A equipe do Grupo Insikt (projeto Recorded Future) explorou as possibilidades, a cultura e os princípios de organização das comunidades de hackers chineses e russos. Para fazer isso, os caras analisaram anúncios, criaram contas fictícias e conversaram com participantes de fóruns de hackers.
Futuro Gravado - a empresa rastreia tudo o que acontece na Internet em tempo real. Prevê e analisa ameaças cibernéticas. Funciona com o apoio da CIA e do Google.Se você está interessado na cultura hacker: o que impulsiona suas ações, como as comunidades funcionam e de onde esperar ameaças, leia nosso extrato do estudo do Insikt Group. Apertou o mais interessante + nossos pensamentos sobre este assunto.
Conforme observado pelo Insikt Group, na maioria das vezes falamos de hackers como uma massa abstrata. Mas, na verdade, nesse ambiente, existem várias comunidades muito diferentes com sua própria história, motivos e, se você quiser, código. Os hackers de cada país são únicos. Muitas vezes, os pesquisadores não levam isso em consideração - eles falam sobre tudo de uma vez ou distinguem os russos.
Os funcionários do Grupo Insikt compararam os líderes do mundo cibercriminoso: russos e chineses. E eles começaram com sua história.
Patriotismo ou dinheiro - história e motivos
Hackers russos - o espírito do roubo
Como observado pelo Grupo Insikt: embora os grupos de hackers chineses e russos venham de estados autoritários semelhantes, sua aparência e motivos são diferentes.
Os cibercriminosos de língua russa valorizam o dinheiro em primeiro lugar, embora o fenômeno dos hackers com motivação financeira tenha se originado nos Estados Unidos.
Um dos primeiros fóruns de hackers - Counterfeit Library - apareceu em 2000 e foi direcionado à comunidade de língua inglesa. Em resposta, 20 ucranianos criaram a Cúpula de Odessa, que mais tarde cresceu para a Aliança de língua russa ou a Planet Carders. O fórum foi distinguido por uma hierarquia rigorosa de moderadores, que verificaram cuidadosamente todos os fornecedores de códigos CVV, contas do eBay, skimmers etc. Os golpistas ocidentais adotaram essa experiência de organização comunitária e criaram o ShadowCrew. Alguns anos depois (em 2005), o Carders Market apareceu, onde hackers ocidentais e orientais podiam fazer acordos entre si.
Página inicial da Counterfeit Library, um dos primeiros fóruns para cardadores e outros golpistasQuando os cibercriminosos na Rússia e na China estavam começando a se unir em comunidades, o FBI já os perseguia na América. Prova disso são operações de alto nível, como Shrouded Horizon, Firewall e a eliminação do DarkMarket.
As altas tecnologias chegaram à Rússia e a outros países da ex-URSS no início dos anos 2000. Houve um boom de fraudes na Internet. Devido ao baixo salário, pessoas educadas e tecnicamente mais experientes se tornaram hackers.
Peter Levashov, também conhecido como Severa - distribuiu software antivírus falso. Ele transformou o computador da vítima em parte das infame botnets Waledac e Kelihos.
Evgeny Bogachev desenvolveu o Trojan especial ZeuS. Com sua ajuda, JabberZeuS, Business Club e outras comunidades criminosas conseguiram roubar mais de US $ 200 milhões de instituições financeiras dos EUA e da Grã-Bretanha.
Hackers chineses - o espírito do patriotismo
Se os russos eram motivados por dinheiro, os chineses se uniam no pano de fundo do patriotismo. Para não repetir o “século da humilhação” - período em que as grandes potências estrangeiras obrigaram a China a assinar tratados, concessões e desigualdades desiguais (XIX - início do século XX).
Em meio a tumultos contra a China na Indonésia nos anos 90, os usuários criaram fóruns, grupos de mídia social e quadros de mensagens eletrônicos. Eles discutiram ações de desfiguração contra os sites do governo da Indonésia (
Deface é um tipo de ataque que substitui o conteúdo da página principal de um site e bloqueia o acesso a outras páginas. Nota trad. ). Como resultado, apareceram os primeiros grupos de hackers chineses: o Exército Verde, a China Eagle Union e a Hongke (ou Honker) Union. Eles participaram dos primeiros ataques aos Estados Unidos e outros oponentes da China.
Um dos famosos: ataque DDoS aos sites da Casa Branca e grandes corporações americanas - um mês após a colisão entre uma aeronave de reconhecimento americana e um caça chinês na ilha de Hainan.
O resultado da desfiguração do site americano pelo grupo Hongke (Honker) UnionHackers modernos ainda são dinheiro e patriotismo
Hoje, hackers russos também são dinheiro importante e patriotismo chinês. Mas desde o surgimento dessas comunidades, muito se tornou mais complicado: a organização de fóruns, a promoção no exterior e o relacionamento com as autoridades. Agrupamos as principais descobertas do Grupo Insikt em pontos - foi o que aconteceu:
Dinheiro ou comunidade
Para os
russos , é claro, dinheiro. Há pouco espaço para amizade em seus fóruns. Esses são mais recursos de negócios do que plataformas de comunicação. Os hackers mais bem-sucedidos conquistam respeito e confiança: mais negócios - maior classificação. Não existe um instituto darknet e mentoring neste canto - para treinar alguém sem clara motivação financeira?
Mas se os hackers russos são homens de negócios, eles são bons, orientados para o cliente. Carders atacadistas devolvem fundos para cartões recusados. Vendedores de trojans e envios de spam organizam descontos e vendas de feriados. E hosters à prova de balas transferem recompensas para seus clientes por atrair referências. Eles aprendem o marketing com as maiores empresas, que depois atacam.
Os fóruns de hackers
chineses , por outro lado, são imbuídos de um espírito comunitário. Essa cultura é bem transmitida pelo termo "espírito nerd" (极 客 精神) - refere-se a pessoas com educação técnica que esperam criar uma sociedade ideal. Perfeito? Uma sociedade mais justa? Há pouco contexto, mas é compreensível a ideia de quanto os chineses gostam da comunidade.
As pessoas nos fóruns elogiam sinceramente os maravilhosos skimmers, codificadores e sniffers. Eles escrevem sinceros agradecimentos pessoalmente aos vendedores e compartilham ativamente feedback para a melhoria do produto. Para manter a comunicação, os chineses estabelecem requisitos especiais. Se você decidir comprar ou vender malware - entre em contato com a contraparte por meio de um comentário ou mensagem pessoal. Se você deseja manter sua associação, seja um usuário ativo e comunique-se diariamente com outros membros. Tais ativistas são até encorajados pela moeda intra-fórum. E também um sistema de gamificação trabalha para se envolver na comunidade.
Postagem no fórum. Para acessar o software que copia assinaturas digitais, é necessário responder
Postagens de apoio no fórum: os autores agradecem ao usuário por compartilhar o acesso ao programa que ele criouTudo está em ordem aqui com o treinamento. Os chineses estão promovendo programas especiais: hackers experientes treinam os recém-chegados por dinheiro e também os tomam sob seus cuidados - para um maior envolvimento na comunidade.
Do editor:Sobre os chineses, é claro, parece super legal. De alguma forma, você esquece que eles também ganham dinheiro com hackers. E os autores do estudo mencionam casualmente as propinas de alguma forma casualmente. Compare: sobre aprender com os russos - “
... poucos membros do fórum russo estão dispostos a ensinar qualquer coisa a qualquer pessoa sem um claro benefício financeiro. "E entre os chineses",
os hackers chineses anunciam pedidos de programas de aprendizagem em fóruns semelhantes, onde um hacker mais experiente ensina um aprendiz por uma taxa, dividindo o trabalho entre os membros com base no nível de habilidade. " Ou seja, “os russos não ensinam aos iniciantes (de graça)” e “os chineses ensinam iniciantes (por dinheiro)” - hmm ... Bem, o contexto está aumentando: os russos ganham dinheiro, os chineses constroem uma comunidade.
Hacktivismo e relações com as autoridades
Embora os primeiros grupos de hackers
chineses tenham terminado, seu ciber patriotismo lançou as bases para relações estreitas entre o estado e os hackers. Alguns participantes do fórum foram até contratados por agências governamentais. Agora, alguns deles trabalham no governo e outros dirigem empresas de TI.
Muitos sites de hackers patrióticos foram posteriormente transformados em fóruns de segurança cibernética. Mas não todos. Como mostram os eventos recentes, quando o que aconteceu na região do leste asiático causa protestos públicos, os hacktivistas chineses voltam a entrar em cena.
Em 2012, a China declarou soberania sobre as Ilhas Diaoyu. Após disputas diplomáticas ativas com o Japão, o país precisou de apoio. E no fórum da União Hongke (8 anos após a dissolução oficial do grupo), apareceu uma publicação com possíveis objetivos para a desfiguração, todas as 300 eram organizações japonesas.
Em 2014, a China instalou uma plataforma de perfuração nas águas territoriais do Vietnã, seguida por uma série de pogroms chineses. Em resposta, um novo grupo de hacktivistas da 1937CN comprometeu vários sites vietnamitas. Em 2016, invadiram os sistemas de registro dos aeroportos vietnamitas e publicaram dados pessoais de mais de 400 mil passageiros. Presumivelmente, porque o Vietnã implantou lança-foguetes nas ilhas em disputa no Mar da China Meridional.
É difícil determinar com certeza quão independentes são as ações desses hackers. O código malicioso usado no ataque de 1937CN aos aeroportos vietnamitas também foi usado em uma campanha maior - espionagem cibernética contra o Vietnã. O suposto patrocinador é o governo chinês.
Em geral, muitos hackers chineses admitiram prestar serviços a agências nacionais de inteligência e organizações militares (como o Ministério de Segurança do Estado e o Exército de Libertação Popular).
No entanto, o grupo 1937CN definitivamente demonstrou elementos de hacktivismo. Por exemplo, o 1937CN tem sua própria conta no portal de desfiguramento da zona H, contas em várias redes sociais. redes associadas ao site e até mesmo um vídeo promocional enviado para a popular hospedagem de vídeos em julho de 2017: várias pessoas de capuz e máscara por Guy Fawkes.
Os russos também desempenharam o papel de vingadores das pessoas mais de uma vez. As vítimas de tais ataques foram a Estônia, a Geórgia e outros estados / funcionários e indivíduos particulares que foram vistos como hostis à Federação Russa.
Quando um monumento aos soldados soviéticos foi desmontado na Estônia, o grupo juvenil pró-Kremlin Nashi postou um script bash de DDoS no LiveJournal que atacou uma lista específica de PIs da Estônia. Graças a isso, qualquer cidadão preocupado poderia participar da luta.
Durante a breve guerra russo-georgiana, um ataque DDoS (botnets BlackEnergy) foi lançado simultaneamente com o avanço dos tanques russos. Segundo uma fonte, o hacker Pyotr Levashov (Severa) enviou spam com informações não confirmadas de que o Kremlin, Mikhail Prokhorov e hackers da comunidade Civil Anti-Terror atacaram sites de combatentes chechenos e islamitas.
Dados do estudo "Ataques DDoS motivados politicamente" da Arbor Networks (uma grande empresa americana que vende proteção contra DDoS e outras soluções de segurança. Nota. Trad.).
A atitude das autoridades em relação aos hackers na Rússia e na China é bastante leal. A Arbor Networks até apontou hackers apoiados pelo Kremlin: Karim Baratov e Alexei Belan. Os pesquisadores acreditam que esses hackers foram recrutados pelo FSB para liderar o hack do Yahoo em 2014.
Quanto ao resto dos cibercriminosos,
russos e chineses , para permanecerem livres, eles devem cumprir uma lei não escrita: não vá contra a sua. Para os russos, isso inclui residentes da CEI. Além disso, é possível que os russos testem desenvolvimentos em concidadãos. (
Não está muito claro o que os autores tinham em mente: posso escrever um trojan e testá-lo no Yandex? Ou é sobre pequenas empresas e proprietários privados? De qualquer forma, não há provas suficientes. Nota. )
Então, Dmitry Fedorov, conhecido como "Paunch", distribuiu malware em todo o mundo através do Blackhole, um programa proprietário. No entanto, foi detido somente após a venda do Blackhole para uso em cavalos de Troia de Carberp, cujas vítimas eram russas.
Pavel Vrublevsky, proprietário do serviço de processamento russo ChronoPay, prestou serviços de lavagem de dinheiro com a venda de drogas ilegais e antivírus falsos. O governo russo não se importou. Mas quando ele ordenou um ataque DDoS ao Assist (um sistema de pagamento doméstico), ele foi imediatamente preso.
Do editor:Pelo texto, vemos que os chineses relutam em fechar seus hackers - mais frequentemente quando aparecem em grandes escândalos internacionais. Isso parece estar relacionado ao conceito de rosto (面子).
- Inclui ganhar e manter o respeito dos outros. Muita cultura chinesa gira em torno desse conceito, especialmente quando se trata de família e negócios. A "perda de rosto" é tão terrível para os chineses que é mais provável que eles trapaceiem do que falem honestamente sobre suas falhas e deficiências. Por exemplo, mulheres chinesas solitárias, que vão a seus pais durante as férias, costumam pedir o serviço de "noivo para alugar" para mascarar as falhas em suas vidas pessoais.
Os pesquisadores analisam o conceito de rostos, mas no contexto de por que os chineses estão comprando diplomas e licenças comerciais falsos. Parece que em relação ao estado dos hackers, esse conceito também se aplica.
Organização comunitária
Os fóruns criminais russos são bem estruturados: golpistas e hackers operam em diferentes plataformas. Os chineses não - seções máximas diferentes. Isso mais uma vez confirma que os russos estão focados em obter lucro e os chineses estão em criar uma comunidade.
O menu do site que vende medicamentos com a seção Hacking, ao lado das seções Cogumelos e LSDA divisão em fóruns abertos, semi-privados e fechados é nos dois países. Quanto mais inacessível o recurso, mais complexos e melhores os produtos. Em áreas abertas, basta registrar-se. Em semi-privado - faça uma taxa de inscrição de cerca de US $ 50 ou confirme a associação de outros recursos. Para acessar fóruns particulares - encontre uma garantia entre os membros atuais e / ou confirme a autenticidade de seus produtos.
Existem requisitos específicos. Em alguns fóruns russos, como o Exploit, apenas usuários com um certo número de postagens têm acesso a conteúdo mais valioso. E alguns grupos de hackers chineses no QQ e no WeChat são promovidos apenas em fóruns semi-privados. Portanto, para entrar no grupo, você deve primeiro acessar o fórum.
Os fóruns russo e chinês oferecem suporte à funcionalidade da lista negra. Os usuários fornecem evidências de que receberam material de baixa qualidade ou francamente falso, e os administradores, após verificar essas informações, adicionam o fornecedor à lista de proibições.
kidala.info é um site dedicado a hackers de fraude. Existem 15.839 no site, e esse número está crescendoO acesso à maioria dos fóruns russos está aberto. Quando são necessárias ferramentas para contornar bloqueios, os espelhos Tor são mais frequentemente usados. Na China, existe um regime estrito de censura - desde 2000, o projeto Golden Shield ou o Great Firewall Chinês está em operação. A princípio, o objetivo do projeto era introduzir as mais recentes tecnologias para combater o crime e, em seguida, limitar o acesso dos cidadãos chineses ao conteúdo que o Estado considera inadequado ou ofensivo.
O Great Firewall até sabe como detectar e interromper conexões de saída da rede Tor - e isso complica o acesso a fóruns internacionais e plataformas de negociação para criminosos cibernéticos. A última maneira de pular esse muro é usar uma VPN. Mas desde 2017, o estado introduziu o licenciamento obrigatório de serviços VPN, e muitos deles foram fechados. Visitar portais internacionais de hackers se tornou ainda mais difícil.
Do editor:Em geral, a organização da comunidade entre russos e chineses é muito semelhante. Mas o Grande Firewall - uma triste ironia - atinge hackers chineses, apesar de seu hacktivismo e lealdade estatal.
Promoção de serviços no exterior
Como lembramos, os hackers russos estão principalmente interessados em dinheiro. Não existe um ótimo firewall e eles estão vendendo ativamente seus serviços no exterior. Eles publicam em russo e inglês, vendem bancos de dados e cartões de crédito de residentes de todos os países.
Não é fácil para hackers chineses romper com seus produtos no exterior por causa do Great Firewall. Portanto, eles desenvolvem suas próprias comunidades: criam fóruns de hackers mais abertos, facilmente acessíveis na Internet local, e desenvolvem grupos com base nos primeiros fóruns patrióticos. Eles também usam ativamente bate-papos e fóruns particulares em mensageiros instantâneos e redes sociais populares: QQ, Baidu e WeChat.
Se os russos vendem dados de pessoas e empresas de todos os países, os fóruns chineses têm significativamente mais dados chineses. E você não os encontrará em sites estrangeiros.
Por que os chineses não estão despejando dados no exterior? Existem vários motivos sugeridos:
- é difícil usar informações - você precisa conhecer e entender as realidades locais;
- inconveniente usar produtos - focados nos chineses, a funcionalidade e os princípios do trabalho diferem de seus colegas ocidentais;
- a barreira do idioma está no caminho.
Assim, os chineses adoram desenvolver sua comunidade e, quando o Grande Firewall chegou e eles tiveram dificuldades para acessar o mercado externo, começaram a desenvolver sua comunidade mais ativamente. Isso é verdade, mas agora os pesquisadores estão observando a tendência oposta. O Great Firewall não permite vender serviços em seu próprio país - os chineses estão tentando romper no exterior. Evidência disso - posts em chinês nos fóruns em russo e inglês.
Acontece que o governo está literalmente empurrando hackers chineses para o exterior. E, como lembramos, eles acessam dados exclusivos de cidadãos e empresas chinesas, bem como meios de invadir recursos chineses. Bem, agora a comunidade internacional de cibercriminosos tem mais oportunidades de atacar alvos na China, roubar contas e outros dados.
Repartição das postagens de fóruns individuais em idiomas, dados gravados no futuroDo editor:Você vê as barras amarelas à direita? E eu não vejo, mas eles estão lá.
Conclusões
Pesquisadores do Insikt Group acreditam que os russos continuarão focados no dinheiro, enquanto os chineses reagirão fortemente a eventos políticos.
Acima de tudo, os russos devem ter medo de seus métodos sofisticados e táticas peculiares. Esses caras querem ganhar todo o dinheiro do mundo e sob a arma da organização de todos os países.
Quanto aos chineses, o Grupo Insikt acredita que o governo não poderá fechar todos os recursos de hackers. E, graças à crescente atividade dos chineses em fóruns internacionais, eles aprenderão com a experiência de seus colegas.
Os autores recomendam que você monitore eventos em fóruns clandestinos, veja quais produtos são atualmente populares e monitore a situação política (especialmente se sua empresa estiver no leste da Ásia).
Do editor:Se você está interessado em ler sobre hackers russos, em 2016, um estudo sobre eles foi publicado pela Kaspersky Lab -
"Hackers russos: o que eles quebram, por quanto e por que são os melhores do mundo" .
Quanto ao trabalho do
Grupo Insikt , lembro-me acima de tudo "os chineses são a comunidade, os russos são o dinheiro". O pensamento passa por todo o texto, e isso não é uma distorção - você pode ter certeza de ler a
tradução completa (com cuidado, mantivemos o estilo pseudocientífico do original). Não conheço você, mas ainda sinto que os chineses não ganham hackers. Talvez você tenha esse sentimento ainda mais, porque publicamos um artigo sobre o conteúdo dos fóruns (o que eles vendem) e os métodos de pagamento (não muito interessantes, mas há pelo menos China e dinheiro em uma frase).
Em geral, os autores não dizem por que consideram os hackers chineses e russos (de língua russa). Sobre o fato de que a liderança no mercado de crimes cibernéticos é a liberdade editorial. Mas com esse desequilíbrio dos chineses de dinheiro para a comunidade, a pergunta "como eles invadiram os principais poderes dos hackers" se torna ainda mais urgente. Ou não - o que você acha?