Воры и гики: российские и китайские хакинг-сообщества +16



Команда Insikt Group (проект Recorded Future) исследовала возможности, культуру и принципы организации китайских и российских хакинг-сообществ. Для этого ребята анализировали рекламные объявления, создавали фиктивные учётки и общались с участниками хакинг-форумов.

Recorded Future— компания отслеживает всё, что происходит в Интернете в реальном времени. Прогнозирует и анализирует кибер-угрозы. Работает при поддержке ЦРУ и Google.

Если вам интересна культура хакеров: что движет их действиями, как устроены сообщества и откуда ждать угрозы — читайте нашу выжимку из исследования Insikt Group. Выжали самое интересное + наши мысли на этот счёт.

Как отмечают Insikt Group, чаще всего мы говорим о хакерах как об абстрактной массе. Но на самом деле в этой среде несколько очень разных сообществ со своей историей, мотивами и, если хотите, кодексом. Хакеры каждой страны уникальны. Часто исследователи этого не учитывают — говорят обо всех сразу или выделяют русских.

Сотрудники Insikt Group сравнили лидеров кибер-преступного мира: русских и китайцев. И начали с их истории.

Патриотизм или деньги — история и мотивы


Русские хакеры — дух воровства


Как отмечают Insikt Group: хотя и китайские, и российские группы хакеров происходят из похожих авторитарных государств — история появления и мотивы у них разные.
Русскоговорящие киберпреступники ценят в первую очередь деньги, хотя сам феномен финансово мотивированного хакинга зародился в США.
Один из первых хакинг-форумов — Counterfeit Library — появился в 2000 году и был ориентирован на англоговорящее сообщество. В ответ 20 украинцев создали «Одесский саммит», который потом вырос до русскоязычного «Альянса кардеров» или «Планеты кардеров». Форум отличался строгой иерархией модераторов, которые тщательно проверяли всех поставщиков CVV-кодов, eBay-учёток, скиммеров и т. д. Западные мошенники переняли этот опыт организации сообщества и создали ShadowCrew. А несколько лет спустя (в 2005) появился Carders Market, где западные и восточные хакеры могли совершать сделки друг с другом.
Домашняя страница Counterfeit Library, одного из первых форумов кардеров и других мошенников

Когда киберпреступники России и Китая только начинали объединяться в сообщества, в Америке за ними уже охотилось ФБР. Свидетельство тому — громкие операции типа Shrouded Horizon, Firewall и ликвидации DarkMarket.

До России и других стран бывшего СССР высокие технологии дошли к началу 2000-х. Тогда и случился бум интернет-мошенничества. Из-за низкой оплаты труда хакерами стали образованные, технически подкованные люди.
Пётр Левашов, aka Severa — распространял поддельный антивирусный софт. Он превращал компьютер жертвы в часть печально известных ботнетов Waledac и Kelihos.

Евгений Богачев разработал специальный троян ZeuS. С его помощью JabberZeuS, Business Club и другие преступные сообщества успели похитить у финансовых учреждений США и Великобритании более $200 миллионов.

Китайские хакеры — дух патриотизма


Если русских мотивировали деньги, то китайцы объединились на фоне патриотизма. Чтобы не повторилось «столетие унижений» — период, когда великие зарубежные державы принуждали Китай подписывать неравноправные договоры, концессии и провоцировали опиумные войны (XIX — начало XX века).

На фоне антикитайских беспорядков в Индонезии 1990-х пользователи создавали форумы, группы в соцсетях и электронные доски объявлений. Обсуждали дефейс-акции против правительственных сайтов Индонезии (Дефейс — вид атаки, в результате которой подменяется содержимое главной страницы сайта, а доступ к остальным страницам блокируется. Прим. перев.). В результате появились первые группы китайских хакеров: the Green Army, China Eagle Union и Hongke (или Honker) Union. Они же участвовали в первых атаках на США и других противников Китая.
Одна из известных: DDoS-атака на сайты Белого дома и крупных американских корпораций — через месяц после столкновения между американским самолётом-разведчиком и китайским истребителем над островом Хайнань.

Результат дефейса американского веб-сайта группой Hongke (Honker) Union group

Современные хакеры — всё ещё деньги и патриотизм


Сегодня русским хакерам также важны деньги, а китайским — патриотизм. Но с момента появления этих сообществ многое усложнилось: организация форумов, продвижение за границей и отношения с властью. Мы сгруппировали основные выводы Insikt Group по пунктам — вот что получилось:

Деньги или сообщество


Для русских, конечно, деньги. На их форумах мало места для дружбы. Это скорее бизнес-ресурсы, чем площадки для общения. Уважение и доверие завоёвывают самые успешные хакеры: больше сделок — выше рейтинг. Нет в этом уголке даркнета и института наставничества — обучать кого-то без чёткой финансовой мотивации?

Но если русские хакеры — это бизнесмены, то бизнесмены хорошие, клиентоориентированные. Кардеры-оптовики возвращают средства за отклонённые карты. Продавцы троянов и спам-рассылок устраивают праздничные скидки и распродажи. А абузоустойчивые хостеры переводят вознаграждение своим клиентам за привлечение рефералов. Учатся маркетингу у крупнейших корпораций, которые потом и атакуют.

Китайские хакинг-форумы, напротив, пронизаны духом сообщества. Эту культуру хорошо передаёт термин «дух гика» (????) — относится к технически образованным людям, которые надеются создать ideal society. Идеальное? Более справедливое общество? Контекста мало, но мысль, насколько китайцы гикнутые на сообществе, понятна.

Люди на форумах искренне восхваляют замечательные скиммеры, кодеры и снифферы. Пишут сердечные благодарности лично продавцам и активно делятся обратной связью для совершенствования продуктов. Чтобы поддерживать общение, китайцы устанавливают особые требования. Решили купить или продать вредоносное ПО — свяжитесь с контрагентом через комментарий или личное сообщение. Хотите сохранить членство — будьте активным пользователем и ежедневно общайтесь с другими участниками. Таких активистов даже поощряют внутрифорумной валютой. А ещё на вовлечение в сообщество работает система геймификации.


Сообщение на форуме. Чтобы получить доступ к ПО, копирующему цифровые подписи, нужно ответить


Поддерживающие посты на форуме: авторы благодарят юзера за расшаривание доступа к созданной им программе

С обучением здесь тоже всё в порядке. Китайцы продвигают специальные программы: опытные хакеры обучают новичков за деньги, а ещё берут под свою опеку — для большего вовлечения в сообщество.

От редактора:
Про китайцев, конечно, звучит суперкруто. Даже как-то забываешь, что они хакингом тоже деньги зарабатывают. И про платность обучения авторы исследования упоминают как-то вскользь. Сравните: про обучение у русских — «...few Russian forum members are willing to teach anyone anything without clear financial benefit.», и у китайцев «Chinese hackers advertise applications for apprenticeship programs on similar forums, where a more experienced hacker will teach an apprentice for a fee, dividing work among members based on skill level.». То есть «русские не учат новичков (бесплатно)», а «китайцы учат новичков (за деньги)» — хм… Ну и контекст нагнетает: русские зарабатывают деньги, китайцы строят сообщество.

Хактивизм и отношения с властью


Хотя первые группы китайских хакеров и распались — их кибер-патриотизм положил начало тесным отношениям между государством и хакерами. Отдельных участников форумов даже нанимали на работу в правительственные структуры. Сейчас некоторые из них так и работают в правительстве, а некоторые — возглавляют IT-корпорации.

Многие патриотические хакинг-сайты впоследствии трансформировались в форумы по кибербезопасности. Но не все. Как показывают недавние события, когда случившееся в Восточно-Азиатском регионе вызывает общественный резонанс — китайские хактивисты вновь выходят на сцену.
В 2012 г. Китай провозгласил суверенитет над островами Дяоюй. После активных дипломатических споров с Японией стране нужна была поддержка. И на форуме Hongke Union (спустя 8 лет после официального роспуска группы) появилась публикация с потенциальными целями для дефейса, все 300 — японские организации.

В 2014-м Китай поставил буровую установку в территориальных водах Вьетнама, последовала серия китайских погромов. В ответ новая группа хактивистов 1937CN скомпрометировала ряд вьетнамских сайтов. В 2016-м они же взломали системы регистрации вьетнамских аэропортов и опубликовали персональные данные более 400 тыс. пассажиров. Предположительно потому, что Вьетнам разместил пусковые ракетные установки на спорных островах в Южно-Китайском море.

Трудно определить наверняка, насколько независимы действия этих хакеров. Вредоносный код, использованный в атаке группы 1937CN на вьетнамские аэропорты, был также задействован в более масштабной кампании — кибершпионаж против Вьетнама. Предположительный спонсор — китайское правительство.
Вообще, многие китайские хакеры признавались, что оказывали услуги национальным разведывательным агентствам и военным организациям (таким как Министерство Госбезопасности и Народно-Освободительной Армии).
Однако группа 1937CN определённо демонстрировала и элементы хактивизма. К примеру, 1937CN имеет свой аккаунт на дефейс-портале Zone-H, аккаунты в различных соц. сетях, связанные с их сайтом, и даже промовидео, залитое на популярный видеохостинг в июле 2017 года: нескольких человек в капюшонах и масках Гая Фокса.
Русские тоже не раз выступали в роли народных мстителей. Жертвами таких атак становились Эстония, Грузия и другие государства/должностные и частные лица, замеченные в недружественном отношении к РФ.
Когда в Эстонии демонтировали памятник советским солдатам, прокремлёвская молодёжная группа «Наши» выложила на LiveJournal bash-скрипт DDoS, который атаковал определённый список эстонский айпишников. Благодаря этому принять участие в борьбе мог любой неравнодушный гражданин.

Во время краткой русско-грузинской войны одновременно с выдвижением российских танков была запущена DDoS-атака (ботнеты BlackEnergy). По утверждению некоего источника, хакер Пётр Левашов (Severa), рассылал спам с неподтверждённой информацией, что Кремль, Михаил Прохоров и хакеры из сообщества «Гражданский антитеррор» атаковали сайты чеченских боевиков и исламистов.

Данные из исследования «Политически мотивированные DDoS-атаки» от Arbor Networks (крупная американская компания, продаёт защиту от DDoS и прочие решения для безопасности. Прим.перев.).
Отношения власти к хакерам в России, как и в Китае, довольно лояльное. Arbor Networks даже выделили хакеров, поддерживаемых Кремлём: Карима Баратова и Алексея Белана. Исследователи считают, что эти хакеры были завербованы ФСБ, чтобы возглавить взлом Yahoo в 2014.

Что касается остальных киберпреступников, как русских, так и китайских — чтобы оставаться на свободе, они должны соблюдать один неписанный закон: не идти против своих. Для россиян сюда входят и жители СНГ. Причём тестировать разработки на согражданах россиянам можно. (Не очень понятно, что авторы имели в виду: можно написать троян и потестить его на Яндексе? Или речь про небольшие компании и частников? В любом случае не хватает пруфов. Прим.ред.)
Так Дмитрий Фёдоров aka «Paunch» распространял вредоносное ПО по всему миру через Blackhole — программу собственной разработки. Однако задержан был только после продажи Blackhole для использования в троянах Carberp, жертвами которых становились россияне.

Павел Врублевский, владелец российского процессингового сервиса ChronoPay, оказывал услуги по отмыванию денег от продаж нелегальных лекарств и поддельных антивирусов. Российское правительство никак не возражало. Но когда он заказал DDoS-атаку на Assist (отечественную платёжную систему) — тут же был арестован.
От редактора:

Из текста мы видим, что китайцы с неохотой закрывают своих хакеров — чаще, когда они засветились в крупных международных скандалах. Похоже, что это связано с понятием лица (??).
— включает завоевание и удержание уважения окружающих. Очень многое в культуре Китая вращается вокруг этой концепции, особенно когда речь идёт о семье и бизнесе. «Потеря лица» настолько страшна для китайцев, что они скорее обманут, чем честно расскажут о своих неудачах и недостатках. Например, одинокие китаянки, собираясь к родителям на праздники, часто заказывают услугу «жених напрокат», чтобы замаскировать неудачи в личной жизни.
Исследователи рассматривают понятие лица, но в контексте того, зачем китайцы покупают поддельные дипломы и лицензии на ведение бизнеса. Кажется, в отношении государства к хакерам это понятие тоже действует.

Организация сообществ


Российские преступные форумы хорошо структурированы: мошенники и хакеры действуют на разных площадках. У китайцев не так — максимум разные разделы. Это лишний раз подтверждает, что русские фокусируются на получении прибыли, а китайцы на создании сообщества.


Меню сайта по продаже наркотиков с разделом «Хакинг», рядом с разделами «Грибы» и «ЛСД»

Деление на открытые, полуприватные и закрытые форумы есть в обеих странах. Чем недоступнее ресурс — тем сложнее и качественнее товары на нём. На открытых площадках достаточно зарегистрироваться. В полуприватных — внести вступительный взнос около 50$ или подтвердить членство на других ресурсах. Для доступа к закрытым форумам — найти поручителя среди действующих членов и/или подтвердить подлинность своих продуктов.
Есть и специфические требования. На некоторых российских форумах, например на Exploit, доступ к более ценному контенту получают только пользователи с определённым количеством постов. А отдельные китайские группы хакеров в QQ и WeChat продвигаются только на полуприватных форумах. Значит, чтобы попасть в группу, надо сначала попасть на форум.
И русские, и китайские форумы поддерживают функционал чёрных списков. Пользователи предоставляют доказательства, что они получили некачественный или откровенно поддельный материал, а админы, проверив эту информацию, добавляют поставщика в бан-лист.


kidala.info — это сайт, посвящённый хакерам-кидалам. На сайте их 15,839, и это число растёт

Доступ к большинству российских форумов открытый. Когда нужны средства для обхода блокировок, чаще всего используют Tor-зеркала. В Китае же режим строгой цензуры — с 2000 г действует проект Golden Shield или «Великий Китайский Фаервол». Сначала целью проекта было внедрить новейшие технологий для борьбы с преступностью, потом — ограничить доступ китайских граждан к тому контенту, который государство считает неуместным или оскорбительным.

Великий Файервол даже умеет определять и прерывать исходящие подключения к сети Tor — а это усложняет доступ к международным форумам и торговым площадкам киберпреступников. Последний способ перепрыгнуть эту стену — использовать VPN. Но с 2017 года государство ввело обязательное лицензирование VPN-сервисов, и многие из них закрылись. Посещать международные хакинг-порталы стало ещё сложнее.

От редактора:

В целом организация сообщества у русских и китайцев очень схожая. Но вот Великий Файервол — печальная ирония — бьёт по китайским хакерам, несмотря на их хактивизм и лояльность государства.

Продвижение услуг за границу


Как мы помним, российских хакеров интересуют в первую очередь деньги. Великого Фаервола нет, и они активно продают свои услуги за границу. Размещают посты на русском и английском языках, продают базы данных и кредитные карты жителей со всех стран.

Китайским хакерам непросто прорваться со своими продуктами за границу из-за Великого Файервола. Поэтому они развивают собственные сообщества: создают более открытые хакинг-форумы, легкодоступные в местном интернете, и развивают группы на базе первых патриотических форумов. Также активно используют закрытые чаты и форумы в популярных мессенджерах и соцсетях: QQ, Baidu и WeChat.

Если русские продают данные людей и компаний со всех стран, то на китайских форумах значительно больше китайских данных. Причём вы не найдёте их на иностранных площадках.

Почему китайцы не сливаю данные за границу? Есть несколько предполагаемых причин:

  • сложно использовать информацию — нужно знать и понимать местные реалии;
  • неудобно использования продукты — ориентированы на китайцев, функционал и принципы работы отличаются от западных аналогов;
  • мешает языковой барьер.

Итак, китайцы любят развивать своё сообщество, а когда пришёл Великий Файервол и у них появились сложности с выходом на заграничный рынок — стали развивать своё сообщество активнее. Всё так, но сейчас исследователи отмечают обратную тенденцию. Великий Файервол не даёт продавать услуги и в своей стране — китайцы пытаются пробиться за границу. Свидетельство тому — китайские посты на российских и английских форумах.

Получается, правительство буквально выталкивает китайских хакеров за границу. И, как мы помним, они идут туда с уникальными данными китайских граждан и компаний, а также средствами взлома китайских ресурсов. Что ж, теперь у международного сообщества киберпреступников больше возможностей, чтобы атаковать цели в Китае, воровать учётки и другие данные.


Разбивка постов отдельных форумов по языкам, данные Recorded Future

От редактора:

Ты жёлтенькие столбики справа видишь? И я не вижу, но они там есть.

Выводы


Исследователи Insikt Group считают, что русские и дальше будут ориентироваться на деньги, а китайцы — остро реагировать на политические события.

Больше всего стоит бояться русских с их изощрёнными методами и своеобразными тактиками. Эти ребята хотят заработать все деньги мира, и под прицелом организации всех стран.

Что касается китайцев — Insikt Group считают, что правительству не удастся закрыть все хакинг-ресурсы. А благодаря растущей активности китайцев на международных форумах, они будут перенимать опыт коллег.

Авторы советуют отслеживать события на подпольных форумах, смотреть, какие продукты сейчас популярны, и следить за политической ситуацией (особенно если ваш бизнес в Восточной Азии).

От редактора:

Если интересно почитать про русских хакеров, в 2016 исследование про них опубликовала Лаборатория Касперского — «Русские хакеры: что ломают, за сколько и почему они лучшие в мире».

Что касается работы Insikt Group, больше всего мне запомнилось «китайцы — сообщество, русские — деньги». Мысль проходит через весь текст, и это не перекос в выжимке — можете убедиться, прочитав полный перевод (осторожно, сохранили псевдонаучный стиль оригинала). Не знаю, как у вас, а у меня осталось ощущение, что китайцы хакингом вообще не зарабатывают. Возможно, у вас это ощущение даже больше, потому что мы выкинули кусок про контент на форумах (что продают) да и методы оплаты (не очень интересно, но там хоть Китай и деньги в одном предложении).

Вообще, авторы не говорят, почему рассматривают именно китайцев и русских (русскоговорящих) хакеров. Про то, что дело в лидерстве на киберпреступном рынке — редакторская вольность. Но с этим перекосом китайцев от денег к сообществу вопрос «как они пробились в топ хакерских держав» становится ещё актуальнее. Или нет — что думаете?

Вы можете помочь и перевести немного средств на развитие сайта



Комментарии (7):

  1. Kruatoan
    /#19378444 / -1

    Как интересно у китайских хакеров сообщества устроены. Да и со стороны страны не прижимают (фаервол не в счет — умный обход найдет).

  2. TrueBers
    /#19379780

    В Китае каждая вторая домохозяйка пользуется ВПНом, только не признается открыто в этом никогда. А тут они пишут, что великих и ужасных топовых «хакеров» останавливает Фаервол? Они сами в это верят? Что за бред…

    • Arty_K
      /#19387066

      Как высоко вы оцениваете технические навыки китайцев. Вот прям так и каждая вторая? В Китае значительная часть населения — это простые трудяги и крестьяне, у многих даже доступа в Интернет нет. Если вы им про ВПН будете рассказывать будете — вас либо сожгут на костре за колдовство, либо сдадут в полицию. Большинство китайцев — простые законопослушные граждане, ВПНом они не пользуются просто потому, что он им не нужен. От слова совсем. Если им что-то надо в интернете — с вероятность 99% они найдут это в чайнанете или открытой части мировой сети.


      ВПН нужен единицам и они, да, умеют им пользоваться.


      P.S.: Три года жил в Шанхае, учился и работал с китайцами, знаю о чем говорю.
      P.S.2: В статье как раз пишется, что крутых китайских хакеров Фаервол НЕ останавливает. Останавливает только совсем новичков. Перечитайте

      • TrueBers
        /#19387086

        Ну, я и не говорю о старшем поколении «работяг».
        3 года не жил, но пообщался прилично, как мне кажется. Наверно, я не так выразился.
        ВПНом пользуются практически все, кто знает английский и может хотя бы читать что-то на нём. А так как в Китае его очень плохо знают, то, конечно, не будет такого процента использующих ВПН. Но молодёжь, у которой с английским более-менее, ищет ресурсы уже не только в Байде, но и за пределами Китая. Другое дело, что там за это могут и посадить, поэтому никто не афишируется.
        Прожил я там всего месяц, но почти все, с кем общался, и кто был способен говорить на английском, имели на телефоне какой-либо впн-клиент. Мне было интересно и я специально проводил «соц. опросы». Всё там хорошо с доступом за бугор у тех, кому это надо.

        В статье как раз пишется, что крутых китайских хакеров Фаервол НЕ останавливает.
        Ну, они пишут, что сейчас якобы из-за невозможности продавать у себя в Китае, им пришлось выйти на англоязычные форумы. Я к тому, что очень сомнительно, что их это останавливало когда-либо ранее. Хотя в статье это прямым текстом говорится.

  3. HaZeR
    /#19380022

    Не очень понятно, что авторы имели в виду: можно написать троян и потестить его на Яндексе? Или речь про небольшие компании и частников? В любом случае не хватает пруфов. Прим.ред.

    Все просто. На своих можно тренироваться без получения прибыли и нанесения значительного ущерба, а сильно вредить и зарабатывать на своих нельзя.
    Свои
    Круг «своих» определяется отдельным приказом по отрасли и доводится до личного состава под роспись :)

  4. g0rd1as
    /#19380598

    Да перестаньте уже хакерами называть всяких преступников!!! Хакеры — это исследователи с горящими глазами, которым нравится разбираться в компьютерных системах и их улучшать, а не бабос рубить на лохах в Сети! Те, кто описывается в статье — киберпреступники, мошенники, крякеры, кто угодно, только не хакеры!

    • moveax3
      /#19384520

      Да просто серые предпринематели и те из хакров, кто свой интерес и таланты решили монетизировать на темной стороне.
      Крякеры — это то же хакеры с горящими глазами, которым нравится реверс.