта с магнитной полосой, возможно, что рядом с замком или под замком кто-то установил мощный магнит, и поэтому, когда карта приближается к замку, магнит искажает данные на магнитной полосе и портит их. У магнитных карт есть два типа работы магнитных полос: LoCo и HiCo. Это низкая и высокая коэрцитивность (коэрцитивная сила). От неё зависит, насколько хорошо магнитная полоса сохранит данные на карте. Например, ваша кредитная карта не будет перепрограммирована в ближайшее время, поэтому данные на ней должны храниться годами. В таких кредитках используется тип HiCo.

Гостевые карты отеля с магнитной полосой
Гостевые карты отеля с магнитной полосой

Но ключ от гостиничного номера на карте отеля будет перезаписываться много раз. Возможно, что эта процедура будет происходить каждый день. Поэтому в этих картах используется метод LoCo. Если на карте используется метод LoCo, значит, достаточно мощный магнит может легко её испортить. Если кто-то хотел войти в комнату Йенса, а мошенник не хотел, чтобы кто-нибудь входил, пока он был там, мошенник мог прикрепить магнит к двери, который испортил бы любую карту, которая была проведена, и не позволил бы хозяевам номера войти внутрь. Попытка входа предупредит того, кто находится в комнате, и также даст ему пару минут, чтобы выбраться из номера. Когда злоумышленник уходит, он может вынуть магнит из замка и уйти. Что ж, эта теория может объяснить, как были испорчены карты Йенса и Генри. Но все же, как кто-то получил ключ от входа? Может, его вытащили из тележки для уборки, или, может быть, кто-то пошел в вестибюль и выдал себя за Йенса, сказав, что мой ключ не работает в моей комнате. Вы можете сбросить его для меня? И злоумышленнику сообщают номер комнаты Йенса.

Будет ли стойка регистрации проверять удостоверение личности, прежде чем выдать карту такому гостю? Можно ли с помощью навыков социальной инженерии сделать это без проверки удостоверения личности? Да, это вполне возможно. Но тогда почему камеры не работали именно в том коридоре, где находился номер Йенса и Генри? Кто мог знать о неработающих камерах и о том, что именно в этом номере остановился хайроллер? Возможно, это была внутренняя работа кого-то из сотрудников отеля. Кто-то, кто работал в отеле, знал, что эти камеры не работают, и имел доступ к перепрограммированным ключ-картам. Эти люди, безусловно, могли быть в этом замешаны. Такие мысли проносились в голове Йенса всю ночь, пока он пытался уснуть.

5:30 утра. [Звонок телефона в номере отеля]

Йенс: "Алло?"

Неизвестный: "Ваше такси готово."

Йенс: "Какое такси?"

Неизвестный: "Такси в аэропорт."

Йенс: "На чьё имя заказано такси?"

Неизвестный: "Ни на чьё. Такси заказано на номер комнаты."

Йенс говорит человеку по телефону, что он не заказывал такси, и тот повесил трубку. Может, просто кто-то ошибся? Кто проводил все эти странные игры разума? Йенс целый час размышлял об этом, но в конце концов, он снова заснул.

9:30 утра. [Звонок телефона в номере отеля]

Йенс: "Алло?"

Неизвестный: "Вы хотите развлечься?"

Йенс: "Простите, что?"

Неизвестный: "Вы хотите немного развлечься?"

Йенс: "О чем вы говорите?"

Неизвестный: "О девочках."

Йенс: "Нет."

Йенс вешает трубку. Два телефонных звонка за одно утро по неправильному номеру? Были ли эти звонки просто странной попыткой проверить, не был ли кто-нибудь в комнате, или узнать, где остановился Йенс? В полдень у Йенса была назначена встреча со службой безопасности отеля. Его встретила Лея. Вместе с ней был пожилой мужчина, который возглавлял службу безопасности отеля. Однако он, похоже, не был заинтересован помогать Йенсу.

Пожилой мужчина сказал: «Хорошо, послушайте, мы уже перевели вас в комнату в люкс, и ваш ноутбук нашёлся. Раз у вас больше ничего не пропало, то и проблемы, стало быть, никакой нет, верно?" Йенс пытается объяснить главе службе безопасности, насколько это серьезно. Йенс спросил, сколько камер сломано в отеле? Мужчина ответил, что всего восемь. Йенс спросил, можно ли проверить камеру в лифте? Глава службы безопасности отеля ответил, что нет, посетителей слишком много и слишком много видео материала, которого нужно будет отсмотреть. Йенс говорит, что не нужно смотреть всё, достаточно посмотреть записи за те 10 минут, пока он был вне своего номера. Но служба безопасности, похоже, не заинтересована помогать. Они просто хотят, чтобы эта проблема поскорее исчезла. Внутри Йенса растет подозрение, что все это дело рук кого-то из сотрудников отеля. Но перед тем, как он уходит, служба безопасности вручает ему распечатку журнала с данными о том, какие ключ-карты открывали его комнату за предыдущий день. Йенс не мог сразу понять все эти данные и он ушел в глубокий тильт.

Дневники даркнета: Микко

Йенс был раздавлен. Итак, он кладет распечатку с данными в карман и уходит. Йенс чувствовал, что эта встреча прошла ужасно, и теперь нет никаких шансов выяснить, кто же побывал в его комнате. Он идет на встречу со службой безопасности покерного турнира. Может, они что-то смогли найти? Служба безопасности покерного турнира отрабатывала версию, что всё это мог сделать Генри. Но Йенс в это не поверил. Если бы Генри хотел это сделать, он бы сделал это в доме Йенса, если бы захотел. Зачем проворачивать всю эту операцию здесь, в Барселоне? В этом не было никакого смысла, и от этой службы безопасности тоже не было никакой помощи. Он был так сбит с толку из-за того, что никто не воспринимает его всерьез и никто не проводит серьезное расследование по этому поводу. Он так волновался, что его руки и ноги дрожали, и ему казалось, что его в любой момент вырвет.

Он достает из кармана распечатку с данными доступа в комнату и начинает просматривать данные. Сначала он не видит в этом никакого смысла, но чем больше он изучал распечатку, тем больше понимал, что происходило в это время. Логи показывали точное время, когда пришла служба уборки, и точное время, когда пришел сотрудник отеля, который пополнял запасы мини-бара. Также в логах было указано, когда каждый гость пришел в номер с кодом от своего ключа. Логи прекрасно показывали всю последовательность событий, происходивших с дверью в номер Йенса. Распечатка показывала, когда Йенс и Генри заходили в комнату и когда их карточки перестали работать. Но в журнале также было указано, что была и третья гостевая ключ-карта, открывшая дверь. Как раз когда Йенс спустился к стойке регистрации в первый раз, чтобы перепрограммировать свою карту, кто-то с третьей гостевой ключ-картой вошел в комнату ровно за две минуты сорок одну секунду до того, как вошел Йенс и обнаружил, что его ноутбук впервые пропал. Боже, может быть, кто-то прятался в ванной, когда он был там.

Глядя на все эти данные, Йенс испугался еще больше, и еще больше разозлился, что охрана отеля не увидела всё это в логах, как увидел он. Либо служба безопасности отеля не могла прочесть свои собственные логи открытия дверей, либо им было все равно, либо они пытались что-то скрыть. Йенс не мог больше этого терпеть. Он начал собирать чемоданы, чтобы выбраться оттуда. Он возвращался домой в Финляндию. Теперь это было не место для него, и, проходя через вестибюль, он столкнулся с другим игроком, который знал его. Он сказал этому игроку, что его ноутбук только что украли, и тот игрок сказал, что с ним случилось то же самое.

Этот игрок сказал, что камеры работали на этаже, где он остановился, поэтому Йенс отвел этого игрока в службу безопасности отеля. Он попросил службу безопасности посмотреть записи с камер наблюдения рядом с номером игрока, с которым случилась та же беда, что и с ним. Но служба безопасности сказала, что они ничего не могут сделать прямо сейчас. Они смогут посмотреть записи не раньше 8:00 утра следующего числа. Йенс, которому это надоело, просто покинул отель, уехал из Барселоны и улетел обратно в Финляндию. Куда же пойдет Йенс, когда вернется домой? Прямо к Микко.

Микко Хиппонен. Гроза ботнетов.
Микко Хиппонен. Гроза ботнетов.

Микко: "Меня зовут Микко Хиппонен. Я главный научный сотрудник F-Secure Corporation, компании, разрабатывающей инструменты информационной безопасности и приватности, со штаб-квартирой в Хельсинки, Финляндия."

Джек: "F-Secure известна созданием довольно хорошего антивирусных инструментов, и, поскольку Вы находились в Финляндии, для Йенса имело смысл принести вам свой ноутбук для анализа."

Микко: "Да, Йенс связался с нами. Он искал кого-нибудь, кто может осмотреть его ноутбук, потому что подозревал, что дело не только в его краже. Возможно, кто-то пытался что-то поставить на ноутбук, поэтому он принес его в нашу лабораторию. Он припарковался на нашей парковке на своём Audi R8 и принес ноутбук в нашу лабораторию."

Джек: "Микко и его команда осмотрели ноутбук. Они просканировали его и проверили на наличие вредоносных программ."

Микко: "Да, он был заражен. Причина, по которой все это произошло, заключалась в том, что кто-то вручную установил Java Runtime и инструментарий удаленного доступа на основе Java, который, в основном, отправлял снимок экрана на удаленный адрес. Фактически, злоумышленник мог по нажатию кнопки видеть ваш экран и карты, которыми вы играете. Если вы что-то знаете о покере, то вы знаете, что если я знаю ваши карты, то я выиграю."

Джек: "Ага. Это было нацелено конкретно на Йенса или, по крайней мере, конкретно на игрока в онлайн-покер с высокими ставками. Вредоносное ПО отправляло скриншоты ноутбука кому-то, кто предположительно сидел за одним покерным столом с Йенсом. Как умно."

Микко: "Да, это весьма интересно, ведь если подумать, сколько денег крутится за столами, где играют хайроллеры. Эти хайроллеры, которые играют в онлайн-покер в течение многих лет, имеют очень много денег. Количество денег, которые вы можете украсть у такого игрока, составляет сотни тысяч долларов или даже миллионы долларов. Мы обнаружили несколько подобных случаев. У нас был один хайроллер, с которым мы работали, известный игрок в покер, который на самом деле был заражен вредоносным ПО почти год. Причина, по которой он начал подозревать что-то странное, заключалась в том, что он вел очень точную статистику своих выигрышей. Исторически сложилось так, что он выигрывал примерно одинаковое количество раздач в реальном мире, за настоящими покерными столами и за онлайн-покерными столами. Затем внезапно все стало выглядеть по-другому, и он всегда проигрывал в долгосрочной перспективе. Он проигрывал только в онлайн-играх и долго не мог этого понять.

В конце концов он начал подозревать, что с ноутбуком что-то не так. Он принес нам ноутбук. Мы проанализировали ноутбук, и да, там был инструмент для расчета шансов банка, который снова содержал трояна удаленного доступа. Мы обсуждали, как он получил этот инструмент на свой ноутбук? Он установил его сам. Почему вы установили этот инструмент? Что ж, мне рекомендовал его тот, против кого он регулярно играет за онлайн-столами. Этот кто-то настроил все с самого начала; создал этот троянизированный странный калькулятор, разместил его в Интернете на сайте загрузки, а затем просто ждал, пока хайроллер, которого он знал, загрузит и установит его. Атакующий был настолько умен, потому что он решил не сразу использовать вредоносное ПО для кражи огромных сумм денег у этого игрока.

Он осторожно и медленно использовал этого трояна в онлайн-играх в течение двенадцати месяцев, пока люди начали подозревать, что что-то не так. Он смог заработать сотни тысяч долларов на этой продолжающейся афере. Это отличный урок для людей, которые совершают важные дела на своих компьютерах. Если вы играете в покер и используете ноутбук, через который проходят сотни тысяч долларов, то вы должны быть очень осторожны. Вы не должны устанавливать на него случайный мусор в виде непонятных программ. Вы не должны играть на нем в Doom. Вы не должны смотреть на нём порно. Если вы не берете ноутбук с собой, то вы кладете его в сейф. Эти хайроллеры - миллионеры. Если вы хотите заняться чем-то другим, просто купите другой ноутбук. Но конкретно этот ноутбук - это ваш инструмент, и, как профессионал, вы не бросаете свои инструменты где попало. Вы хорошо заботитесь о своих инструментах. Это то, что я ему сказал, и, думаю, он мне поверил."

Пример покерного калькулятора
Пример покерного калькулятора

Джек: "Но я не могу себе представить, чтобы опытный игрок в покер, играющий по высоким ставкам, мог написать вредоносное ПО, а затем распространить это вредоносное ПО и использовать его. Для этого должен был быть задействован другой человек."

Микко: "Всё верно. Эти ребята передали разработку вредоносного ПО третьим лицам. По сути, они ходили на сайты онлайн-программирования для фрилансеров, и у них был кто-то, кто написал для них эти программы."

Джек: "Микко и его команда из F-Secure, будучи любопытными исследователями, начали выяснять, кто стоит за всем этим."

Микко: "Очевидно, что большинство авторов вредоносных программ не хотят, чтобы их поймали, поэтому они не оставляют сведений о себе в коде вируса. Но один из наиболее типичных способов выяснить, кто причастен к вредоносному ПО - это записи WHOIS."

Джек: "Запись WHOIS - это общедоступная запись о том, кто владеет доменным именем. Каждое доменное имя в мире кем-то зарегистрировано, и иногда информация о том, кто его зарегистрировал, остается в этом поле. Микко проверил вредоносное ПО на предмет использования каких-либо пользовательских доменов и просмотрел записи WHOIS для этих доменов. Но, как правило, киберпреступники регистрируют домены анонимно, чтобы вы не могли видеть, кому они принадлежат. Но есть и другие методы, которые вы можете использовать; исторические записи WHOIS. Возможно, сначала они не регистрировали его анонимно, а потом в какой-то момент перешли на анонимность. Микко и команда F-Secure продолжали искать зацепки в этом вредоносном ПО. Когда Йенс был в Барселоне, он хотел вызвать полицию, но участники покерного турнира не хотели, чтобы он это делал, потому что они сказали, что сами свяжутся с полицией."

Йенс связался с сотрудниками PokerStars, чтобы узнать, как идет расследование, но сотрудники PS не сразу связались с полицией. Только через несколько недель они наконец сообщили об этом властям. Йенс был расстроен тем, что расследование шло так медленно. F-Secure удалось передать Йенсу некоторые подробности о том, кто, по их мнению, это сделал, но полной картины у них все ещё не было. F-Secure опубликовала сообщение в блоге, назвав этот тип атаки «атакой злой горничной». Вы вроде бы уверены, что предметы, находящиеся в вашем гостиничном номере, в безопасности, но кто-то имеющий доступ к вашему номеру, может взломать ваши вещи. Вдобавок к этому F-Secure классифицировал это не как фишинговую атаку, а как атаку акулы, потому что она была нацелена на акул покера. На этом расследование полностью остановилось.

Акула покера уничтожает рыбу за столом
Акула покера уничтожает рыбу за столом

Команда PokerStars в плане расследования мало что делала, служба безопасности отеля не делала вообще ничего, власти Барселоны молчали, а F-Secure завершила расследование. Итак, я знаю эту историю, потому что Йенс написал ее на следующий день после того, как она произошла на покерном форуме. Я много раз пытался уговорить Йенса прийти на подкаст Darknet Diaries и рассказать свою историю, но он отклонил все мои приглашения и сказал, что еще слишком рано рассказывать эту историю, хотя это произошло семь лет назад. Это заставляет меня думать, что либо Йенс почувствовал угрозу со стороны того, кто его взломал, либо он думает, что говорить об этом по другим причинам просто небезопасно. Возможно, он не хотел плохо говорить о PokerStars, так как ему нравится участвовать в их турнирах. Не знаю, но это сообщение на форуме, написанное Йенсом, произвело эффект взорвавшейся бомбы. На данный момент он получил более 1300 ответов, что для покерного форума было очень большой цифрой. Итак, давайте посмотрим, что все говорят.

Первый интересный пост, который я вижу здесь, от Ли Джонса, руководителя отдела коммуникаций турнира, проводимого PokerStars. Ли подтверждает, что история Йенса верна, и говорит, что они делают все возможное для расследования. Но они ограничены в своих полномочиях. Мол, они не могут потребовать видео с камер наблюдения или логи от дверей номеров отеля. Но он сказал, что связывался с полицией и обсуждал с ними эту ситуацию. Затем был еще один пост американского игрока в покер по имени Скотт Сивер. Он говорит, что то же самое случилось с ним в Берлине, и с Джейсоном Куном тоже. PokerStars никому из них не помог. Он не вдавался в подробности о том, что с ним случилось, но Скотт Сивер выиграл три турнирных браслета World Series of Poker. И даже такому именитому игроку никто не помог.

Я обратился к Скотту, но он мне не ответил. Он упоминал, что это случилось и с Джейсоном Куном, еще одним американским игроком в покер, играющим по высокими ставкам. Но когда я посмотрел на историю Джейсона, то заметил, что там был применён другой метод атаки. При игре хэдз-ап (игра один на один) в момент когда у Джейсона была хорошая рука и он мог выиграть, его просто отключало от покеррума, что вело за собой сброс руки и проигрыш поставленной ранее суммы денег. Что же, вернемся к сообщениям на форуме. Прокрутим вниз, до еще одной истории от другого хайроллера по имени Анкуш Мандавиа. Он также известен как pistons87. Он американский игрок в покер с высокими ставками, и он говорит, что останавливался в том же отеле, что и Йенс, на том же покерном турнире, и Анкуш также сказал, что он получил несколько загадочных телефонных звонков, и несколько раз он поднимался в свою комнату, но его ключ карта тоже не работала.

Анкуш Мандавиа пытается понять, что не так с его ключ-картой
Анкуш Мандавиа пытается понять, что не так с его ключ-картой

Он говорит, что его компьютер сломался, когда он был в Барселоне, но он не придал этому значения, пока не прочитал сообщение Йенса и все не стало на свои места. Когда Анкуш вернулся домой, его компьютер больше не был защищен паролем, что было действительно странно, потому что он всегда был защищен паролем. Каждый раз, когда он пытался его загрузить, он просто вылетал и показывал синий экран. История, кажется, в точности совпадала с историей Йенса. Я обратился к Анкушу, но он тоже не ответил. Один только этот пост на форуме, кажется, описывает пять основных игроков в покер, которые стали жертвами этой атаки: Йенс, затем парень, которого Йенс встретил в отеле, а также Дэвид, Джейсон и Анкуш. Вдобавок Микко рассказал мне, что помог удалить вредоносное ПО с компьютеров еще двух игроков в покер. Я насчитал семь жертв. Кем бы ни был этот хакер, он был очень занят распространением своего вредоносного ПО.

Затем, год спустя, в 2014 году, датская полиция опубликовала заявление, в котором говорилось, что они расследуют датского игрока в покер с высокими ставками на предмет якобы заражения троянскими вирусами других игроков, играющих по высоким ставкам. Они говорят, что установленное программное обеспечение позволит хакеру видеть закрытые карты другого игрока. Это позволило хакеру играть за одним и тем же онлайн-столом со своими жертвами и зарабатывать на них миллионы долларов за счет мошенничества. Датская полиция продолжала заявлять, что допросила потерпевшего, который утверждал, что кто-то отключил видеонаблюдение в его доме, затем ворвался в дом, установил вредоносное ПО на его ноутбук и ушел. Ого, я думал, что проникновение в гостиничный номер - это безумие. Теперь этот хакер вторгается в дома игроков в покер с высокими ставками? Это еще более безумно. Но после этого наступила тишина. Никакой информации от датской полиции в последующие четыре года.

Затем, в декабре 2019 года, была сдана последняя карта. Датская полиция провела обыск в доме хакера и изъяла похищенные деньги на сумму четыре миллиона долларов США. У них были доказательства того, что это был хакер, внедрявший троянских программ на компьютеры игроков в покер. Однажды он (хакер) шел с другим другом и он рассказал ему эту историю. Этот друг позвонил в полицию. Оттуда они смогли найти на его компьютере другие доказательства, показывающие, что у него был доступ к картам других игроков. Датская полиция оштрафовала его на 3,9 миллиона долларов и приговорила к двум с половиной годам тюремного заключения. Однако датская полиция отказалась назвать имя этого человека, поэтому я вернулся на покерные форумы, чтобы посмотреть, что говорят люди. Теперь датская полиция описала этого человека, которого они арестовали. В 2014 году ему было тридцать два года. Он датчанин и однажды уже выигрывал европейский покерный турнир.

Троянский конь

Тот самый конь
Тот самый конь

Если вы посмотрите на всех датских игроков в покер, выигравших европейские турниры по покеру, то все быстро сведется к одному человеку - Питеру Йепсену, также известному как Zupp. Я не говорю, что это сделал Питер Йепсен. Хочу внести ясность - это всего лишь предположение, и если я получу что-то, что опровергает моё предположение, я обновлю этот эпизод. Но Питер Йепсен больше не является частью покерной команды, в которой он когда-то был. Они выкинули Питера из своей команды много лет назад, и его блог долгие годы бездействовал. Его аккаунты в социальных сетях тоже какое-то время молчали. Он "ушел на дно" и, кажется, перестал играть в покер. Я, по крайней мере, не могу его найти. Возможно это произошло потому, что он мог быть в датской тюрьме. Датская полиция заявляет, что этот хакер подбрасывал троянские программы игрокам в период с 2008 по 2014 год, поэтому я попытался выяснить, чем занимался Питер до 2008 года. И я нашел это потрясающее интервью.

Ведущий: "Я сижу здесь с Питером Йепсеном из Дании, которому на днях пришло по почте довольно странное письмо. Вы можете нам об этом рассказать, Питер?"

Питер: "Конечно. Так случилось, что я играл "на полную катушку", и в тот вечер у меня все было хорошо. Буквально через пару часов после завершения сеанса я получил электронное письмо на свой почтовый ящик. Они хотели рассказать мне о кэш-игре, которую они делали, и которую они хотели снять со скандинавскими игроками. Я думаю, что мы написали друг другу три или четыре электронных письма. Я спрашивал о бай-ине и обо всем остальном. В конце концов, мне прислали электронное письмо со ссылкой. В ссылке было определенное место на главной странице, где я мог скачать информацию о блайндах, структуре турнира и всем остальном. Когда я должен был его загрузить, я заметил, что это должен был быть файл PDF, файл Acrobat Reader, но на самом деле это был файл .exe. Я подумал, это странно. Я все равно загрузил файл, но сделал это в защищенной папке, за которой следил мой антивирус. Как только я начал скачивать файл, антивирус забил тревогу - это был троянский конь."

Ведущий: "Боже мой... Это довольно продвинутый вид скама, не правда ли?"

Питер: "Да, я ничего подобного прежде не видел. Я никогда не слышал - я имею в виду, в покерном бизнесе - я никогда не слышал о том, чтобы кого-то обманули таким образом."

Ведущий: "Я бы не удивился, если бы мы увидели парочку других парней из вашей лиги, так сказать, которые получали бы такие электронные письма."

Питер: "Да, точно."

Ведущий: "Вы же хотите их об этом предупредить?"

Питер: "Да, я просто думаю, что если бы всего несколько человек смогли избежать подобных обманов, это было бы здорово. Я думаю, что людям просто нужно быть очень осторожными, когда они…скачивают что-то из интернета."

Ведущий: "Да уж. Как ты думаешь, есть ли шанс заполучить таких парней? Я имею ввиду, не могли бы вы..."

Питер: "Нет."

Ведущий: "...выследить их?"

Питер: "Нет. Я правда не знаю, но я бы сказал, что такие профессиональные ребята, как эти, наверное, уже далеко за горами."

Ведущий: "Да да, конечно."

Питер: "Таких парней поймать невозможно. Они даже не оставляют никаких электронных следов или чего-то подобного."

Многие хакеры, с которыми я разговаривал, говорят, что они занялись хакерством, потому что их взломали, и их очаровывало желание знать все о том, как это сделать. Опять же, я не знаю, стоит ли за всем этим Питер Йепсен или нет. Датская полиция отказалась назвать имя, и я узнал его имя только из моих собственных выводов. Но возможно, что если его взломали в 2008 году, это могло означать, что он сразу же был очарован этим до такой степени, что захотел узнать, как это делается. Но если Питер сам был взломан, то это означает, что подобные вещи делал не один хакер. Фактически, после того, как новости стали известны и возникло подозрение, что за этим стоит Питер, Йенс сделал следующий пост на форуме со своими мыслями. Йенс сказал, что это первый раз, когда ему известно, что кто-то попал в тюрьму за подобный взлом, и что эта проблема уже давно преследует скандинавских игроков в покер.

Дневники даркнета: Микко

Он говорит, что ходят слухи, что к этому причастна шведская банда, но у них сильные связи с преступным миром, и ни у кого не хватает храбрости, чтобы выступить против и добиться справедливости. Йенс пишет, что Питер, возможно, присоединился к этой банде. Йенс не знает, взломал ли его Питер или кто-то другой. Итак, как только я это прочитал, я сразу же начал искать в Google «шведская банда, взламывающая игроков в покер» и обнаружил кое-что интересное. Доказательств немного, но есть обвинения в том, что трое мужчин из шведской байкерской банды действительно пытались взломать хайроллеров. Власти расследуют это, но это все, что у меня есть. Честно говоря, когда я смотрю на другие преступления, в которых обвинялась эта банда мотоциклистов, я как бы не хочу копать дальше, потому что некоторые подозревают, что эта банда байкеров убила шведа, который основал сайт новостей онлайн-покера.

Похоже, что хотя один хакер был арестован и посажен в тюрьму, некоторые все еще могли оставаться на свободе. Остается загадкой, кто за этим стоит и как они все это сделали. Я нахожу эту историю увлекательной из-за того, что некоторые хакеры идут на крайние меры только для того, чтобы получить преимущество в онлайн-покере.

Вся эта история получила продолжение. В декабре 2020 года Восточный высокий суд Дании объявил, что они арестовали Питера Йепсена и предали его суду за взлом игроков в покер. Он был признан виновным и приговорен к 3 годам лишения свободы. Полиция также конфисковала 3,6 миллиона долларов.

Вирусы, черви и прочие ботнеты

Окей, вернемся к Микко. Одна из вещей, которые мне нравится делать на этом шоу - знакомить вас с людьми, которые являются легендами в области кибербезопасности, а Микко - без сомнения, является легендой в этой области. Я имею в виду, что на данный момент у него 200 000 подписчиков в Твиттере, и он известен во всем мире как эксперт по информационной безопасности. Итак, пока он у нас здесь, давай познакомимся с ним. Я так понимаю, вы родились уже будучи связанным с интернетом, верно? Вы родились, в день создания ARPANET или что-то в этом роде?

Микко: "Вы недалеки от истины. Я родился в конце 1969 года, а TCP/IP - ну, протокол TCP/IP - это результат нововведений, которые были сделаны в Калифорнии в октябре 1969 или, может быть, в ноябре 1969 года. По сути, я такой же старый, как Интернет. Большинство людей понятия не имели об ARPANET, Интернете или чем-либо еще до 1990 года, когда Интернет сделал Интернет тем, о чем люди действительно знали."

Джек: "Затем, с тех пор как у вас появилась возможность, вы практически всю свою жизнь сосредоточили на Интернете."

Микко: "Я начал программировать в возрасте четырнадцати лет, в 1984 году. Это произошло потому, что у нас в семье появился Commodore 64, а это произошло потому, что моя мать, моя покойная мать Рауха, купила нам компьютер на своей работе, который был Государственным Вычислительным Центром. Думаю, это у нас семейное. Моя мама всю жизнь проработала в ГВЦ. Она не была программистом, но, конечно, понимала важность технологий и компьютеров. Это привело меня к программированию в раннем возрасте. К шестнадцати годам я уже продавал свои первые программы. Писал утилиты. Конечно, я тоже писал игры. С этого начался мой путь на компьютерном поприще."

Джек: "То есть...Вы работаете в одной компании уже почти тридцать лет."

Микко: "Верно. Я присоединился к компании Data Fellows в 1991 году в качестве шестого сотрудника. Компания была основана в 1988 году, и я работаю до сих пор. Компания больше не называется Data Fellows, потому что мы переименовали ее в F-Secure в 1999 году, когда компания стала публичной. Но да, это та же компания. Я работаю там всю жизнь. Думаю, если бы вы были шестым сотрудником в компании Кремниевой долины в течение тридцати лет, а компания разрасталась и становилась публичной, пока вы там работали, вы бы в конечном итоге стали очень богатым человеком. Здесь, в Финляндии, все работает не так, но я все еще работаю в той же компании, и должен вам сказать, это был невероятный путь. Я видел, как компания превратилась из небольшого стартапа в игрока, работающего по всему миру. Сейчас у нас есть офисы в двадцати девяти странах по всему миру."

Дневники даркнета: Микко

Джек: "В июне 1991 года Микко начал работать в F-Secure, занимаясь вопросами безопасности. Так что его можно считать своего рода историком вредоносных программ. Я воспользовался этой возможностью, чтобы поговорить с ним о некоторых из первых вредоносных программ, которые мы когда-либо видели, например о "Brain"."

Микко: "Brain нашли в 1986 году, а это значит, что я еще не работал в этой индустрии. Но к тому времени, когда я начал профессионально заниматься анализом вредоносных программ, я все-таки занялся анализом Brain, потому что я хотел проанализировать каждый вирус. Когда я начал проводить анализ на вирусы в первые дни, вирусов было очень мало. Мы не получали тысячи новых образцов каждый день. Мы получали новый образец вредоносного ПО по почте, может быть, раз в неделю на дискете. Я изучил код Brain.A, когда начал профессионально заниматься анализом вредоносных программ."

Джек: "На самом деле Brain - это то, как я впервые узнал, кем был Микко, благодаря видео, которое он снял об этом."

Микко: "Brain.A - это важная часть истории вредоносных программ, потому что это был первый вирус для ПК. До Brain было несколько конкретных случаев вредоносного ПО на других платформах, например, на Amiga и Apple II, но первый вирус для ПК важен, потому что мы все еще боремся с вирусами для ПК. Вот с чего все и началось. Я заново изучил код вируса Brain в 2011 году, в 25-ю годовщину Brain, в основном потому, что наши маркетологи и продавцы спросили меня, что, знаете, это будет 25-я годовщина первого вируса для ПК. Вы хотели бы что-то сказать по этому поводу?"

У нас была встреча по этому поводу, и они предложили нам провести какую-то кампанию по повышению осведомленности о вредоносных программах или чем-то еще, о чем-то скучном. Я просто сказал им, что это плохая идея. Почему бы нам вместо этого не посадить меня в самолет, а я попытаюсь найти парней, написавших первый вирус для ПК двадцать пять лет назад? Вот что мы сделали. Конечно, я сказал это, потому что знал, что есть зацепка. Потому что в коде вируса Brain.A есть почтовый адрес, адрес, который указывает на улицу в городе Лахор, который является городом в Пакистане. В 2011 году я поехал в Лахор искать парней, написавших вирус Brain. Мы сделали видео об этом. Вы можете посмотреть видео на YouTube."

Джек: "Это круто. Но вредоносное ПО, созданное в 1986 году, сильно отличается от сегодняшнего."

Микко: "В то время, во-первых, написание вирусов не было незаконным. Если вы написали вредоносное ПО и заразили весь мир, вы не нарушили ни одного закона. В то время законы ни одной из стран вообще не принимали во внимание подобные преступления. Во-вторых, у первых авторов вредоносных программ не было мотивов. На самом деле они ничего не выиграли, написав эти ранние вирусы, которые распространялись на дискетах или по ранним сетям. По сути, они просто посмеивались от мысли, что их вредоносное ПО распространяется по всему миру. Это интересно, потому что я встречался - в первые дни я встречал некоторых из первых авторов вирусов. В частности, мне запомнился один шестнадцатилетний парень из Финляндии."

Я нашел его. Он распространял некоторые из своих вредоносных программ в системах BBS того времени, когда они распространялись через модемы с одного компьютера на другой. Я говорил с ним по телефону и разговаривал с его родителями. Это открыло мне глаза, потому что он сказал мне, что живет в этом маленьком сельском городке в центральной Финляндии в глуши. Там нет ничего. Соседей нет. В основном просто снег. Ему безумно скучно. Он не может сбежать. Он со своими матерью и отцом в глуши, но у него есть компьютер и модем, и он написал этот вирус. Он назвал вирус Золушкой.

Затем, он увидел, что вирус распространяется с одного компьютера на другой - и в конце концов, вирус распространился по Калифорнии. Он почему-то чувствовал, что ему не спастись, но его вирус может это сделать. Это был его мотив для написания вирусов тогда, много лет назад. Сейчас мотивы вирусописателей полностью изменились. Если вы поговорите с существующими онлайн-преступниками, никто не пишет вредоносное ПО для развлечения. Никто не делает этого ни для чего подобного. Все дело в деньгах. Все дело в том, что организованная преступность пытается заработать деньги с помощью программ-вымогателей и бот-сетей, либо это правительственная деятельность или шпионаж. Старые добрые времена счастливых хакеров давно прошли."

Джек: "Да, но я также думаю, что когда твой компьютер заражается вирусом, то у него (вируса) есть план. Например, он заберет мой список контактов, или рассылает электронную почту, или попытается найти какие-то лазейки в моём железе, которое можно взять под контроль. Эти вирусы в 80-х и 90-х годах не делали таких зловещих вещей, не так ли?"

Микко: "Большинство ранних вирусов либо не делали ничего, кроме дальнейшего распространения, либо могли быть разрушительными. Мы видели на удивление много примеров вредоносных программ, которые просто перезаписывали жесткие диски в определенные дни или делали что-то подобное. Или они сделали бы что-нибудь видимое; они будут играть музыку, они будут показывать вам анимацию, они будут играть в игры с пользователем. Я всегда находил эту часть вредоносных программ или ранних вирусов очень интересной. Многие из них на самом деле выглядят довольно красиво, когда вы смотрите на них сегодняшними глазами, и вы как бы уважаете искусство ранних вирусов, когда смотрите на них сегодня.

Я определенно не уважал это тогда, когда боролся с этими вирусами. Но это одна из причин, почему я работал волонтером в интернет-архиве и собирал коллекцию старых вирусов, которые теперь вы можете безопасно запустить в своем браузере, выполнив исходный код вирусов из 1980-х и 1990-ых годов, особенно вирусы, которые на самом деле показывают вам что-то, показывают анимацию или, возможно, воспроизводят музыку на вашем компьютере. Это то, что вы все можете проверить, посетив Музей вредоносных программ в интернет-архиве."

Джек: "Если вам когда-нибудь станет скучно, то посетите этот интересный сайт. У некоторых из этих вредоносных программ просто отображается сообщение, подобное этому. [Звучит громкий сигнал] Он просто выводит на экран заметку с надписью «Критическое сообщение. Не бойся. Я добрый вирус. Хорошего дня. Прощай. Чтобы продолжить, нажмите любую кнопку». Затем просто выйдите. Он просто заражает ваш компьютер, чтобы сказать "привет", а затем уходит. Есть и другие, которые показывают странную графику или заставляют экран выглядеть глючно. Но это только графика и звуки. Ничего более. Это вирус. Я предполагаю, что вирус взаимодействует с программами, которые были установлены и запущены на вашем компьютере без вашего согласия или вашего вмешательства. Кстати, любимое вредоносное ПО Микко - вирус Whale."

Дневники даркнета: Микко

Микко: "Whale был обнаружен в 1990 году, и это одна из больших загадок, которую мы до сих пор не можем разгадать. Ранние вирусы становились все более сложными. Они начали использовать шифрование, потому что с ними боролись антивирусные программы, такие как программное обеспечение, которое мы писали тогда. Еще одно раннее программное обеспечение, которое существует до сих пор - MacAfee. MacAfee на один год старше, чем F-Secure. Очевидно, MacAfee все еще существует. Простым способом избежать обнаружения было использование шифрования. Вы просто зашифруете код вредоносного ПО, а антивирусные ребята вроде меня не смогут найти способ обнаружить вредоносное ПО, потому что оно зашифровано. Вы можете менять ключ для каждого образца и тому подобное. Однако слабым местом этого метода является то, что мы можем получить сигнатуру обнаружения из цикла дешифрования.

Именно тогда мы начали находить вирусы, которые могли бы использовать метаморфические или полиморфные алгоритмы, включая Whale. Каждый раз, когда вредоносная программа Whale копировалась в новый файл, она перезаписывалась. В основном происходила перекомпиляция бинарника. И с каждой такой перезаписью он выглядел по-другому. В то время это был действительно новаторский метод. Внутри вредоносной программы оставалось множество загадочных сообщений, и многие ранние исследователи потратили много времени, пытаясь выяснить, в чем был мотив Whale. Откуда он пришел? Кто его написал? Мы до сих пор этого не знаем. Эти приемы сокрытия вредоносных программ под полиморфным шифрованием стали доступны широкой общественности. Спустя два года болгарский вирусописатель Dark Avenger выпустил набор инструментов под названием MTE, Mutation Engine.

По сути, это был набор инструментов, который можно было использовать для "обёртывания" любой программы слоем полиморфного шифрования. Распознать вирус под этим слоем было действительно сложно. Мы брали два образца. И в этих двух образцах не было бы ни одного байта, который был бы постоянным, поэтому обнаружение вируса было настоящим кошмаром. Однако в то время мы тесно работали с исследователем по имени Фридрик Скуласон из Рейкьявика. Он придумал умную идею, что вместо того, чтобы пытаться обнаружить вредоносное ПО со статическими сигнатурами или искать определенные байты в определенных смещениях, мы начали с того, что просто запустили вредоносное ПО на виртуальной машине.

Смысл был в том, чтобы дать вредоносной программе безопасно работать столько времени, сколько ей нужно, чтобы она расшифровывала материал, скрытый слоем полиморфного шифрования. По сути, мы позволим вредоносной программе расшифровать себя за нас. Вирусописатели того времени не могли понять этого годами. Я имею в виду, они просто не могли понять, что как бы хорошо они ни пытались скрыть полезную нагрузку, сколько бы уровней шифрования они ни добавили, мы все равно найдем ее, потому что уровни шифрования, которые они добавляли, ничего не значили. В конце концов, они расшифруют скрытый материал для нас, и мы сможем его обнаружить, как если бы не было никакого шифрования."

Джек: "Имейте в виду, что до этого момента это вредоносное ПО, нацеленное на ПК, предназначалось только для DoS. Windows тогда еще не существовало. В то время, в 90-х, когда Микко исследовал этот материал, люди присылали ему эту вредоносную программу по почте на дискетах. Это было странное время для вредоносных программ."

Микко: "Вирусы очень медленно переходили с MS DoS на MS Windows. MS Windows только начинала набирать обороты. Я имею в виду, что первым успехом была Windows 3.0, затем 3.1, а затем 3.11. Она становилась все больше и больше, но все вредоносные программы, которые мы анализировали, по-прежнему работали на MS DoS. Конечно, в то время системы Windows работали поверх MS DoS, поэтому это вредоносное ПО еще частично работало, пока мы не обнаружили самый первый вирус Windows. Я очень, очень хорошо это помню, потому что это действительно изменило наши контакты в отрасли. Это был 1992 год, и мы нашли образец, который, как мы считали, был вирусом для Windows из Швеции. Его было очень сложно анализировать, потому что это был первый вирус для Windows, а Windows в то время была не так доступна для отладки или обратного проектирования, как вы могли подумать.

Windows 3.11

Но я и Исмо, один из наших программистов в то время, потратили пару дней, пытаясь понять этот образец. Это оказался самый первый вирус в истории Windows. Ну, так мы его называли. Программа поиска называет вирус, поэтому мы назвали его Winvir, то есть «вирус Windows». Мы сделали описание этого вируса. Мы смогли его обнаружить. Когда мы все закончили, то поняли, что это, черт возьми, действительно громкая новость. Я имею в виду, первый вирус на Windows в истории. Что нам нужно было сделать? Стоит ли делать пресс-релиз? Что ж, компания никогда не выпускала пресс-релизы, поэтому мы понятия не имели, как делать пресс-релизы, но мы видели другие пресс-релизы, поэтому просто скопировали формат: Data Fellows объявили об обнаружении первого вируса Windows: описание и технические детали.

Очень важная деталь; Когда мы писали этот пресс-релиз, первый пресс-релиз в истории компании, мы писали его на английском, а не на финском языке. Наш головной офис находился в Хельсинки. Все наши клиенты были в Финляндии, но мы автоматически предположили, что это международная новость. Мы должны рассказать всему миру. Затем, когда у нас был готов пресс-релиз, мы его распечатали, он был у нас в руках. Что нам делать теперь? Ну мы понятия не имели. Мы отправили его по факсу в агентство Reuters в Лондоне. Reuters приняли эту информацию. Об этом они написали в Wire. Они рассказали эту историю. Это стало новостью во всем мире. А затем, эта информация появилась в "New York Times".

На следующий день нам начали звонить из исследовательских лабораторий со всего мира. Особенно я помню, как взял трубку, а звонок был из Нью-Джерси. Звонили из Исследовательского центра TJ Watson при IBM. Их очень интересовало наше открытие. Они хотели инициировать официальный обмен образцами вредоносного ПО между IBM и нами. Тогда стало понятно, что теперь мы играем в высшей лиге. Итак, мы действительно сделали это. Так мы начали международные контакты с другими исследовательскими лабораториями. Конечно, это было очень важно в первые дни для компании."

Джек: "Вирусы продолжали мутировать на протяжении 90-х годов. Микко разрабатывал новые способы обнаружения вредоносных программ и внедрял их в антивирусное программное обеспечение F-Secure. Он также работал с компаниями-разработчиками программного обеспечения, чтобы заставить их исправить ошибки, которые изначально позволяли запускать этот вирус. Но в 2000 году электронная почта стала набирать популярность."

Микко: "Когда электронная почта стала обычным явлением в офисах, вредоносные программы стали все больше и больше распространяться через вложения электронной почты, а не на дискетах. Именно тогда началась эра почтовых червей. Мы их было очень много. Всё началось с Happy99, затем продолжилось с Мелиссой, а затем с самым большим из них на тот момент, Love Letter в мае 2000 года."

Почтовый червь Love Letter
Почтовый червь Love Letter

Джек: "Вирус Love Letter, также известный как Love Bug или ILOVEYOU, отправлял электронное письмо тысячам людей с этим сообщением: «Пожалуйста, проверьте прикрепленное любовное письмо». В письме также было вложение с названием "LOVE-LETTER-FOR-YOU.txt.vbs". Сейчас легко понять, что это попытка фишинга, но в 2000 году мы не получали много фишинговых писем, и мы хотели узнать, кто послал нам это любовное письмо. Хотя этот файл и выглядит как текстовый, на самом деле это простой скрипт на Visual Basic. Часто Windows скрывает расширение, поэтому для многих оно выглядело нормально, как текстовый файл. Но когда вы его открывали, Windows понимал, какие команды нужно выполнять в этом скрипте. И он выполнял их.

Что делает Love Letter, когда вы открываете файл? Сначала он распространяется и отправляет электронное письмо всем, кто находится в вашей адресной книге. Затем он перезаписывает и повреждает случайные файлы на вашем компьютере. Офисные документы, изображения и аудио файлы по сути, становятся испорченными, поскольку именно они являются наиболее ценными файлами на вашем компьютере. Так как вирус отправлял электронные письма всем в адресной книге жертвы, это превратило вирус Love Letter в червя, поскольку он мог самораспространяться, что сделало его одним из самых быстрорастущих вирусов всех времен. Теперь, когда что-то подобное поражает мир и серьезный вирус распространяется с огромной скоростью, вызывая разрушения, что делать антивирусной компании, такой как F-Secure? Они делают свою работу."

Микко: "Тогда это было по-настоящему захватывающе, потому что обычно мы просыпались в 3 часа ночи, потому что массовая атака вируса на компьютеры пользователей и организаций была в самом разгаре. Мы получали образец, декодировали его, выбирали строку поиска или строили детектирование. Мы проводили тестирование, давали вирусу или червю имя, переписывали описание, тестировали метод обнаружения вируса, затем отправляли этот метод и, таким образом, спасали мир. Это был очень и очень захватывающее время. Кроме того, всё это происходило снова два дня спустя, и снова через день, и снова."

Джек: "Вау, это звучит захватывающе; Написать обновление для антивируса и, таким образом, спасти мир. Но наверное, это должно быть утомительно. Фактически, самым изнурительным временем для Микко было лето 2003 года, когда его команда отправилась на битву с ботнетом Sobig."

Структура ботнета
Структура ботнета

Микко: "Мы видели, насколько масштабной была первая версия ботнета. Это был Sobig.A, и он распространялся очень быстро - злоумышленники использовали существующий ботнет для запуска отправки электронной почты. Электронное письмо, которое использовал Sobig, чтобы обманом заставить людей открыть вложение, было довольно занятным. Письма выглядели как электронные письма от Microsoft, в которых говорилось об обновлении для устранения уязвимостей в вашей системе. Тогда было время, когда Центр обновления Windows еще не существовал, поэтому люди все еще загружали обновления вручную с microsoft.com. Если вам нужно получить обновления за этот месяц, то в письме дата изменится на этот месяц. Если бы вы получили письмо от Sobig сегодня, то в письме бы говорилось об обновлениях системы в 2020 году за текущий месяц. Очень ловкий трюк. На самом деле это значительно увеличивает продолжительность жизни вредоносного ПО. Когда мы боролись с Sobig.A, мы обнаружили Sobig.B, C и D, а затем F. Версия F, пятая версия, была самой крупной из вспышек распространения ботнета."

Джек: "К тому времени, как появился вариант Sobig.F, он заразил миллионы компьютеров по всему миру. Но что сделала эта вредоносная программа? Что ж, это ботнет, поэтому все эти миллионы компьютеров были под чьим-то контролем. Этот человек мог дать указание этим компьютерам сделать что-то вроде отправки электронной почты миллионам людей или атаки на систему. Но для этого каждый компьютер должен был связаться с центральным компьютером управления и контроля, чтобы получить инструкции о том, что он должен делать.

На некоторых машинах устанавливался прокси-сервер, что означало, что хакеры могли направлять свой трафик через эти компьютеры ботнета, чтобы скрыть, откуда они приходят. Независимо от того, чем он занимался, ботнет стал большой проблемой для компаний по всему миру. В конечном итоге они потратят миллиарды долларов на очистку зараженных компьютеров от Sobig. Когда компьютер заражен, он имеет вредоносный код на компьютере. Где-то в этом коде есть инструкции о том, что должен делать ботнет. Это отлично подходит для антивирусных компаний, которые пытаются остановить или реконструировать вирус. Но с этим кодом возникла проблема."

Статистика распространения Sobig.F vs MyDoom.A

Микко: "Sobig.F содержал зашифрованный код, который был для нас загадкой. Мы не могли взломать шифрование и точно выяснить, что он должен был делать."

Джек: "Команда F-Secure пыталась взломать зашифрованный код, верно? Ведь F-Secure призван защищать компьютеры от вирусов. Но здесь они пытаются использовать различные инструменты, чтобы взломать код этой вредоносной программы, который остался на компьютере. Это было сложно, потому что хорошее шифрование трудно взломать."

Микко: "Один из наших венгерских программистов выяснил, как работает шифрование во время выполнения, и мы нашли этот код, в котором говорилось, что в пятницу той недели каждый зараженный компьютер будет связываться с десятью разными серверами. Это будут серверы управления и контроля, контролируемые автором вредоносной программы."

Джек: "Они взломали этот код во вторник, и в коде говорилось, что в пятницу он обратится к серверам управления и контроля за инструкциями о том, что делать."

Микко: "У нас оставалось четыре дня, чтобы связаться с властями или интернет-операторами или с CERT (Computer Emergency Response Team) – группа реагирования на компьютерные инциденты, представляющая из себя независимую группу экспертов, в список задач которой входит постоянный мониторинг информации о появлении угроз в сфере информационной безопасности, их классификация и нейтрализация) и вместе поработать над отключением этих серверов до пятницы. На самом деле есть временная метка; Вечер пятницы, 22:00. Это время активации ботнета. Мы довольно быстро вывели из строя большинство серверов, просто позвонив операторам и рассказав им, что происходит, но некоторые из них не воспринимали наши слова как должное. Им звонит эта забавная компания из Финляндии и просит выключить сервер. Почему они это сделали? Затем мы работали вместе с ФБР, а затем мы звонили моему контакту в штаб-квартире Microsoft, чтобы рассказать, что что-то должно произойти. Была уже пятница, ранние часы пятницы, когда у нас осталось четыре сервера.

Я помню, что на каком-то этапе мы хотели заручиться поддержкой глобального сообщества CERT, и я попытался отправить по электронной почте список IP-адресов, которые мы декодировали из тела вредоносной программы, в CERT, Финляндия. Я написал им по электронной почте, а затем позвонил им примерно через два часа, чтобы спросить, что происходит. Они сказали мне, что никогда не получали мою почту. Я был удивлен этим. Они сказали мне, что на самом деле у них огромные проблемы с почтовыми серверами из-за Sobig.F. Вспышка Sobig.F по-прежнему распространялась настолько массово, что электронная почта не работала так, как она должна была работать. Они спросили меня, могу ли я отправить им список по факсу, и, конечно же, у нас больше не было факса, потому что мы считали себя современной компанией, поэтому я распечатал список на листе бумаги и отдал его другу. Мой друг Джусу, который работал в лаборатории, поехал в штаб-квартиру CERT и доставил список лично.

Он прыгнул в машину и поехал туда, но на полпути застрял в пробке. У нас в Хельсинки никогда не бывает пробок. Это небольшой город, но произошла авария, поэтому он застрял. Он бросил свою машину и побежал в штаб-квартиру CERT, чтобы передать листок бумаги из рук в руки. Я до сих пор помню, в каком отчаянии мы были. Но в итоге мы смогли выключить все сервера, кроме двух последних. Когда наступила пороговая дата и время, во всем мире было столько тысяч зараженных машин, что все они пытались соединиться с этими двумя серверами. Было так много трафика, что оба сервера просто вышли из строя под нагрузкой, что означает, что ничего не произошло, а значит, мы добились успеха."

Джек: "Уничтожение глобальной угрозы, такой как ботнет - наверное, это непередаваемое чувство. Микко пошел в бой и вывел из строя несколько ботнетов. У него есть несколько различных методов их устранения."

Микко: "Если вы сделаете всё правильно, весь ботнет немедленно умрет. Да, это определенно лучшее чувство в мире. Мы пытаемся спасти пользователей. Мы пытаемся защитить безопасность людей. Мы пытаемся защитить их компьютеры и, конечно же, делаем это для наших клиентов, но когда вы делаете что-то подобное, вы защищаете не только своих клиентов и заказчиков. На самом деле вы защищаете весь мир. Благодаря тому, что вы только что сделали, весь мир стал безопаснее. Это здорово. Это одна из тех вещей, которые заставляют меня работать и год за годом удерживают меня в отрасли: ощущение, что вы действительно можете что-то изменить, ощущение, что вы действительно в состоянии защитить пользователей."

Джек: "На самом деле, когда вы победили ботнет Sobig, у вас было немного времени на празднования..."

Микко: "Да, когда мы почувствовали, что только что спасли мир, мы пошли и устроили вечеринку. Думаю, что любой на моём месте поступил бы также. А поскольку я работал в Финляндии, то вечерника всегда означала посещение сауны. В Финляндии в каждом доме есть сауна. В каждом офисе есть сауна. В каждом офисе F-Secure, который у меня есть - ну, в самом первом офисе сауны, конечно, не было, но в нашем текущем главном офисе сегодня есть сауна. Это связано с культурой. Да, мы сидели в сауне с пивом, смотрели новости и посмеивались над тем, как они ошиблись в деталях, потому что мы точно знали, что делает вредоносная программа, потому что мы расшифровали ее пару часов назад."

Джек: "Хорошо, я должен спросить вас еще кое о чём. В вашу честь назван закон. Что такое закон Хиппонена?"

Микко: "На самом деле закон не был законом, просто кто-то его так назвал, и теперь есть страница в Википедии, посвященная закону Хиппонена (связан с интернетом вещей). Вкратце, закон говорит, что если в доме есть какое-то умное устройство, подключенное к сети, то оно на самом деле является уязвимым местом в вашей сети. Это очень пессимистический закон, но он работает. Чем больше функциональности и возможностей взаимодействия мы добавляем к вещам, тем более уязвимыми они становятся. Мой любимый пример - наручные часы. Если у вас есть традиционные старые классные наручные часы, которые нужно заводить, то их невозможно взломать. Как взломать старые наручные часы? Никак. Но если вы возьмете современные умные часы с подключением к Интернету, их будет сложно взломать, но это всё же возможно. Любая "умная" вещь, будто умные автомобили, умные дома, умные города, или умные сети - все это можно взломать. Тут еще можно вспомнить взлом казино Silverton в Лас-Вегасе. Злоумышленники получили доступ в сеть через беспроводной термостат, установленный в аквариуме на входе в казино. Хакерам удалось проникнуть в локальную сеть казино и скопировать базу данных хайроллеров. Эта база составляет коммерческую тайну и имеет исключительную ценность для конкурентов."

Аквариум у входа в отель-казино Silverton в Лас-Вегасе
Аквариум у входа в отель-казино Silverton в Лас-Вегасе

Джек: "Что удерживало вас всё это время на "светлой" стороне, вместо того чтобы использовать полученные знания для совершения темных делишек? Я точно знаю, чем занимаются эти киберпреступники, и вижу, что они зарабатывают гораздо больше, чем я, и я знаю, как спрятаться - вы когда-нибудь задумывались об этом?"

Микко: "Ну, Джек, если бы я ушел на темную сторону, как бы ты узнал?"

Джек: [Смеётся]

Микко: "Если вы посмотрите мою биографию в Twitter, там написано, что я суперзлодей."

Джек: "О да!"

Интверью с Питером Йепсеном:

Микко Хиппонен в поисках автора вируса Brain:

Музей вредоносных программ:

Этот и другие эпизоды вы можете прослушать в оригинале (на английском языке) на сайте DarknetDiaries.com, а также в категории "Подкасты" в Spotify/Deezer/Apple Music.

Автор материала: Jack Rhysider

Обложка для эпизода: odibagas

Транскрипция материала: Leah Hervoly

Перевод на русский: Vladis Love

101101
18 комментариев

Роскошный, лонгрид. И ни одного комментария за 2 часа ...
Грусть-печаль.

9
Ответить

Видимо, тут больше по мемчикам и играм. Но я не расстраиваюсь. Своего читателя лонгрид все равно найдет.

14
Ответить

Комментарий недоступен

11
Ответить

Комментарий недоступен

3
Ответить

М-м, стена жуткого машинного перевода.

2
Ответить

Хорошая статья. Показывает в себе всю слабость человеческого фактора.

1
Ответить

F-Secure и F-society. Символично.

1
Ответить