Дмитрий Артимович — один из самых известных на Западе русских хакеров. Именно он устроил DDoS-атаку платежного шлюза Assist, в результате которой «Аэрофлот» полторы недели не мог принимать оплату. Недавно Артимович написал книгу «Я — хакер! Хроника потерянного поколения», где раскрыл множество инсайдов. Даня Шеповалов прочитал ее, слегка ужаснулся некоторым скандальным подробностям и поговорил с Дмитрием о его непростом опыте.
«Хакер» — легендарный журнал об информационной безопасности. Оформив подписку на Xakep.ru, ты сможешь скачать любой вышедший номер в виде PDF и получишь доступ к огромной базе материалов о пентестинге, защите данных и компьютерных трюках. Каждая подписка помогает поддержать команду авторов и редакторов.
Также подписывайся на телеграм-канал Дани Шеповалова «Вечерний Даня», чтобы не пропускать новые авторские материалы.
— Как технически реализовалась та DDoS-атака, как что происходило?
— Шестьдесят тысяч ботов одновременно стали слать UDP-пакеты без какого-либо содержания на IP-адрес шлюза. UDP вытеснил все легитимные пакеты, и шлюз перестал быть доступен. Иногда переключались на TCP-флуд, но тут уже нужно сначала установить соединение, чтобы туда отправить мусор. Классического GET-флуда по HTTPS не было, слишком проблематично было реализовывать SSL под ядро ОС. А UDP-флуд просто забивал канал полностью. Оказалось, что у платежного шлюза канал был чуть ли не 10 Мбит/с всего.
— Они пытались отбиваться? Успешно?
— Несколько дней сами, потом привлекли «Лабораторию Касперского». С горем пополам через десять дней отбили атаку.
— Почему был выбран именно «Аэрофлот»?
— Это надо Врублевского спрашивать. Видимо, потому, что это крупный государственный объект и должен охраняться Центром информационной безопасности (ЦИБ) ФСБ, который хотел дискредитировать господин Врублевский.
— Изначально не возникало ни одной мысли, что все это наверняка плохо закончится? Зачем вообще ввязался в эту затею?
— Даже не возникало мыслей, что это незаконно. На тот момент мы с братом сильно зависели финансово от господина Врублевского, он финансировал разработку нашей фарма-партнерки. Плюс для меня это тогда был некий авторитет (после статьи Форбса «Плохие парни русского интернета»). Поэтому понимал, что, с одной стороны, раз этот человек смог заработать кучу денег, значит, есть чему поучиться у него, с другой стороны, отказались бы — задвинул бы нас на второй план.
— Ты откровенно пишешь о своей спамерской активности, разработке ботнетов и прочих спорных с точки зрения закона вещах…
— Спам у нас не считается уголовно наказуемым, а на Западе об этом и так знали. Михайлов все это давно слил, а Кребс опубликовал. Да и срок давности там прошел. А за создание ботнета я тут получил срок. Так что я чист перед законом.
— Что больше всего запомнилось из тюремного опыта?
— Первые две недели в нашем «поселке строгого режима» (его так называли за то, что никого не отпускали жить в город, а построения проводили по четыре раза в день). На меня тогда пытался давить местный блаткомитет, каждый вечер тянули «пообщаться», постоянно пытались зацепить. Придрались к телефону, якобы я его вытащил без их разрешения в лагерь, и прописали за это в ухо. Но в итоге эту ситуацию мы разрулили.
— В твоей книге много различных логов чатов. Герои логов не возражают?
— Я их не спрашивал. Эта переписка не включает в себя тайну семейной или личной жизни, значит, не нарушает закон. Я даже просил своего юриста вычитать текст, чтобы не было поводов.
— Вот эта цитата заинтересовала: «А у нас тогда со спайвары капало до фига». Можешь рассказать подробнее про spyware? Как конкретно ей занимались, как зарабатывали и так далее?
— Про это Кребс много писал. Scareware — пугалка, маскирующаяся, например, под антивирус. Это такой вредонос, который спит после попадания на ПК какое-то время, потом выскакивает и представляется, например, антивирусом. Естественно, находит штук 20–30 разных троянов на компе и предлагает их вылечить за покупку подписки баксов в пятнадцать. Здесь весь вопрос утыкался в процессинг, не каждый банк готов был принимать платежи за откровенное мошенничество. Плюс по таким мерчантам всегда был повышенный уровень фрода, который контролируется платежными системами. В общем, тут самое трудное было не сделать такой вредонос, а сделать прием карт под него.
— А сейчас как обстоят дела с процессингом подобных вещей?
— Судя по всему, никак. Я не встречал такого в последнее время. После ареста господина Врублевского в 2011 году, по сути, отрасль умерла. Банки, которые принимали такие платежи, попали под засветку и сейчас изображают из себя белых и пушистых.
— Помимо спама и scareware, что еще интересного было?
— Фарма-партнерки, продававшие индийскую виагру. В общем, это был основной инструмент конвертации тогда спама как почтового, так и поискового. Rx-Promotion в свое время проводила вечеринки, на одной из них даже разыграли слиток золота. А вот последняя их вечеринка закончилась плохо — визитом ФСКН.
— Кстати, а ChronoPay же был первым эквайрингом в России? Как он появился?
— Не первым. Я не знаю точной истории. Только слухи. Знаю, что изначально партнером Врублевского был тот самый Гусев (desp), который нас с братом слил в ФСБ.
— Ты пишешь, что большая часть сотрудников платежных систем ровным счетом ничего не понимает в эквайринге и финансовых расчетах. Если сесть и основательно в этом разобраться, можно с улицы зайти на рынок с новой платежной системой?
— Продажи же у нас построены на личных связях. Игроков на рынке слишком много, поэтому технически или даже ставкой сейчас никого не удивишь. Клиентов забирают вместе с сейлзами. Что, кстати, в тех же США незаконно.
— Цитата: «Репутация годами нарабатывалась на форумах». Что с форумов больше всего запомнилось?
— На спам-доте были статусы Trusted — за таких людей должны были поручиться два других участника (с таким же статусом), и они несли за их действия (тех, за кого поручились) финансовую ответственность.
— Если убрать за скобки вопрос законности, каким своим достижением ты гордишься больше всего?
— Я бы сказал так, больше всего фана в последнее время мне доставило сделать фейковый QR-код сертификата вакцинации. Тут особо хакерского-то и нету ничего, идея из фишинга (создается клон Госуслуг СЕРТИФИКАТ ДЕЙСТВИТЕЛЕН, и записывается в QR-код).
— А из чужой деятельности что впечатлило?
— Восхищался, как был написан спам-бот Srizbi (Reactor Mailer), который работал с сетью на самом низком уровне, фактически сам реализовал стек протоколов TCP/IP.
— Вообще следишь за активностью каких-нибудь групп?
— Я не слежу за ними. Как-то свободного времени на это нет. Плюс большая часть таких вот хакерских групп — просто фейки от спецслужб. Вербуют сотрудника какой-то компании (партии и так далее), его руками скачивают документы, а потом выкидывают их в сеть и обыгрывают, как будто какой-нибудь «Анонимус» взломал и слил в сеть секретные данные.
— Что думаешь про дело Ильи Сачкова?
— Думаю, что его дело напрямую связано с делом Сережи Михайлова, что, скорее всего, они на пару сливали данные по россиянам в Штаты. Михайлова посадили, а до Сачкова не дошло, что нужно прекратить стучать на Запад. Сачков же проводил экспертизу по делу «Аэрофлота» на взятку от Гусева.
— После статьи How Russia Recruited Elite Hackers for Its Cyberwar на главной NYTimes.com ты стал одним из самых известных русских хакеров на Западе. Мешает или, наоборот, помогает эта репутация?
— Да всем плевать, по сути. Вообще никак не отразилось. Только куча журналистов наших и зарубежных хотела услышать от меня фразу «Мы выбрали Трампа по заказу Кремля». Да Кремль о нас даже и не знает. После того как я уволился из ChronoPay, работу мне предложил только мой друг Руслан Маннанов в RBK.Money. Это был единственный случай.
— А иностранные спецслужбы на тебя не пытались выходить? Если Кремлю хакеры не нужны, то им-то, похоже, пригодятся.
— Насколько я понимаю, западные спецслужбы и работали с русскими хакерами через Михайлова. Он тогда возглавлял оперативный отдел ЦИБ ФСБ, как раз он и вербовал хакеров. А Запад давал задания, что сделать, например подбросить улики выборов хакерами Трампа. При этом во всем виноваты русские. Очень удобно. Сейчас эта связь разорвана, а в западные страны я не езжу.
— Ты пишешь, что на некоторые идеи тебя вдохновил анализ кода Half-Life 2. А что еще вдохновляло?
— Статья в Forbes «Плохие парни русского интернета». Правда, как оказалось, плохой был пример. После знакомства с тем же RedEye меня до сих пор преследуют неприятности.
— А из массовой культуры?
— Фильм «Хакеры» 1995 года. Там, конечно, очень много визуально приукрашено, но дух того времени передан хорошо.
— Запомнился момент, как ты взял рабочий ноут Asus самой простой конфигурации, чтобы, когда отберут, не было жалко. А сейчас же у тебя забрали технику? Что за ноут?
— В марте этого года у меня забрали три ноутбука: мой рабочий HP EliteBook x360 1040 G7 (Intel Core i7 10710U, 1,1–4,7 ГГц, 32 768 Мбайт, 14" Full HD 1920 × 1080, 1000 Гбайт SSD) и два старых HP EliteBook’а (один из них супруги). Выгребли из сейфа все сбережения и тоже забрали их. При этом руководитель группы обыска звонил Евгению Морозову (следователь, который ведет дело) и спрашивал: точно ли забирать деньги? Потому что меня, как и восемнадцать других человек, привлекли к уголовному делу против Врублевского как свидетеля. Если ноутбуки хоть как-то можно обосновать (экспертиза), то забирать деньги у свидетеля незаконно. В общем, я получил том уголовного дела. Конечно, я не могу разглашать сведения предварительного следствия, но оснований для обыска у меня не было никаких. При этом от меня очень хотели пароли от ноутбуков. А сам Морозов уверял меня, что, если найдет крипту на моих дисках, ее никто не тронет, а деньги он обещал вернуть сразу же. Прошло уже четыре месяца, следователь отказывается возвращать деньги. Мы сейчас это в суде обжалуем, а суд даже отказывается принять заявление к производству. Апелляцию по обыску Мосгорсуд вообще потерял — не могут найти документы. Какие-то чудеса. С техникой сложнее. Купить ноутбук сейчас такого класса в РФ практически невозможно — их просто нет. Абсолютно уверен (тем более я видел том уголовного дела), что дело заказное. Полагаю, у следователя есть интерес к моим конфискованным деньгам. Полагаю, он хотел поставить меня в безвыходное положение (кроме ноутбуков, они забрали все бэкапы — это как они думают) и заставить с ним общаться. Дальше прописать на попытке дать взятку и забрать вообще все. Но я же не такой дурак, каким был десять лет назад. Бэкапы я не только дома держу. Но вот у господина Морозова есть разрешение на обыск моего второго места пребывания. И я на полном серьезе считаю, что он может прийти еще раз. Я про него в книге написал и в интервью говорю. А он в отместку подчистит еще одну квартиру…
— Насчет упомянутой тобой крипты: что в целом думаешь о ее перспективах?
— Крипта не заменит фиатные деньги. Просто потому, что тогда государство потеряет контроль над эмиссией денег и расходами населения. Это при условии нормальной децентрализованной крипты, а не тех поделок в виде цифрового рубля, чем у нас ЦБ страдает ради хайпа. Какие могут быть перспективы? Американцы (а в мире пока господствует долларовая финансовая система) не позволят тому же биткоину стать средством платежа, они живут за счет эмиссии своего доллара.
— А из других современных трендов в технологиях что привлекает твое внимание?
— Децентрализация, децентрализованные сети. Есть одна идея кое-что сделать. Но технология эта не особенно-то новая.
— В начале книги ты пишешь про ZX Spectrum, «квадрат» на улице, BBS, локальную сеть в общаге, программирование графики. Все, кому это хорошо знакомо, — потерянное поколение?
— Потерянное поколение — это те, кто уехал. Это умные ребята, которые не нашли себе здесь места, которые могли бы двигать науку или страну. Таких людей не так много. У нас в физико-математическом классе математику знали единицы, а физику еще меньше. Отличников штамповали по приказу директора, чтобы держать марку лучшей школы района или даже области. В университете на моем курсе реально разбирающихся также мало было. Все, кто действительно учился, уехали в Европу. Вот они и есть то потерянное поколение.
— А какое киберпоколение следует за ним? Они уже не теряются, делают Flipper Zero, криптостартапы и прочее?
— Разве что-то сильно изменилось? Ты можешь привести много примеров прорывных IT-стартапов в России? Когда ребята в гараже собрались и сделали? У нас, по сути, есть только копии — Яндекс, VK, Mail.ru. Эти сервисы нужны были в первую очередь для государственной безопасности и получали соответствующее финансирование. Получить в России финансирование под свой проект фактически невозможно, кредитов для малого бизнеса тоже фактически нет. Ведь утечка мозгов продолжается. Мне нравится подход Сингапура в области образования и охоты за талантами. Тех, кто выделялся способностями, они отправляли обучаться за рубеж, а потом трудоустраивали в крупные корпорации, правительство. Так и выросла страна из третьего мира в первый.
— Про образование. Что самое ценное ты вынес из учебы в СПбГУ?
— То, что я напрасно потерял два с половиной года. :)
— Если бы ты мог вернуться в любой момент своей жизни и принять там другое решение, что бы ты изменил?
— Ничего.