В конце августа в даркнете вновь появилась крупная база с личными данными сотен тысяч пассажиров российской Utair. Авторами слива оказались хакеры из иранской киберпреступной группировки Arvin Club.
Они утверждают, что их интересует не заработок — для них гораздо важнее указывать организациям на серьезные пробелы в защите. И только если компания игнорирует все предупреждения и не устраняет обнаруженные бреши, Arvin Club начинает полноценную атаку, требуя с нее выкуп. Группировка базируется в Иране и регулярно получает от США обвинения в связях с правительством этой страны. Главный администратор Arvin Club Али согласился ответить на вопросы и рассказал о связях киберпреступников с правительством, атаках на Россию и о том, как Arvin наказывают тех, кто их игнорирует.
Многие эксперты полагают, что пандемия стала для киберпреступников временем возможностей: слабо защищенные компании начали переходить на удаленный формат работы, оставляя бреши в инфраструктуре информационной безопасности. Это так?
Это действительно так. Во время пандемии хакеры получили гораздо больше возможностей для того, чтобы совершать атаки на самый широкий круг компьютерных систем. Вокруг достаточно много примеров, подтверждающих это.
Как группировка Arvin Club воспользовалась этой ситуацией? Какие крупные атаки вы провели за последние полтора года?
Одна из наших последних целей — Лейденский университет в Нидерландах. Я лично совершил множество атак, но значительная их часть не стала достоянием общественности ни в Иране, ни в других странах. В некоторых случаях группировки, специализирующиеся на программах-вымогателях, были заинтересованы в приобретении полученных нами прав доступа. Но мы их не продавали.
Лейденский университет поплатился за нежелание исправлять недостатки в системе информационной безопасности
Какое программное обеспечение вы используете в своих атаках?
Мы применяем самые разнообразные инструменты, например Cobalt Strike, nmap, Metasploit, Burp Suite.
Какой выкуп вы обычно требуете у своих жертв?
На самом деле мы не вымогаем деньги у наших жертв, кроме тех случаев, когда они не прислушиваются к нашим рекомендациям. Тот же Лейденский университет мы неоднократно предупреждали о том, что их сервер и веб-сайт небезопасны, но они проигнорировали нас. После этого мы были вынуждены потребовать выкуп. Но мы не вымогатели.
Сколько суммарно зарабатывает обычный член Arvin Club в неделю, в месяц или в год?
Я не могу назвать конкретную сумму, но это хорошие деньги.
Ваш бизнес для вас — это только способ заработка? Или еще и попытка донести свои ценности до мира?
Наша цель — вовсе не получение прибыли. Для нас важнее обучение и передача опыта.
Многим членам киберпреступных группировок в странах бывшего СССР близки идеи всеобщего равенства и социализма. Близки ли они вам?
Ни в коем случае. Идеи, которые продвигают наши товарищи с постсоветского пространства, годами разрушали мою страну. Конечно, все мы любим свободу и равенство, но левая идеология нанесла сокрушительный удар по нашему обществу.
А что ты в таком случае думаешь о хактивизме?
Здесь у меня обратная позиция: хактивизм — положительное явление, и меня радует, что оно находит себе новых сторонников в Иране.
Некоторое время назад США обвинили вас в связях с иранским правительством. Как ты можешь это прокомментировать?
Эти обвинения нелепы и бессмысленны. Чтобы стать жертвой подобных нападок, достаточно просто родиться в Иране, уж поверьте мне. Из-за политики, проводимой нашим государством, США по умолчанию считают тебя или террористом, или пособником иранского правительства. Фактически наше преступление в том, что мы иранцы.
Иран остается одним из ключевых геополитических раздражителей для США
Мы не сотрудничаем ни с одним государством. Будьте уверены, если бы иранские правоохранительные органы знали, где нас искать, мы бы уже были арестованы.
Arvin Club когда-нибудь проводила атаки на объекты критической инфраструктуры в США?
Нет, но у нас были другие цели в Америке. Мы предупредили их о существующих уязвимостях, после чего недостатки в защите были исправлены.
Один ваш русскоязычный коллега считает, что Америка просто назначает виновных в киберпреступлениях, не приводя при этом никаких доказательств. Из вашей страны ситуация выглядит так же?
Да, все именно так. На это указывают постоянные безосновательные утверждения США.
В даркнете несколько раз мелькали предположения, что у вас может быть налажено сотрудничество с киберпреступными группировками из других стран, в том числе и из России. Так ли это?
Мы находимся на связи с нашими друзьями из других стран, но мы не сотрудничаем с ними.
Правда ли, что все киберпреступные группировки интернациональны? Есть ли в вашем сообществе хоть один русскоязычный специалист?
Я бы не сказал, что абсолютно все хакерские сообщества интернациональны. Но в нашей группировке действительно есть русскоговорящий человек.
Проводили ли вы когда-либо атаки на российские компании и органы власти?
Да, у нас были цели в России, но, если честно, они нам не очень интересны по разным причинам. В вашу страну мы заглядывали больше из любопытства.
Многие хакеры отказываются атаковать социальные объекты, в том числе относящиеся к системе образования. Но вы недавно провели атаку на Лейденский университет. Почему?
Наша принципиальная задача — тестировать системы образовательных и даже государственных учреждений на проникновение. После проверки мы всегда предупреждаем их о наличии проблем, чтобы повысить безопасность систем.
Если говорить именно про Лейденский университет, то его руководство не отреагировало на наши предупреждения. Это говорит о том, что администрации безразлична сохранность данных своих студентов и сотрудников. Именно поэтому мы решили наказать этот университет.
Почему компании, производящие инструменты для повышения информационной безопасности, не могут победить киберпреступников? Можно ли сказать, что хакеры всегда находятся на шаг впереди?
Я бы сказал, что хакеры всегда были и всегда будут на шаг впереди. Этим компаниям следует использовать другие подходы.
Что ты скажешь о Tor, который считается главным браузером даркнета, и других подобных проектах?
Я советую всем использовать Tor вне зависимости от того, живут они в такой репрессивной стране, как моя, или в Соединенных Штатах. Обращаюсь ко всем читателям: пожертвуйте деньги этому проекту и всячески способствуйте его развитию!
Браузер Tor часто используется киберпреступниками, которые ценят его за возможность тотальной анонимности
Каким вам видится будущее модели Ransomware as a Service? Что изменится в даркнете вместе с ростом ее популярности?
Из-за этого каждый день в даркнете появляются все новые и новые люди, которые используют программы-вымогатели. Это не принесет миру ничего хорошего. Наступают действительно темные времена.