[Перевод] Ненавидим и затравлен: опасная жизнь взломщика вирусов, наживающего себе могущественных врагов

7bbba1c0f5b160000e8d0db79c19ae06.jpg

Фабиан известен тем, что уничтожает программы-вымогатели — вирусы, которые криминальные группировки рассылают с целью вымогания денег. Из-за этого ему приходится вести уединённый образ жизни, и всегда на один шаг опережать киберпреступников. По окончанию нашего интервью он переехал в неизвестное мне место.

4c5165e6d7a4759fa8acf8d9cc5a9e39.png

Для фотографа из британского Йоркшира ситуация была катастрофической. Поздно ночью он наносил финальные штрихи на свой последний набор свадебных фотографий, которые нужно было отправить радостным клиентам-молодожёнам. А затем на экране компьютера всё поменялось. Не только папка с изображениями, но и вся работа, вся почта и все чеки исчезли.
Школьная учительница из Техаса (США) осознала всю серьёзность положения только после того, как вспомнила, что хранилось у неё на компьютере. Подробный долгосрочный финансовый план образования. На него ушло месяцы работы и куча сил, и из-за одного клика мышкой теперь всё это контролировали хакеры.

Менеджер высшего звена одной крупной корпорации из Гонконга покрылся холодным потом. Он слышал о подобных компьютерных вирусах и о том, насколько они могут быть опасными. Но он никогда не думал, что его обманут, заставив кликнуть не по той ссылке. Прочитав требование о выкупе, он запаниковал. Из-за этой ситуации он мог потерять работу.

Программа-вымогатель [ransomware] — особенно неприятная разновидность компьютерных вирусов. Вместо того, чтобы красть данные или деньги у жертв, такой вирус перехватывает управление компьютером и шифрует все документы, изображения, видеофайлы и почту. Затем выдаётся требование о выкупе. Иногда оно записано в заметке, оставленной на рабочем столе, иногда оно внезапно появляется на экране.

И в таких случаях всегда есть выход. Оплатите хакеру несколько сотен –, а иногда и тысяч — долларов, и тогда он восстановит твои файлы.

Всех упомянутых выше жертв настиг вирус-вымогатель какого-либо рода. Однако менеджер из Гонконга не потерял свою работу, а фотограф с учительницей смогли восстановить то, что сделали. Никому не пришлось платить денег, и когда они вернули свои жизни в нормальное русло, все они отправили электронные письма с благодарностью одному и тому же человеку.

Этот человек посвятил свою жизнь, испытывая при этом серьёзные проблемы, помощи жертвам программ-вымогателей по всему миру. Он тщательно скрывает свою личность для самозащиты, поскольку на каждое получаемое им сообщение с благодарностью приходится и сообщение с оскорблениями от ненавидящих его киберпреступников.

Вообще они настолько сильно его ненавидят, что даже оставляют персональные угрозы в коде собственных вирусов.

e2ae8cc2280f76baf88d595bec4f4dde.png

Для нетренированного человека код компьютерного вируса представляет собой мешанину из букв, цифр и символов. Но для Фабиана Возара, каждая строчка — чёткая инструкция. Он знает и понимает каждую цифру и каждую точку так же, как пианист понимал бы страницу с нотами.

Около года назад, разглядывая код новейшего вируса-вымогателя в поисках подсказок, которые помогут его взломать, он внезапно замер. Прямо из кода на него смотрели зелёные буквы, складывающиеся в ругательство, адресованное к нему лично. По имени.

«Я был шокирован, но в то же время испытывал настоящую гордость, — сказал Фабиан. — Даже немного зазнайства. Врать не буду, это было приятно. Было ясно, что программист был взбешён. Они потратили время и силы на написание сообщения, зная, что я его увижу, и ясно, что я их начал доставать. Отличная мотивация — знать, что моя работа раздражает некоторые особенно неприятные группировки киберпреступников».

Фабиан показывает мне другие сообщения. Мне требуется некоторое время на то, чтобы увидеть их во время прокрутки бесконечных строк кода. Когда я обнаруживаю одно из них, оно выделяется, словно маяк в море нечитаемых символов.

Почти все из них нецензурные, оскорбительные и угрожающие. Часто упоминается мама Фабиана и описания половых актов. Многие содержат вызовы и насмешки в его адрес. Один вирус даже назывался Fabiansomware, в попытке заставить жертв поверить, что за ним стоит Фабиан.

Но некоторые больше похожи на просьбы, как вот это, найденное им несколько месяцев назад:

11eeadb5c885fec4f3085f24591302e2.png
«Фабиан, пожалуйста, не взламывай меня! Это моя последняя попытка. Если ты взломаешь эту версию, я начну принимать героин!»

«Они пытались вызвать у меня чувство вины. Но, естественно, я взломал их вирус и выложил расшифровщик, — сказал он. — И, что неудивительно, это их не остановило, и они выложили очередную версию».

Фабиан хранит все найденные сообщения. У него набралась уже большая коллекция, и это ещё одна мотивация, заставляющая его посвящать себя своей работе, и даже чрезмерно увлекаться ею.

53725b9b9de1bb5b3e42820621adad7a.png

С момента, когда вы попадаете в дом Фабиана, вы понимаете, как эта преданность проявляется в его жизни. В его непритязательном доме на окраине Лондона нет никаких украшений. Никаких картин или фотографий на стенах. Никаких ламп или растений. Полки пустуют, за исключением коллекции игр от Nintendo и книг по программированию.

У него есть одна настольная игра под названием Hacker: The Cyber Security Logic Game, и он говорит, что хорошо в ней поднаторел, хотя всегда играет в неё в одиночку. Короче говоря, его дом нельзя назвать уютным, но этот жизнерадостный молодой уроженец Германии от этого не страдает. Он признаёт, что 98% времени проводит дома, работая из кабинета на втором этаже.

«Я из тех людей, которые не выходят из дома без уважительной причины, — говорит он. — Мне не особенно нравится выходить из дома без необходимости. Почти все покупки я делаю через интернет, и мне всё доставляют. Я не люблю хранить много вещей, и большую часть времени провожу за работой».

Как ни странно, под офис Фабиан оборудовал самую маленькую комнату в доме. Именно там, за закрытыми шторами, он проводит большую часть жизни, набирая базу благодарных поклонников и опасных врагов-ненавистников со всего мира.

Он удалённо работает на компанию, занимающуюся кибербезопасностью, и часто по нескольку часов подряд работает совместно с коллегами из разных стран мира.

Когда он «входит в зону», внешний мир становится ещё менее важным, и всё его существо концентрируется на коде на экране. Однажды он проснулся со следами от кнопок на лице, заснув после 35-часовой непрерывной работы.

И всё это делается ради создания программ-антивымогателей, которые он и его компания обычно раздают бесплатно. Жертвы скачивают инструмент для конкретного вируса, следуют инструкциям и получают назад файлы. Понятно, откуда у него столько мстительных врагов среди киберпреступников.

3e74e0511b325d31593fb1078e82b8a4.jpg

«Никогда нельзя быть уверенным, с кем столкнёшься, но я думаю, что разозлил или расстроил порядка 100 различных группировок киберпреступников за несколько последних лет, — говорит Фабиан. — Код — он как текст повести. Можно узнать стиль. Можно понять, что имеешь дело с одними и теми же людьми. А также довольно легко отследить деньги. Изучая биткоин-кошельки, на которые преступники требуют переводить деньги, можно увидеть, кто отвечает за какой вариант программы-вымогателя и сколько они зарабатывают». Он говорит, что одна группа, «которую он сильно разозлил», заработала порядка $250 000 за три месяца перед тем, как он обнаружил их вирус и остановил его.

Программы-вымогатели — один из наиболее доходных способов делать деньги для киберпреступников. Красть данные можно, но на них нужно найти покупателя. А в этих атаках жертва и есть покупатель. У людей редко бывают резервные копии ценных семейных фото, поэтому они, скорее всего, заплатят пару сотен баксов, чтобы их сохранить.

Организации часто платят, не привлекая к делу правоохранительные органы, и не расстраивая акционеров. В некоторых случаях местные правоохранительные органы выплачивают деньги, оценив стоимость замены их систем на деньги налогоплательщиков. В марте чиновники из округа Джексон, шт. Джорджия (США), заплатили преступникам $400 000, чтобы избавиться от вируса-вымогателя и восстановить доступ к своей IT-инфраструктуре. Сообщается, что по их оценкам, замена компьютерной сети обошлась бы в миллионы.

Наиболее успешные кибергруппировки похожи на мафию, имеют особую структуру и разделение труда. Есть кодеры, пишущие вирусы, специалисты по отмыванию денег, защита и боссы, выбирающие жертв, а иногда вкладывающие деньги в более серьёзные преступные предприятия.

И поймать этих преступников чрезвычайно сложно. Одна из наиболее плодотворных группировок, занимавшихся вымоганием, и ответственная за два основных семейства подобных вирусов — CTB-Locker и Cerber — по оценкам, заработала порядка $27 млн, и годами не попадалась полиции. Чтобы закрыть её, пришлось объединить усилия американского ФБР, британского NCA и следователей из Румынии и Нидерландов. В декабре 2017 года в Румынии арестовали пять человек.

По данным компании Emsisoft, на которую работает Фабиан, каждые две секунды атаке подвергается очередной компьютер. Сеть компании за последние 60 дней сумела предотвратить 2 584 105 заражений — и это лишь одна антивирусная компания из десятков, существующих по всему миру.

155864f9d3d9cf0e3934a77fec79bd82.png

Некоторые из наиболее разрушительных кибератак последних лет осуществлялись с помощью программ-вымогателей. В мае 2017 года сотни британских госпиталей погрузились в хаос из-за того, что вирус WannaCry распространялся по сети медицинских учреждений, как лесной пожар. Около 70 000 устройств — включая компьютеры, МРТ-сканеры, холодильники для хранения крови и оборудование операционных — отключились из-за вируса, который шифровал все данные и требовал оплату в биткоинах для их расшифровки. Докторам и медсёстрам пришлось возвращаться к практике ручной записи, а тысячи приёмов и операций были отменены или отложены. Во всём мире этот вирус поразил 300 000 компьютеров в 150 странах, сильнее всего — на Украине, в России, Тайване и Индии. Эксперты достаточно быстро обвинили в этой атаке, ущерб от которой обошёлся в сотни миллионов долларов, Северную Корею.

Ешё один вариант программы-вымогателя, Not Petya, в ответе за то, что часто называют самой разрушительной кибератакой за всё время. Считается, что ущерб от неё составил порядка $10 млрд, $300 млн из которых потеряла одна компания.

Заражение началось в июне 2017 года. Оно пошло от вполне безобидной бухгалтерской программы, популярной среди украинских компаний, и распространилось по стране, шифруя компьютеры в энергетических компаниях, транспортных сетях, аэропортах и банках. Затем вирус быстро начал шифровать компьютеры Германии, Франции, Италии, Польши и Британии.

Циничная жестокость вируса Not Petya заключалась в том, что, хотя он выглядел и вёл себя, как программа-вымогатель, на самом деле, даже если заплатить выкуп (а многие платили), файлы восстановить уже не удавалось.

Больше всего пострадала компания Maersk, крупнейшая фирма в мире, занимающаяся логистикой и контейнеровозами. Бизнес почти остановился, и за десять дней, которые потребовались на то, чтобы восстановить тысячи связанных в сети компьютеров, стоимость таких товаров, как бананы, резко скакнула, когда полки магазинов начали пустеть.

Некоторые считают, что атака была политическим актом против Украины, но никто достоверно не знает, кто за ней стоял. «Это, по сути, гонка вооружений,- говорит Фабиан. — Они выпускают новый вирус-вымогатель, я нахожу недостаток в его коде и создаю инструмент для расшифровки, помогающий вернуть людям файлы. Затем преступники выпускают новую версию, надеясь, что я её не взломаю. Иногда они разбираются в том, что сделали не так, и исправляют программу, но чаще всего они не видят недостатков в своём коде. Один раз эта игра в туда-сюда с одной кибергруппой продолжалась шесть-семь месяцев. И страсти накалялись, в то время как они всё сильнее злились на меня».

98478ec90649e88188b38ccf6a46a2c9.png

Фабиан признаёт, что, увлекшись гонкой вооружений с анонимными преступниками, становится сложно выполнять такие простые действия, как вовремя есть, пить, и следить за собой.

Среди бардака из книг по программированию и документов на его столе я замечаю две коробочки с таблетками. Контейнеры с метками для каждого дня недели говорят о проблемах со здоровьем, появившихся, по его признанию, из-за его образа жизни.

«У меня очень много лишнего веса, проблемы с давлением, поэтому я принимаю лекарства. Также у меня проблемы из-за гиперфункции щитовидной железы, — говорит он. — Это всё из-за моей работы и образа жизни. Я раздумываю над тем, чтобы завести щенка, чтобы мне приходилось покидать дом для прогулок. Да и компания бы мне пригодилась».

Именно сообщение, касающееся как раз его лишнего веса, побудила его бежать из Германии и обосноваться в Британии. Примерно год назад он наткнулся на скрытое сообщение, которое, в отличие от многих, было пугающе личным:

53fa708edaa9e837fea2e10c7eecd66a.png
«Фабиан, завязывай с чизбургерами, ты жирный!»

Такое он проигнорировать не смог. Не потому, что это его обидело, но потому, что демонстрировало, что киберпреступникам что-то известно о нём. До этого момента он хранил всё, кроме своего имени, в строжайшем секрете. Даже его босс и сотрудники не знали, где именно в своём родном городе жил он в восточной Германии, а теперь, судя по всему, преступники подбирались к нему всё ближе.

image
«Фабиан, кончай жрать гамбургеры, чувак, серьёзно»

«Это меня по-настоящему проняло. Не из-за веса — я очевидно вешу много —, но потому, что я понял, что люди выслеживают меня в интернете», — говорит он. Фабиан описывал это время, как период страха. Он очистил учётные записи в соцсетях и веб-форумы от всех фотографий или ссылок на его внешность. Он обнаружил, что много лет назад в каком-то твите упоминал кетодиету. «Тогда я отовсюду удалил свой день рождения и прочее такое, чтобы не выдавать много информации, — говорит он. — Я помню, как думал о необходимости уехать из Германии, где можно легко найти человека по обрывкам информации».

«Это было очень страшно. Не думаю, чтобы они убили меня, но эти ребята весьма опасны. Я знаю, сколько они зарабатывают, и для них ничего бы не стоило заплатить 10–20 тысяч какому-нибудь русскому, который заявился бы ко мне домой и избил бы до полусмерти. Я переехал в Британию так быстро, как только сумел. Здесь можно спрятаться, нет никакой регистрации и всего такого, и можно жить анонимно».

a3e8707a2d87f546d277436ea6062fca.png

Фабиан до сих пор не сообщил своим коллегам, где в Британии он живёт. Он согласился, чтобы я приехал к нему, только потому, что собирался переезжать в другое место, и не стал говорить мне, куда. Он понимает, что постоянные переезды и ограничения своей жизни и круга друзей являются частью тех жертв, на которые он идёт для своего хобби, превратившегося в профессию.

Впервые он обнаружил страсть к компьютерам в семь лет, когда игрался на рабочем компьютере отца. Его семья из восточной Германии была бедной, и исполнение его мечты зависело только от него самого. Три года он копил деньги на свой первый компьютер, собирая и сдавая бутылки и банки.

В 10 лет он скопил достаточно денег, чтобы купить компьютер и начать экспериментировать с ним. Всё завертелось, когда он впервые наткнулся на компьютерный вирус. «Он назывался TEQUILA-B, он испортил всю мою систему, и ужасно заинтересовал меня. Я пошёл в библиотеку, и у них нашлись пара книг про компьютерные вирусы. Я увлёкся этим и написал собственную программу-антивирус».

К 14 годам он уже был известен в своём районе как эникейщик, и сумел скопить достаточно денег для того, чтобы помочь семье переехать в более хороший дом в хорошем районе. К 18, без какого бы то ни было формального образования он устроился в фирму Emsisoft, занимающуюся кибербезопасностью, где заработал свою репутацию и стал известным, как один из лучших экспертов по программам-вымогателям в индустрии.

С такими навыками и репутацией Фабиан мог бы стать одним из крупнейших имён в кибермире, но он избрал более скромное существование. Он очень хорошо зарабатывает, но, глядя на его дом и то, как он живёт, сложно понять, на что он тратит деньги. «А я особенно и не трачу их. Мне нравится играть в настольные игры в онлайне [так и написано — видимо, автор что-то перепутал / прим. перев.], но это стоит немного, — говорит он. — Я много денег отправил сестре, у которой маленькая дочка. Мне нравится следить за тем, чтобы у неё было всё необходимое».

Ему постоянно предлагают награды и вознаграждения, но он не любит их принимать. Но один подарок ему понравился — это был рисунок от одного благодарного художника, который попытался представить, как Фабиан может выглядеть. На нём изображён дородный мужчина в шапке, изображающей полярного медведя. Как ни странно, художнику удалось передать суть (и любовь к полярным медведям), даже без портретного сходства.

282a1ca8fa5f55d265077bf10beb4608.png

Этот рисунок он использует в качестве аватарки в интернете, радуясь тому, что получил её от человека, которому помог, и при этом зная, что её использовать безопасно.

Уходя от него после интервью, я чувствую себя польщённым тем, что был приглашён в его дом, и стал одним из немногих людей, которому доверили его местоположение, пусть и временно. Я пожелал ему удачи с переездом и с поисками компаньона-щенка, с которым он мог бы разделять свою странную жизнь.

218b31969bcedf9ba71b238b51441615.jpg

© Habrahabr.ru