[Из песочницы] Подпольный рынок кардеров. Перевод книги «KingPIN». Глава 28. «Carder Court»
Кевин Поулсен, редактор журнала WIRED, а в детстве blackhat хакер Dark Dante, написал книгу про «одного своего знакомого».
В книге показывается путь от подростка-гика (но при этом качка), до матерого киберпахана, а так же некоторые методы работы спецслужб по поимке хакеров и кардеров.
Квест по переводу книги начался летом в ИТшном лагере для старшеклассников — «Шкворень: школьники переводят книгу про хакеров», затем к переводу подключились и Хабраюзеры и даже немного редакция.
Глава 28. Суд кардеров
(за перевод спасибо drak0sha)
Кейт Муларски был изможден.
Сначала он переговорил с агентом в филиале Секретной службы на другом конце города. «Мне кажется тебе грозят некоторые неприятности». Один из бесчисленных информаторов слышал, что Iceman обнаружил неопровержимые доказательства, что Мастер Сплинтр был либо стукачом, шпионом корпоративной безопасности, либо федеральным агентом. Iceman временно объединился со своим бывшим врагом Silo и готовил подробную презентацию для руководства Carders Market и Dark Market-а. Iceman и Silo явно хотели засудить Мастера Сплинтра.
Все началось с кода Silo. Известность Мастера Сплинтра как спамера и программиста сделала его специалистом в области обзоров вредоносного кода DarkMarket-а. Это было одним из преимуществ его тайной операции: Муларски сможет оценить последние версии секретного атакующего кода и передать их CERT, который, в свою очередь, отправит их всем антивирусным компаниям. Вредоносный код можно будет обнаружить еще до того, как он окажется на черном рынке.
В этот раз Муларски поручил код в качестве тренировочного задания одному из студентов CMU проходящих стажировку в NCFTA. Согласно стандартной процедуре студент запустил программу в изолированном режиме на виртуальной машине — своего рода программная чаша Петри, которую после можно вычистить. Но он забыл о флешке в USB-порте. На нее были загружены пустая отчетная форма о вредоносной программе с логотипом NCFTA и основные цели исследования. Прежде чем студент осознал, что произошло, документ оказался в руках Silo.
Шесть администраторов и модераторов DarkMarket получили копию кода Silo. Теперь канадцы знали, что один из них был федеральным агентом.
Silo был темной лошадкой. В реальной жизни он был Ллойдом Лиске, менеджером в автомагазине Ванкувера и фальсификатором кредитных карт, разоренным через несколько месяцев после операции Firewall. Когда он был приговорен к восемнадцати месяцам домашнего ареста, Лиске изменил свою фамилию с Buckell и прозвище с Canucka и вновь появился на сцене кардеров.
Теперь канадец был неприкасаем. В кругах правоохранительных органов было хорошо известно, что Silo был осведомителем полицейского департамента Ванкувера. Вот почему он всегда backdooring других хакеров: троянский конь, проникший в NCFTA, не собирался разоблачать операции правоохранительных органов, Silo просто пытался собрать сведения на членов DarkMarket-а для полиции.
Silo не был слишком верен ФБР, но скорее всего не собирался из кожи вот лезть, чтобы раскрыть тайную операцию бюро. К несчастью, Iceman узнал о разведке и организовал рейд по сбору информации на DarkMarket. Именно в этот момент неосторожность Муларски сделала свое дело. Он как обычно зашел в DarkMarket с помощью оболочки KIRE, скрывающей его местоположение. Но JiLsi как требовательный начальник постоянно напрягал Мастера Сплинтра задачами по обслуживанию — например, загрузкой новых рекламных баннеров — задачи, требующие немедленного выполнения. Иногда в это время KIRE бездействовал, и он по ссылке заходил напрямую. Iceman поймал его.
Даже тогда, он должен был быть в относительной безопасности. Офис по оказанию широкополосных услуг был создан под видом фиктивной корпорации, с телефоном, звонившим по непрослушиваемому VoIP в комнату связи. Телефонная линия не должна была засечься. Так или иначе, этого не произошло, и Iceman получил адрес и определил, что он принадлежит NCFTA.
Муларски быстро отправился в комнату связи, провел картой доступа, и заперся внутри. Он установил канал для безопасной связи с Вашингтоном. Агент не приукрасил свой отчет руководству. Несмотря на его работу над получением тайной власти для контроля DarkMarket-а, при поддержке от главного Управления Юстиции и должностных лиц бюро, Iceman собирался разнести их в пух и прах всего через три недели после начала работы.
Макс боролся над предотвращением обнаружения — он знал, что после его атаки DarkMarket-а, все его данные будут использованы против него. Он рассматривал вариант закрытия Carders Market до разоблачения Мастера Сплинтра, как возможность избежать того, что бы это все было воспринято просто еще одним залпом в войне кардеров. Вместо этого, он решил отправить своего нового лейтенанта, Th3C0rrupted0ne, чтобы представить свою позицию.
Суд задерживала «Carder IM» Silo — бесплатная, якобы зашифрованная программа для обмена бесплатными сообщениями, которую канадский хакер предложил в качестве альтернативы AIM и ICQ, поддерживающий показ объявлений для поставщиков дампов. Matrix001 обнаружился со стороны DarkMarket-а — JiLsi был занят с последствиями от нападения Макса на Mazafaka. Также присутствовали Silo с другими двумя канадцами. Silo открыл заседание, раздав архив RAR с доказательствами, собранными им и Iceman-ом.
Когда некоторые из кардеров открыли файл, их антивирусы обезумели. У Silo оставил бэкдор в доказательствах; не самое многообещающее начало встречи на высшем уровне.
C0rrupted и Silo продолжали представлять доказательства: шаблоны документов Silo показало, что кто-то в NCFTA получил привилегированное положение на Darkmarket, а логи доступа, украденные Iceman-ом доказывали, что Мистер Сплинтр был кротом.
«Неоспоримое доказательство», написал C0rrupted. «Мы упорно работали, пытаясь заключить мир, и если это станет достоянием общественности, органы правопорядка будут преследовать нас по пятам. Однако, если мы ничего не сообщим, мы будем ответственны за всех тех, кого обманут (нае***).»
«Все это действительно так», сказал Silo.
Это не убедило Matrix-а. Он запустил собственный Whois на доменное имя Pembrooke Associates и с помощью Domains by Proxy получил только анонимный список: в нем не было адресов и телефонных номеров. «Мля,» напечатал Matrix. «Вы даже не проверили информацию и компании, полученные из Whois, не так ли? Кто передал вам эти материалы?»
«Это не мои материалы,» написал Silo. «Они Iceman-а.»
«Так вы верите любому присланному вам дерьму? Даже не проверив его?»
Свидетельства, предоставленные Silo больше не убеждали Matrix-а: В шаблонах NCFTA были структурные и орфографические ошибки — как ФБР или некоммерческая организация безопасности могла сделать настолько дрянную работу? Кроме того, было хорошо известно презрение Iceman к Darkmarket-у, да и Silo был вечной занозой.
Обстановка накалялась. C0rrupted отключился, а остальные умолкли, когда Silo и Matrix начали перекидываться оскорблениями. «У тебя есть хоть что-то, что заставит меня поверить тебе?» спросил Matrix.
«Не надо», наконец ответил Silo. «Не надо верить мне. Свали (съе***сь) с моей IM… Отправляйся за решетку.»
Муларски был исключен из чата, но, когда оно закончилось, Matrix передал логи Мастеру Сплинтру (Spyntr?). Агент был рад что в последнюю секунду он успел вычистить всю информацию: как только он узнал об Iceman-овским планах его разоблачения, он связался с регистратором доменных имен и заставил компанию удалить всех людей связанных с Pembrooke Associates и их телефонные номера из своих реестров. Потом он запросил Anywho вывести листинг его секретной телефонной линии. Эта чистка непременно убедит Iceman-а, что Мастер Сплинтр — федерал, но больше никто не сможет проверить истинность его выводов.
Теперь Муларски начал убеждение по ICQ. Он сказал Matrix-у и всем, кто слушал, что он невиновен. Он обратил внимание кардеров на логи, выделяя все случаи, когда он заходил в систему с IP-адреса KIRE. Это мои входы в систему, писал он. Я не знаю, чьи остальные.
Затем он развернулся и атаковал. Сомнения Iceman-а в JiLsi работали в его пользу. Все пошло наперекосяк, он написал. JiLsi вел себя подозрительно. С одной стороны, он поручил Мастеру Сплинтру никому не говорить, сервер уже запущен. С другой — JiLsi создал впечатление, что DarkMarket находится в стране, недоступной для западных правоохранительных органов, хотя на самом деле располагался в городе Тампа, штат Флорида, где копы могли с легкостью раздобыть ордер на обыск. Это действительно было странно.
JiLsi твердил о своей невиновности, но вел себя слишком странно для этого. Мастер Сплинтр публично поблагодарил Iceman-а, за то, что тот довел дело до его сведения и сказал, что он сразу выведет DarkMarket за пределы Соединенных Штатов.
Муларски связался с правоохранительными органами Украины, и они помогли ему быстро получить там хостинг. В мгновение ока, Darkmarket оказался в Восточной Европе. Большинству кардеров пришлось согласиться, что федералам не удастся провести свою операцию в бывшей советской республике.
Формальный вердикт не был озвучен, но единогласным решением была определена невиновность Мастера Сплинтра. Но они не были столь уверены в JiLsi.
Когда споры утихли, Муларски вернулся к своей обычной тайной операции. Несколько недель спустя, когда он писал отчеты, его вызвал другой агент.
Специальный агент Майкл Шулер был легендой среди агентов киберпреступлений Бюро. Именно он взломал компьютеры русских во время операции Invita. Сейчас, работая в Ричмонде, штат Вирджиния, в качестве полевого офицера, Шулер сообщал о нарушении в соседнем Capital One. Служба безопасности банка обнаружила атаку с использованием уязвимости в Internet Explorer. Они прислали Шулеру копию кода, и он хотел, чтобы Муларски поручил одному из гиков NCFTA поработать с ним.
Муларски слушал, как Шулер описывал свое расследование на сегодняшний день. Он сосредоточился на фейковом сайте новостей, Financialedge.news.com, используемом для распространения вредоносных программ. Домен был зарегистрирован на подставное лицо в Грузии. Но когда регистратор Go Daddy, проверил свои записи, он нашел, что тот же пользователь уже регистрировал другой адрес с помощью их компании.
Cardersmarket.com
Муларски сразу понял всю важность этого. Iceman представлял себя как невиновного владельца сайта, на котором произошло обсуждение незаконных действий. Теперь у Шулера были доказательства, что он также был жадным до денег хакером, проникшим сеть пятого по величине эмитента кредитных карт Америки. «Чувак, у тебя дело!» рассмеялся Муларски. «Ты только что получил дело по парню, которого выслеживает наша Group II. Нам нужно работать над этим вместе.»
На другом конце города, агенты Секретной службы в местном отделении Питтсбурга независимо тоже сделали открытие об Iceman-е: информатор передал конфиденциальную информацию, что главный/лидер/руководитель Carders Market также известен как поставщик дампов Digits. Через четыре дня после статьи в USA Today, агенты вытянули эту информацию благодаря второму кроту, который совершил контролируемую закупку у Digits: двадцать три дампа по $480 в e-gold.
Этого было более, чем достаточно, для обвинения в уголовном преступлении.
Продолжение следует