Той самий хакер, який зламав у Даркнеті російський наркомагазин і передав $25 тис у крипті українському фонду «Життєлюб» Алекс Холден розповів, як планує ще допомогти Україні
В середині грудня на американському Forbes з’явилася історія Робін Гуда у стилі кіберпанк. Алекс Холден – американський експерт із кібербезпеки з українським корінням – розповів про злам даркнет-маркетплейсу Solaris. Холден надав докази того, що його компанія Hold Security отримала доступ до гаманця майданчика для торгівлі наркотиками. Гроші із нього перерахували українському благодійному фонду, що допомагає літнім людям.
Зазвичай подібні акції залишаються анонімними. Проте Холден каже, що благодійність – не кінцева мета проникнення у інфраструктуру Solaris. До чого тут російські хакери, що тероризують Україну та її союзників, він розповів в інтерв’ю українському Forbes.
Зізнається, що зробив так вперше. У звичайному світі кіберфахівці захищають компанії.
Чому заявили про це публічно? Бо намагаються не лише перемістити гроші, а й справді закрити цю платформу, яка займається наркотиками і має звʼязки з Killnet.
Що таке Killnet
Killnet – російське хакерське угрупування, що заявляє про систематичні атаки на країни, які допомагають Україні у війні з росією. На своїх ресурсах Killnet оголошувала, що здійснила DDoS-атаки на інфраструктуру супутникового звʼязку Starlink, злам сайту ФБР, сайти американських аеропортів тощо. Killnet постійно краде дані з баз будь-яких значних груп, наприклад, власників дебатних карток (і це зачіпає ще одну велику групу – гравців азартних ігор), або батьків, які встановлюють програму спостереження за маленькою дитиною.
«Все, що ми робимо, має принести користь. Те, що цей маркетплейс може закритися, – просто справа часу. Він уже закривається. Але якщо цього ніхто не помітить, це буде інша справа. Сам Solaris досить складний, це добре зроблена технологічна платформа. І ми не брали грошей у користувачів цієї платформи. Тобто ні у наркоманів, які купують наркотики, ні у магазинів. Ми взяли гроші саме із системи Solaris та перемістили до благодійного фонду», – каже Холден.
Що таке Solaris
Solaris – нелегальний майданчик у даркнеті для наркоторговців та їхніх клієнтів, що проводить розрахунки у криптовалюті. Solaris – відносно новий наркотичний російськомовний гравець, який почав стрімко зростати у травні 2022-го після закриття найбільшого маркетплейсу даркнету Hydra, зазначає кібербезпекова компанія Flashpoint. Аналітики Flashpoint припускають, що Solaris можуть керувати колишні найбільші торгівці із Hydra.
Інсайдерський доступ до Solaris зʼявився в середині літа. Але саме цей маркетплейс зацікавив, коли його повʼязали із Killnet.
Деякі частини інфраструктури були доступні весь час, деякі – зʼявляються і зникають. У хакерів було все, від головних «воріт», які видно користувачам у даркнеті, до самих серверів з інформацією, де заховані наркотики, листування та внутрішньої криптобіржі. Вона вважалася головним компонентом їхньої фінансової діяльності.
Кілька місяців тому лідер Killnet на імʼя KillMilk оголосив, що він дякує команді Solaris за величезну допомогу. Solaris не відомий нічим крім наркотиків. Але ця група людей також витісняє конкурентів. Вони «зняли» інший «російськомовний наркопритон» RuTor.
Тож нині існує питання: чи використовуються гроші або ресурси Solaris для Killnet? Чи є наркотики «двигуном» у цій сфері? І який вплив та сприяння російського уряду у цій справі?
Один з лідерів Solaris діє під ніком відомого кіноперсонажа з саги «Обличчя зі шрамом» Tony Montana. Він раніше оперував платформою з продажу крадених кредитних карток з саркастичною назвою Trumpʼs Dumps. У лютому цього року Trumpʼs Dumps закрив російський уряд через те, що вони почали боротися з кіберзлочинністю.
«Зупинивши Solaris, ми, можливо, зробимо невелику (а може й велику) зміну в Killnet. Наприклад, у KillMilk вже питали, чому група має справу з наркоманами, якщо вона проти цього. І в групі починається розбрат. Ми продовжуємо розслідування проти Killnet. Але якщо KillMilk каже, що Solaris – це величезна опора, чому не прибрати цю опору?», – розмірковує Холден.
Американські хакери збираються опублікувати всі дані, які взяли. За винятком одного компонента, щоб нечисті на руку люди не могли отримати фінансову вигоду з цієї інформації.
Що в цих даних можуть виявити, скажімо, інші фахівці з кібербезпеки? По-перше, вихідні коди платформи. Подивившись на них, фахівці можуть зрозуміти, як усе працює, знайти більше вразливостей, які допоможуть їм боротися з подібним кодом надалі.
Друга частина – форум, повідомлення кіберзлочинців та наркоманів. Буде доступна внутрішня переписка. Вона не найсвіжіша, але дало розуміння, хто стоїть на чолі. Там є історична інформація про те, як працює платформа. І це також буде цікаво.
Третє – інформація про наркотики та покупців, ці шляхи здатні привести до брудних грошей, в тому числі й у нелегальному азарті.
«Це цікавить нас у Solaris та багатьох інших платформах. Ми збираємо цю інформацію, але кіберексперти також можуть допомогти. Вони можуть знайти людей, які цим користуються, там є гаманці із криптовалютою, псевдоніми… а ще дуже хочеться, щоб росія займалася своїми справами, а не нападала на Україну», – підкреслює Холден.
Організація Killnet специфічна в тому, на що вони нападають, що вони роблять, що від них очікувати далі. Killnet набагато простіші, ніж вони виглядають, але їх дуже важко вирахувати, тому що це численна група.
Це найбільша та найгучніша група. Але хакери з Hold Security стежать за російською кіберзлочинністю взагалі. Наприклад, у 2014 вони знайшли одне з найбільших хакерських угруповань рф, яке вкрало 1,2 млрд облікових записів, зламавши майже півмільйона компаній.
А ще борються з російськими хакерами та діями держави. Наприклад, рф викрита Америкою у зламі Yahoo, і Hold Security були першими, хто це знайшов і оголосив.
Алекс Холден пояснює: він народився в самому центрі Києва, але поїхав звідти давно. Та досі має почуття обовʼязку перед Батьківщиною.
«І є відчуття, що потрібно спробувати щось зробити правильно. Правильно – це допомогти людям в Україні та зупинити кіберзлочинність у світі. Звучить голосно, але ми шукаємо, що можемо зробити. Невеликі зміни все одно змінюють потік кіберзлочинності», – резюмує експерт.