Geekly articles weekly

Ladrones y geeks: comunidades de hackers rusos y chinos

El equipo del Grupo Insikt (proyecto del futuro registrado) exploró las posibilidades, la cultura y los principios de organizar comunidades de piratas informáticos chinos y rusos. Para hacer esto, los chicos analizaron anuncios, crearon cuentas ficticias y hablaron con los participantes en foros de piratería.

Futuro grabado: la compañía rastrea todo lo que sucede en Internet en tiempo real. Predice y analiza las amenazas cibernéticas. Funciona con el apoyo de la CIA y Google.

Si está interesado en la cultura hacker: qué impulsa sus acciones, cómo funcionan las comunidades y de dónde esperan amenazas, lea nuestro extracto del estudio del Grupo Insikt. Exprimí lo más interesante + nuestros pensamientos sobre este tema.

Como señaló el Grupo Insikt, la mayoría de las veces hablamos de los hackers como una masa abstracta. Pero en realidad en este entorno hay varias comunidades muy diferentes con su propia historia, motivos y, si lo desea, código. Los hackers de cada país son únicos. A menudo, los investigadores no tienen esto en cuenta: hablan de todo a la vez o distinguen a los rusos.

Los empleados del Grupo Insikt compararon a los líderes del mundo ciberdelincuente: rusos y chinos. Y comenzaron con su historia.

Patriotismo o dinero: historia y motivos


Hackers rusos: el espíritu del robo


Como señaló el Grupo Insikt: aunque los grupos de piratas informáticos chinos y rusos provienen de estados autoritarios similares, su apariencia y sus motivos son diferentes.
Los ciberdelincuentes de habla rusa valoran el dinero en primer lugar, aunque el fenómeno de la piratería por motivos financieros se originó en los Estados Unidos.
Uno de los primeros foros de piratería informática, la Biblioteca falsificada, apareció en 2000 y estaba dirigido a la comunidad de habla inglesa. En respuesta, 20 ucranianos crearon la Cumbre de Odessa, que más tarde se convirtió en la Alianza Carders de habla rusa o Planet Carders. El foro se distinguió por una estricta jerarquía de moderadores que revisaron cuidadosamente a todos los proveedores de códigos CVV, cuentas de eBay, skimmers, etc. Los estafadores occidentales adoptaron esta experiencia de organización comunitaria y crearon ShadowCrew. Unos años más tarde (en 2005), apareció el Mercado Carders, donde los piratas informáticos occidentales y orientales podían hacer tratos entre ellos.
Página de inicio de la Biblioteca de billetes falsos, uno de los primeros foros para carders y otros estafadores

Cuando los ciberdelincuentes en Rusia y China comenzaban a unirse en las comunidades, el FBI ya los estaba cazando en Estados Unidos. Prueba de ello son las operaciones de alto perfil como Shrouded Horizon, Firewall y la eliminación de DarkMarket.

Las altas tecnologías llegaron a Rusia y otros países de la antigua URSS a principios de la década de 2000. Luego hubo un auge en el fraude en Internet. Debido a los bajos salarios, las personas educadas y técnicamente inteligentes se convirtieron en hackers.
Peter Levashov, también conocido como Severa, distribuyó software antivirus falso. Convirtió la computadora de la víctima en parte de las infames botnets Waledac y Kelihos.

Evgeny Bogachev desarrolló el troyano especial ZeuS. Con su ayuda, JabberZeuS, Business Club y otras comunidades criminales lograron robar más de $ 200 millones de instituciones financieras de los Estados Unidos y Gran Bretaña.

Hackers chinos: el espíritu del patriotismo


Si los rusos estaban motivados por el dinero, entonces los chinos se unieron en el contexto del patriotismo. Para no repetir el "siglo de humillación", el período en que las grandes potencias extranjeras obligaron a China a firmar tratados desiguales, concesiones y provocaron guerras de opio (XIX - principios del siglo XX).

En medio de los disturbios contra China en Indonesia en la década de 1990, los usuarios crearon foros, grupos de redes sociales y tableros de mensajes electrónicos. Discutieron las acciones de desfiguración contra los sitios web del gobierno en Indonesia ( Deface es un tipo de ataque que reemplaza el contenido de la página principal de un sitio y bloquea el acceso a otras páginas. Nota transl. ). Como resultado, aparecieron los primeros grupos de hackers chinos: el Ejército Verde, China Eagle Union y Hongke (o Honker) Union. Participaron en los primeros ataques contra Estados Unidos y otros opositores de China.
Uno de los más conocidos: el ataque DDoS en los sitios web de la Casa Blanca y las grandes corporaciones estadounidenses, un mes después de la colisión entre un avión de reconocimiento estadounidense y un caza chino sobre la isla de Hainan.

El resultado de la desfiguración del sitio web estadounidense por el grupo de la Unión Hongke (Honker)

Los hackers modernos siguen siendo dinero y patriotismo.


Hoy, los hackers rusos también son dinero importante, y los chinos: patriotismo. Pero desde el surgimiento de estas comunidades, mucho se ha vuelto más complicado: la organización de foros, la promoción en el extranjero y las relaciones con las autoridades. Hemos agrupado los principales hallazgos del Grupo Insikt en puntos: esto es lo que sucedió:

Dinero o comunidad


Para los rusos , por supuesto, dinero. Hay poco espacio para la amistad en sus foros. Estos son más recursos comerciales que plataformas para la comunicación. Los piratas informáticos más exitosos ganan respeto y confianza: más ofertas, mayor calificación. ¿No hay instituto darknet y mentoring en este rincón para capacitar a alguien sin una clara motivación financiera?

Pero si los hackers rusos son hombres de negocios, los hombres de negocios son buenos y están orientados al cliente. Los carders mayoristas devuelven fondos para tarjetas rechazadas. Los vendedores de troyanos y correos no deseados organizan descuentos de vacaciones y ventas. Y los anfitriones a prueba de balas transfieren recompensas a sus clientes por atraer referencias. Aprenden marketing de las corporaciones más grandes, que luego atacan.

Los foros de piratería chinos , por el contrario, están imbuidos de un espíritu comunitario. Esta cultura es bien transmitida por el término "espíritu geek" (极 客 精神) - se refiere a personas técnicamente educadas que esperan crear una sociedad ideal. Perfecto? ¿Una sociedad más justa? Hay poco contexto, pero la idea de cuánto se frikan los chinos en la comunidad es clara.

Las personas en los foros elogian sinceramente a los maravillosos skimmers, programadores y rastreadores. Escriben sinceramente gracias a los vendedores personalmente y comparten activamente comentarios para mejorar el producto. Para mantener la comunicación, los chinos establecen requisitos especiales. Si decide comprar o vender malware, póngase en contacto con la contraparte a través de un comentario o mensaje personal. Si desea mantener su membresía, sea un usuario activo y comuníquese diariamente con otros miembros. Tales activistas incluso se sienten alentados por la moneda dentro del foro. Y también un sistema de gamificación trabaja para participar en la comunidad.


Publicación en el foro. Para acceder al software que copia firmas digitales, debe responder


Publicaciones de apoyo en el foro: los autores agradecen al usuario por compartir el acceso al programa que creó

Todo está en orden aquí con el entrenamiento. Los chinos están promoviendo programas especiales: los piratas informáticos experimentados capacitan a los recién llegados por dinero y también los tienen bajo su cuidado, para una mayor participación en la comunidad.

Del editor:
Sobre los chinos, por supuesto, suena súper genial. Incluso de alguna manera olvidas que también ganan dinero pirateando. Y los autores del estudio mencionan casualmente sobre las tasas de matrícula de alguna manera casualmente. Compare: sobre aprender de los rusos: “ ... pocos miembros del foro ruso están dispuestos a enseñarle algo a alguien sin un beneficio financiero claro. ", Y entre los chinos", los hackers chinos anuncian aplicaciones para programas de aprendizaje en foros similares, donde un hacker más experimentado le enseñará a un aprendiz por una tarifa, dividiendo el trabajo entre los miembros en función del nivel de habilidad. ". Es decir, "los rusos no enseñan a los recién llegados (de forma gratuita)" y "los chinos enseñan a los principiantes (por dinero)" - hmm ... Bueno, el contexto está escalando: los rusos ganan dinero, los chinos construyen una comunidad.

Hacktivismo y relaciones con las autoridades.


Aunque los primeros grupos de hackers chinos se separaron, su ciber-patriotismo sentó las bases para estrechas relaciones entre el estado y los hackers. Algunos participantes en el foro fueron incluso contratados por agencias gubernamentales. Ahora, algunos de ellos trabajan en el gobierno y otros dirigen corporaciones de TI.

Muchos sitios de piratería patriótica se transformaron posteriormente en foros de ciberseguridad. Pero no todos. Como muestran los acontecimientos recientes, cuando lo que sucedió en la región de Asia Oriental provoca una protesta pública, los hacktivistas chinos vuelven a entrar en escena.
En 2012, China declaró la soberanía sobre las islas Diaoyu. Después de disputas diplomáticas activas con Japón, el país necesitaba apoyo. Y en el foro de la Unión de Hongke (8 años después de que el grupo se disolviera oficialmente), apareció una publicación con objetivos potenciales para la destrucción, los 300 eran organizaciones japonesas.

En 2014, China colocó una plataforma de perforación en las aguas territoriales de Vietnam, seguida de una serie de pogromos chinos. En respuesta, un nuevo grupo de piratas informáticos de 1937CN comprometió varios sitios vietnamitas. En 2016, piratearon los sistemas de registro de los aeropuertos vietnamitas y publicaron datos personales de más de 400 mil pasajeros. Presumiblemente porque Vietnam desplegó lanzacohetes en las islas en disputa en el Mar del Sur de China.

Es difícil determinar con certeza cuán independientes son las acciones de estos piratas informáticos. El código malicioso utilizado en el ataque de 1937CN a los aeropuertos vietnamitas también se usó en una campaña más grande: el espionaje cibernético contra Vietnam. El supuesto patrocinador es el gobierno chino.
En general, muchos piratas informáticos chinos admitieron que prestaron servicios a agencias de inteligencia nacionales y organizaciones militares (como el Ministerio de Seguridad del Estado y el Ejército Popular de Liberación).
Sin embargo, el grupo 1937CN definitivamente demostró elementos de hacktivismo. Por ejemplo, 1937CN tiene su propia cuenta en el portal de desfiguración de la zona H, cuentas en varias redes sociales. redes asociadas con su sitio, e incluso un video promocional subido al popular alojamiento de videos en julio de 2017: varias personas con capuchas y máscaras de Guy Fawkes.
Los rusos también desempeñaron el papel de vengadores de la gente más de una vez. Las víctimas de tales ataques fueron Estonia, Georgia y otros estados / funcionarios y particulares que fueron vistos como hostiles hacia la Federación Rusa.
Cuando se desmanteló un monumento a los soldados soviéticos en Estonia, el grupo juvenil pro-Kremlin Nashi publicó un script de ataque DDoS en LiveJournal que atacó una lista específica de IP estonias. Gracias a esto, cualquier ciudadano preocupado podría participar en la lucha.

Durante la breve guerra ruso-georgiana, se lanzó un ataque DDoS (botnets BlackEnergy) simultáneamente con el avance de los tanques rusos. Según una fuente, el pirata informático Pyotr Levashov (Severa) envió spam con información no confirmada de que el Kremlin, Mikhail Prokhorov y los piratas informáticos de la comunidad civil antiterrorista atacaron sitios de combatientes chechenos e islamistas.

Datos del estudio "Ataques DDoS motivados políticamente" de Arbor Networks (una gran empresa estadounidense que vende protección DDoS y otras soluciones de seguridad. Nota. Transl.).
La actitud de las autoridades hacia los piratas informáticos en Rusia, así como en China, es bastante leal. Arbor Networks incluso destacó a los piratas informáticos respaldados por el Kremlin: Karim Baratov y Alexei Belan. Los investigadores creen que estos piratas informáticos fueron reclutados por el FSB para liderar el ataque de Yahoo en 2014.

En cuanto al resto de los ciberdelincuentes, tanto rusos como chinos , para permanecer libres, deben cumplir con una ley no escrita: no ir en contra de la suya. Para los rusos, esto incluye a los residentes de la CEI. Además, es posible que los rusos prueben la evolución de sus conciudadanos. ( No está muy claro lo que los autores tenían en mente: ¿puedo escribir un troyano y probarlo en Yandex? ¿O se trata de pequeñas empresas y propietarios privados? En cualquier caso, no hay pruebas suficientes. Nota ) .
Entonces Dmitry Fedorov, también conocido como "Paunch", distribuyó malware en todo el mundo a través de Blackhole, un programa propietario. Sin embargo, fue detenido solo después de la venta de Blackhole para su uso en troyanos Carberp, cuyas víctimas eran rusos.

Pavel Vrublevsky, el propietario del servicio de procesamiento ruso ChronoPay, proporcionó servicios de lavado de dinero de la venta de drogas ilegales y antivirus falsos. Al gobierno ruso no le importó. Pero cuando ordenó un ataque DDoS contra Assist (un sistema de pago nacional), fue arrestado de inmediato.
Del editor:

Según el texto, vemos que los chinos son reacios a cerrar a sus piratas informáticos, más a menudo cuando aparecen en grandes escándalos internacionales. Esto parece estar relacionado con el concepto de cara (面子).
- Incluye ganar y mantener el respeto de los demás. Gran parte de la cultura china gira en torno a este concepto, especialmente cuando se trata de la familia y los negocios. La "pérdida de la cara" es tan terrible para los chinos que tienen más probabilidades de hacer trampa que de hablar honestamente sobre sus fallas y defectos. Por ejemplo, las mujeres chinas solitarias, que acuden a sus padres durante las vacaciones, a menudo solicitan el servicio de "novio en alquiler" para enmascarar las fallas en sus vidas personales.
Los investigadores analizan el concepto de caras, pero en el contexto de por qué los chinos están comprando diplomas falsos y licencias comerciales. Parece que en relación con el estado hacia los hackers, este concepto también se aplica.

Organización comunitaria


Los foros criminales rusos están bien estructurados: los estafadores y los piratas informáticos operan en diferentes plataformas. Los chinos no - máximo diferentes secciones. Esto confirma una vez más que los rusos están enfocados en obtener ganancias, y los chinos están en crear una comunidad.


El menú del sitio que vende drogas con la sección de Hackeo, junto a las secciones de Hongos y LSD

La división en foros abiertos, semiprivados y cerrados es en ambos países. Cuanto más inaccesible es el recurso, más complejos y mejores son los productos que contiene. En áreas abiertas, es suficiente registrarse. En semiprivado: realice una tarifa de entrada de aproximadamente $ 50 o confirme la membresía en otros recursos. Para acceder a foros privados, encuentre una garantía entre los miembros actuales y / o confirme la autenticidad de sus productos.
Hay requisitos específicos. En algunos foros rusos, como Exploit, solo los usuarios con un cierto número de publicaciones obtienen acceso a contenido más valioso. Y algunos grupos de hackers chinos en QQ y WeChat solo se promocionan en foros semiprivados. Entonces, para entrar en el grupo, primero debes llegar al foro.
Los foros rusos y chinos admiten la funcionalidad de la lista negra. Los usuarios proporcionan evidencia de que recibieron material de baja calidad o francamente falso, y los administradores, después de verificar esta información, agregan al proveedor a la lista de prohibición.


kidala.info es un sitio dedicado a los estafadores. Hay 15,839 en el sitio, y este número está creciendo

El acceso a la mayoría de los foros rusos está abierto. Cuando se necesitan herramientas para evitar las cerraduras, los espejos Tor se usan con mayor frecuencia. En China, existe un estricto régimen de censura: desde 2000, el proyecto Golden Shield o el Gran Firewall chino ha estado en funcionamiento. Al principio, el objetivo del proyecto era introducir las últimas tecnologías para combatir el crimen, luego, limitar el acceso de los ciudadanos chinos al contenido que el estado considera inapropiado u ofensivo.

El Gran Firewall incluso sabe cómo detectar e interrumpir las conexiones salientes a la red Tor, y esto complica el acceso a foros internacionales y plataformas comerciales para cibercriminales. La última forma de saltar sobre este muro es usar una VPN. Pero desde 2017, el estado ha introducido licencias obligatorias de servicios VPN, y muchos de ellos han cerrado. Visitar portales internacionales de piratería se ha vuelto aún más difícil.

Del editor:

En general, la organización de la comunidad entre rusos y chinos es muy similar. Pero el Gran Cortafuegos, una triste ironía, golpea a los hackers chinos, a pesar de su hacktivismo y lealtad estatal.

Promoción de servicios en el exterior.


Como recordamos, los hackers rusos están principalmente interesados ​​en el dinero. No existe un Gran Firewall, y están vendiendo activamente sus servicios en el extranjero. Publican en ruso e inglés, venden bases de datos y tarjetas de crédito de residentes de todos los países.

No es fácil para los hackers chinos romper sus productos en el extranjero debido al Gran Cortafuegos. Por lo tanto, desarrollan sus propias comunidades: crean foros de piratería más abiertos a los que se puede acceder fácilmente en Internet local, y desarrollan grupos basados ​​en los primeros foros patrióticos. También usan activamente chats y foros privados en mensajería instantánea popular y redes sociales: QQ, Baidu y WeChat.

Si los rusos venden datos de personas y empresas de todos los países, los foros chinos tienen significativamente más datos chinos. Y no los encontrará en sitios extranjeros.

¿Por qué los chinos no arrojan datos al extranjero? Hay varias razones sugeridas:

  • es difícil utilizar la información: necesita conocer y comprender las realidades locales;
  • inconveniente para usar productos: centrados en los chinos, la funcionalidad y los principios del trabajo difieren de sus contrapartes occidentales;
  • La barrera del idioma está en el camino.

Entonces, a los chinos les encanta desarrollar su comunidad, y cuando llegó el Gran Cortafuegos y tuvieron dificultades para acceder al mercado extranjero, comenzaron a desarrollar su comunidad de manera más activa. Eso es cierto, pero ahora los investigadores observan la tendencia opuesta. El Gran Firewall no permite vender servicios en su propio país: los chinos están tratando de abrirse paso en el extranjero. Prueba de ello: publicaciones chinas en foros rusos e ingleses.

Resulta que el gobierno está literalmente empujando a los hackers chinos al extranjero. Y, como recordamos, van allí con datos únicos de ciudadanos y empresas chinas, así como medios para piratear recursos chinos. Bueno, ahora la comunidad internacional de ciberdelincuentes tiene más oportunidades para atacar objetivos en China, robar cuentas y otros datos.


Desglose de publicaciones de foros individuales sobre idiomas, datos Grabado Futuro

Del editor:

¿Ves las barras amarillas a la derecha? Y no veo, pero están ahí.

Conclusiones


Los investigadores del Grupo Insikt creen que los rusos continuarán concentrándose en el dinero, mientras que los chinos reaccionarán bruscamente ante los acontecimientos políticos.

Sobre todo, los rusos deberían tener miedo de sus métodos sofisticados y tácticas peculiares. Estos tipos quieren ganar todo el dinero del mundo, y bajo la pistola de la organización de todos los países.

En cuanto a los chinos, el Grupo Insikt cree que el gobierno no podrá cerrar todos los recursos de piratería. Y gracias a la creciente actividad de los chinos en los foros internacionales, aprenderán de la experiencia de sus colegas.

Los autores le aconsejan que supervise los eventos en foros clandestinos, vea qué productos son actualmente populares y controle la situación política (especialmente si su negocio está en Asia Oriental).

Del editor:

Si está interesado en leer sobre hackers rusos, en 2016 Kaspersky Lab publicó un estudio sobre ellos: "Hackers rusos: qué rompen, por cuánto y por qué son los mejores del mundo" .

En cuanto al trabajo del Grupo Insikt , recuerdo sobre todo "los chinos son la comunidad, los rusos son el dinero". El pensamiento pasa por todo el texto, y esto no es una distorsión en el apretón: puede asegurarse leyendo la traducción completa (cuidadosamente, conservamos el estilo pseudocientífico del original). No sé sobre ti, pero todavía tengo la sensación de que los chinos no ganan piratería en absoluto. Quizás tenga este sentimiento aún más, porque arrojamos un artículo sobre el contenido en los foros (lo que venden) y los métodos de pago (no es muy interesante, pero hay al menos China y dinero en una oración).

En general, los autores no dicen por qué consideran que son los hackers chinos y rusos (de habla rusa). Sobre el hecho de que el liderazgo en el mercado del delito cibernético es libertad editorial. Pero con este desequilibrio de los chinos del dinero a la comunidad, la pregunta "¿cómo entraron en los principales poderes de los hackers" se vuelve aún más urgente. O no, ¿qué te parece?

Source: https://habr.com/ru/post/es430042/

More articles:


All Articles