Интервью с владельцем ботнета



    Подреддит /r/IAmA — это место, где любой человек, представляющий хоть какой-то интерес для обычного реддитора, может провести сессию вопросов и ответов. Как правило, это смесь актеров, деятелей культуры и видных персон, расписание IAmA (I am a) которых известно заранее, и необычных людей, выделяющихся своими профессиональными навыками или пережитым жизненным опытом. Два месяца назад на этом ресурсе появился человек, представившийся как разработчик вредоносного программного обеспечения и оператор ботнета.

    Заниматься незаконной деятельностью он начал после Operation Payback, акции движения Anonymous, имевшей место в сентябре 2010 года. Обычный студент инженерной специальности использовал ставший доступным публике код вируса ZeuS, подправил баги, добавил несколько новых функций, руткит и майнинг монет Bitcoin за счёт видеоускорителей, который осуществляется лишь при простое машины на таком приоритете, что даже видео качества HD проигрывается без подтормаживаний, а вентиляторы не развивают высоких оборотов. Владелец ботнета не использует его для DDoS — это стоит дешевле, чем использование мощностей видеоускорителя для получения бит-монет.

    Реддитор: […] Если так выгодно устанавливать майнеры биткойнов на машины жертв, почему ты не делаешь это больше и больше?
    Владелец ботнета: По моей оценке, около 30% всей вычислительной мощности майнинга идет из ботнетов, это объем того, что генерируется в неизвестных пулах. Думаю, что никто не начинает использовать майнинг больше и больше по следующим причинам: 1) Они не хотят падения экономики Bitcoin. Если у ботнетов будет 90% вычислительной мощности майнинга, монеты обесценятся. (Маловероятно, киберпреступники не настолько умны, чтобы предвидеть подобное.) 2) Готовых программ для запуска майнинга нет, большинство операторов ботнетов никогда не написали ни строчки кода в своей жизни (наиболее вероятно). […] Если бы у кого-то была мощность в 50 терахэшей в секунду, инфляция была бы ужасной. Обменивать 800 тысяч биткойнов в месяц на Mt Gox по хорошей цене просто так не удастся.


    Непрофессионализм в стане кибер-злоумышленников поражает: оператор ботнета также сообщил, что большинство из них не умеют использовать Bitcoin для финансовых операций, ещё не закончили школу и не могут обменять средства Ukash и Paysafecard на Liberty Reserve. Операторы ботнетов глупы и не следят за оставляемыми следами, что сильно помогает в их поимке.

    В сутки заражается 500—1000 машин, в выходные ещё больше. Хакер подумывает об обычной покупке установок: на азиатских ПК хорошие графические ускорители. В его версии управление производится через децентрализованную сеть TOR, а зараженные машины работают как релеи. Каждый из клиентов регулярно получает свои собственные обновления, весь полиморфизм идет на стороне оператора, и обнаружение активности программы затрудено. Полученные данные банковских карт хакер сбывает третьим лицам. В конечном итоге за счет биткойнов и проданных данных получается небольшой дополнительный заработок, который не рассматривается как постоянная работа: наибольшая выплата составила около 1 тысячи долларов Liberty Reserve, но какая-то часть средств идет на оплату дорогих выделенных серверов.

    Большая часть жертв — молодые (20—30 лет) жители США, они составляют около 30% от всех жертв. Почти у всех есть аккаунты на Facebook, которые хакер игнорирует ввиду их низкой ценности. Примерно пятая часть имеет хорошую видеокарту, но даже и не утруждает себя установкой драйверов к ним, и майнер не запустить. У 80% есть антивирус, у 5% установлен ложный, на деле являющийся программой, вычищающей сторонние зловреды и устанавливающей свой, — типичные жертвы порнографии.

    Варез — основной источник появления новых ботов. Среди его зараженных машин оказались компьютеры Finance Canada, Федерального авиационного агенства США и 3 Windows-сервера.

    А всё начиналось с того, что он лишь пытался обойти защиту антивирусов, но быстро понял, что они плохо определяют наличие вредоносной программы, и в ответах на вопросы даже заметил, что возможно, их создатели специально оставляют дыры в безопасности ради получения прибыли в будущем. Обход защиты продуктов «Лаборатории Касперского» смог выполнить программист с двухлетним стажем.

    Сегодня уровень знаний киберпреступников очень сильно упал: достаточно базовых знаний Perl для создания кода, который не обнаружат антивирусы, а с ASM уже и буткит в кармане. Он не торопится заниматься установками на OS X: хотя её пользователи не столь умны, как это бывает с Linux-машинами, рынок слишком мал для уверенного роста. Сам оператор ботнета не покупает ничего в кредит, и едко замечает, что данные кредиток американцев, живущих взаймы, стоят 2 доллара США, а вот британцы «стоят» от 60. Он никогда не крал в обычной жизни, не наносил никому увечий и никогда не смог бы ударить человека первым. Говоря о своём отношении к Microsoft, хакер отозвался в хорошем тоне и похвалил компанию за доставку обновлений даже для нелегальных установок. Он рассказывал о известных в узких кругах хакерах, отдельные из которых на тот момент прохлаждались в тропиках в окружении дорогих автомобилей и сексуальных девушек.

    В будущем хакер хочет работать в компьютерной индустрии и использовать полученный опыт, но, к сожалению, «оператор такого-то ботнета» — не лучшая рекомендация в резюме.
    Share post

    Comments 31

      +27
      Местами ответы напоминают уровень бульварной прессы
        +10
        Оператор совсем не русский, не надейтесь =)
        Если читать весь тред ( а за Iama прикольно следить — там есть крутые iama-топики) — там реддиторы пытаются его деанонимизировать и очень похоже что он немец =), читать отсюда www.reddit.com/r/IAmA/comments/sq7cy/iama_a_malware_coder_and_botnet_operator_ama/c4g2rrr

        И новость немного [:||||:]
        Если никто особо не читает реддит — тогда советую обратить внимание еще на один iama

        IAM Sebastian Thrun, Stanford Professor, Google X founder (self driving cars, Google Glass, etc), and CEO of Udacity, an online university empowering students!


          +4
          Спасибо, подправил. «Новость немного [:||||:]» потому, что на момент интервью ньюсмейкера ваш слуга был забанен на «Хабрахабре» за не туда проставленный плюс.
            +1
            ого, хабр по-своему любит авторов с большой кармой.
              +2
              А не туда поставленный плюс, это куда?
                +1
                Думаю, вы помните это объявление.
                  +1
                  Да, просто было интересно что это за топик был, который вы плюсанули (если это топик был).
                    +2
                    Кому-то наскучил сайт, и он решил уйти, создав топик а-ля «мне всё надоело, всем пока». И такое случалось не в первый раз, поэтому несколько (десятков) проплюсовавших аккаунтов были переведены в рид-онли. С тех новых «виртуальных суицидов» пока не наблюдается.
                      +2
                      Вот не так давно было. Некоторых надолго забанили =)
              +7
              Поняшки
                +2
                RD is the best pony :D
                +8
                какие 800 000 биткоинов… всего в день появляется 50 * 6 * 24 = 7200 BTC
                  +1
                  Речь шла о месячном объеме, однако, в своей прикидке владелец ботнета действительно ошибся в 4—5 раз.
                    +2
                    Во-первых, скорее в 12-15 раз (речь шла о том, что 30% генериться ботнетами), а 30% от 7200 * 30 = 70 000. Во-вторых, смешно вообще рассуждать об изменении инфляции биткоинов, если их генерится одинаковое количество за единицу времени.
                      +2
                      Все равно, дай бог ему здоровья… пусть майнит
                        +2
                        Речь шла о той гипотетической ситуации, когда 90% биткойнов генерируется ботнетами, и о том, что незамеченным сбывать настолько крупные объемы бит-монет невозможно.
                          +2
                          когда 90% биткойн майнеров в одних руках — вроде как можно просто поломать систему, нарисовав себе бабла =)
                            +1
                            Ну так 90% — это не у одного ботнета, а у всех.
                    +1
                    «У 80% есть антивирус» — так получается, что антивирь только для виду? а как же защищаться обычным юзерам?
                      +2
                      Хакер дал несколько достаточно банальных советов: не ходить на странные домены, осторожно относиться к вложениям в электронной почте, не доверять антивирусным сканам, обновлять систему, использовать HBCI, использовать мобильный банкинг, поскольку под мобильные платформы меньше вредоносных программ, использовать в крайних случаях отдельную систему с LiveCD, следить за новостями компьютерной безопасности и т.п.
                      +3
                      У большинства пользователей антивирус стоит в режиме «спрашивать, если что случится». Но если пользователь целенаправленно хочет установить себе зловреда, пусть даже и под видом специального плеера с сомнительного сайта, разумеется он даст ему команду «Разрешить». В своей практике я сразу устанавливаю молчаливые настройки, при которых выполняется действие по умолчанию: «Лечить, удалить если лечение невозможно». И да, при таких настройках каспер мне очень даже нравится.
                        +5
                        Что-то мне не нравится употребление термина «хакер» в этой статье. :(
                          +1
                          Чем? Что он использует свои знания ради личной выгоды? Ну, не все хакеры такие белые и пушистые как Торвальдс^WСтоллман.
                            +1
                            Ага, и щас мы договоримся до того, что и владельцы ботнетов действуют в духе хакерской этики, особенно пункта «Access to computers—and anything which might teach you something about the way the world works—should be unlimited and total.», лол.
                          +2
                          Что-то скромный у него заработок. Он хочет сказать, что продажа ддос-услуг даст прибыль меньше 1000$ в месяц? Не смешите.
                            +2
                            DDOS'ом сейчас занимаются все кому не лень, поэтому эта сфера рынка обесценивается. Основной приток прибыли у владельцев сплойт паков, продавцов трафика, крипторов и низкоуровневых (asm) программистов. Кардеры отдельная тема
                              +1
                              Предложение очень большое. 1000$ это еще оптимистично. Вы учтите, там квалификации то особо не надо никакой иметь.
                              +1
                              а вот за границей, особенно в западной Европе, этого боятся как огня, потому что за такие дела дают большие сроки.
                                +2
                                Реквестую статью, в которой бы наконец объяснили где и как можно применять BitCoin в жизни. Складывается впечатление, что это «вещь в себе». Вот если бы ими можно было хотя бы за хостинг (желательно приличный) заплатить, не говоря уже о том, чтобы заказать пиццу на дом — вот интересно было бы.
                                  +2
                                  Вот сами возьмите и откройте пиццерию или перепродавайте хостинг за биткоины — станьте примером для остальных.
                                  0
                                  Он по совместительсву еще и фанат касперского

                                  «If you measure them in their damage containment potential, Kaspersky is far better.»
                                  — если попытаться измерить потенциал [антивирусов] по «сдерживанию» вредоносной деятельности — касперский лучший.

                                  «AVG is pretty bad antivirus, but doesn't rape performance as Kaspersky does, it protects you from mass sent and therefor known malware, but not from very fresh or targeted attacks.»

                                  «Kaspersky was the most challenging at first, Kaspersky is paranoid as fuck!»

                                  Only users with full accounts can post comments. Log in, please.