Самая смертоносная ХАКЕРСКАЯ АТАКА в истории

12 мая 2017 года. Доктор Тони Блитман заступает на смену в одной из лондонских больниц. Он наливает кофе, здоровается с коллегами, открывает дверь ординаторской и смотрит на мониторы. На каждом экране горит ярко-красное окно. Посередине тикает белый таймер обратного отчёта. В ту же минуту во Франции внезапно останавливаются конвейеры на гигантских заводах по сборке автомобилей Renault в Германии. Пассажиры смотрят на информационное табло на вокзалах, ожидая увидеть расписание поездов Deut Bun. Но вместо расписания там всё тоже красное окно. Можно было бы заподозрить в этом российский след, но почти одновременно с этим блокируются сервера Министерства внутренних дел, РЖД, Сбербанка и ещё ряда других государственных агентств России. За считанные часы мир охватывает паника. В пяти регионах Англии машины скорой помощи с пациентами, у которых инсульты и инфаркты, физически разворачиваются прямо на ходу. Больницы не могут их принять. Снимки МРТ записывают на болванке и отправляют в другие клиники на такси, потому что компьютерная сеть перестала существовать. В течение нескольких часов сотни тысяч компьютеров в 150 странах мира были поражены. И в этот момент пока даже непонятно чем. На мониторах отображалось одно и то же диалоговое окно. Интерфейс программы, озаглавленный как Vodкрипt 2. 0. Он был мастерски спроектирован для оказания максимального психологического давления на жертву. Окно выполнено в агрессивно тёмно-красном цвете. Текст чётко объяснял ситуацию. Файлы зашифрованы криптографически стойким алгоритмом, и доступ к ним полностью потерян. Слева в окне располагались два тикающих таймера обратного отчёта. Первый таймер отсчитывал время до повышения цены. Злоумышленники требовали первоначальный выкуп в размере 300 долларов США в эквиваленте биткои, который необходимо было уплатить в течение 3 дней. Если жертва не успевала совершить перевод, сумма автоматически удваивалась до 600 долларов. Второй таймер отсчитывал 7 дней до полного и безвозвратного уничтожения ключей дешифровки. После чего восстановление данных становилось математически невозможным. Текст угрозы содержал зловещую фразу. Точнее, она была бы зловеще, если бы не была написана на таком ломанном английском: You have not so enough time. У вас не так уж достаточно времени. Я тоже на секунду заподозрил одного боксёра, но эта информация ещё пригодится расследователям. Позже окажется, что то, что поставило Мир на колени, не было написано каким-то гениальным злодеем в подвале. Этот софт собран из кусков реального цифрового супероружия. Оружие, которое долгие годы тайно разрабатывала правительство Соединённых Штатов Америки. А на спасение всем пришёл двадцатидвухлетний кудрявый парень из английской глубинки, который просто хрумкал пиццу в своей спальне. Он спас мир буквально за 10 баксов, но через 3 месяца больно поплатился за свои поступки. Жёсткая история.

А у нас теперь есть свой собственный образовательный портал, и мы подтянули туда нейросети. Чтобы учиться у нас, вам больше не нужны никакие дополнительные подписки и виpны. Вы можете попрактиковаться прямо на нашем портале. Это полноценный Gemini, но кроме него есть и дополнительные инструменты. Например, работа с внешними файлами и canvas. Многие недооценивают этот инструмент, но для меня он основной. Буквально сегодня утром я записывал урок, где мне нужен был Канвас, и он сломался и у Chat GBT, и у Geminii. При этом он всё ещё продолжает работать на нашем сайте, и вы можете там с ним попрактиковаться. Мы даже собрали свой собственный аналог Deep resarch. Это всё ещё не настоящий и неполноценный Deep Resarch, потому что один запрос к нему может стоить до 15 долларов. Мы такое себе точно не можем позволить, но мы постарались собрать максимально приближенный исследовательский инструмент. Короче, на нашем портале есть наш старый добрый нейрозадрот, курс по промт-нженирингу, который я полностью перезаписал, но теперь ещё и с автоматической проверкой ваших домашних заданий. По итогу модуля вы сдаёте домашнее задание, его проверяет запромченная мной нейросеть и выставляет оценку, а также даёт вам индивидуальный фидбэк с полезными советами. При этом, если что-то сломается, вы можете отправить домашку на проверку лично мне. У нас постоянная поддержка для всех учеников. А ещё есть чат участников в Телеграме, где будут все ученики вашего курса. Если вы успешно сдаёте все домашки, вы можете получить полноценный проверяемый сертификат с QR-кодом, который ведёт на наш портал и подтверждает, что сертификат настоящий. Это очень серьёзный аргумент для работодателей, которые смотрят резюме. И такой вариант мы добавили специально по запросам наших учеников. Прямо сейчас доступна запись на Нейрозадрот Pro. Это курс про то, как правильно взаимодействовать с И, чтобы сделать вашу работу более эффективной. Про создание контента, про анализ данных, решение сложных задач, resarch, поиск, брейншторм, как правильно это делать и что нужно знать для того, чтобы и стал для вас полноценным рабочим инструментом. Для тех, кто смотрит это видео, мы предлагаем промокод "Хочу плакать", чтобы получить скидку в 15%. Промокод действует до 15 мая, поэтому успейте им воспользоваться. Залетайте на наш портал. Ссылка есть в описании под видео.

Десятилетиями в Microsoft Windows была серьёзная уязвимость, о которой никто не знал. Это нормально. Почти у всего софта, которым мы сегодня пользуемся, есть так называемые уязвимости нулевого дня, о которых не знают даже сами разработчики. Но что происходит, когда об этой уязвимости кто-то узнаёт? Та уязвимость, которая интересна нам, находилась в фундаментальном протоколе Windows под названием SMB1. Это очень старый протокол из восьмидесятых годов, который отвечал за обмен файлами по локальной сети и доступ к принтерам. Он был дырявым, болтливым и абсолютно не соответствовал современным стандартам безопасности. И об этой уязвимости знали. Её нашло NSA, агентство национальной безопасности США. Оно же АНБ, их элитное хакерское подразделение, также известное как Тао. По правилам и внутренним директивам правительства США, если спецслужбы находят критическую дыру в каком-то программном обеспечении, они должны сообщить об этом производителю, ну, чтобы производитель её исправил. Но в этой директиве есть удобное правило. Если уязвимость слишком ценна для национальной безопасности, её можно засекретить. Очень размытая директива. АНБ посчитали эту уязвимость. полезной для национальной безопасности. И вместо того, чтобы сообщить об этом Microsoft, которые могли бы просто выпустить новый патч и защитить десятки миллионов компьютеров, они решили использовать её для себя. Более 5 лет они никому не сообщали об уязвимости и на её основе написали невероятно мощный эксплойт. Они назвали его Eternal Blue, вечно синий. Эта штука позволяла удалённо залезть в чужой компьютер и получить высшие права администратора. незаметно, без пароля. Он взламывал протокол SB, создавал дыру в защите и позволял связаться с компьютером. Хочу попробовать подробно объяснить, как именно работало это оружие и в чём была уязвимость. Я понимаю, что многие мои зрители далеки от темы кибербезопасности, но, поверьте, это безумно интересная история, и меня от неё просто прёт. Я попробую рассказать максимально простым языком на примере обычной посылки. Представьте, что вы ждёте посылку с книгами. Вы спрашиваете курьера: "Сколько книг мне придёт? " Он смотрит в накладную и видит: "Четыре книги". О'кей? Специально для этой посылки выделяете отдельный отсек в своей библиотеке ровно под четыре книги. Безопасный отсек специально под эту посылку. Вам заносят посылку, а в ней оказывается 14 книг. Но у вас сбит глазомер, вы работаете строго по инструкции. Ваша задача - разместить все эти книги на вашей полке. И вы начинаете раскладывать. 1 2 3 4. И на этом ваш контейнер заканчивается. Но вы не останавливаетесь, вы продолжаете раскладывать, вы выходите за пределы вашего контейнера. И да, тут есть другие книги, но ничего страшного, мы просто их убираем и на их место перезаписываем новые книжки. Итак, продолжаем делать. Мы это делаем и при этом не осознаём, что продолжаем выкладывать книги за пределы безопасного контейнера. А теперь самое интересное. На этом месте лежали книги с вашими инструкциями по жизни. Книги по саморазвитию, книги о том, как правильно себя вести, что делать, когда ты просыпаешься. И при этом вы даже не поняли, что книги подменили. Вы всё ещё думаете, что книг в посылке было четыре. И они хранятся в защищённом, выделенном контейнере и никак не влияют на вашу жизнь. Вы не знаете, что инструкции подменили. Вы открываете книги, искренне считая, что это ваши собственные инструкции, и без задних мыслей их выполняете. В одной из этих книг есть директива о том, что нужно заменить замки на дверях и отдать злоумышленникам новый ключ, а также регулярно передавать им записи своих видеокамер, пересылать историю браузера. И что самое страшное, директива о том, чтобы дать им возможность самостоятельно раскладывать новые книги на полку. Как так получилось, что в накладной размер настолько меньше, чем реальный размер посылки. Можно было бы подумать, что на складе был какой-то агент, который специально это подменил, но нет. В этом и состоит баг вашей системы. Никто из работников на складе не был скомпрометирован. Они тоже действовали строго по протоколу. Просто протокол старый и тупой. Представьте, что на складе количество книг считается на вот таком табло с одной цифрой. И они их пересчитывают. Когда количество книг доходит до десяти, счётчик сбрасывается, потому что он не может отобразить вторую цифру. Итого вместо четырнадцати книг они посчитали нам четыре. Это называется переполнение числа. integer overflow. Причём это нормальная практика. Мы очень часто считаем так, например, года. Я родился в девяносто пятом, но в моих документах написано просто 95. Но если вести запись лет именно так, что произойдёт со счётчиком через 5 лет 99 и 00. И вот тут проблема, потому что компьютер увидел бы в этом 1900 год, а не двухты000чный. Об этом моё видео про бак тысячелетия. Посмотрите сразу после этого видео. Тогда вы чуть лучше поймёте про переполнение числа. Люди на складе вписали в накладную число четыре не потому, что они злодеи, а потому, что им специально прислали такое количество книг, которые они не способны пересчитать. И они этого не поняли. Склад технологически и бюрократически устарел. Они не были рассчитаны на такие объёмы. То, что накладная может неверно считать количество книг, а я буду пытаться впихнуть их, несмотря ни на что- это уязвимость системы Windows. А хитрый план: правильно подобрать количество книг и места, в которое они будут размещены - это эксплойт, который придумали спецслужбы, тот самый Eternal Blue.

Ан годами использовали Blue для шпионажа за иностранными правительствами, дипломатами, террористами. Брэд Смит, президент Microsoft, позже сравнит это оружие с крылатыми ракетами Тамогавк. И американская разведка умудрилась эти ракеты потерять. В августе 2016 года о себе дала знать хакерская группировка, назвавшая себя теневые брокеры. До сих пор точно неизвестно, кто это был. Русские инсайдеры внутри АБ или кто-то другой. Но факт остаётся фактом. Они получили доступ к серверам агентства национальной безопасности и достали оттуда их сверхсекретный хакерский арсенал. Сначала они пытались продать его на аукционе за астрономические 600 млн долларов, и никто не выложил за них такие деньги. Теневые брокеры злились, писали посты наломанном английском, обращались лично к Дональду Трампу. Никакого эффекта они не возымели. Если честно, глядя на язык их писем, я в детстве мог такое написать. Я бы тоже не воспринял это всерьёз, но некоторые эксперты-лингвисты уже сейчас полагают, что это не обязательно проблема перевода, потому что здесь сложно уловить какую-то конкретную логику построения предложений, характерную для других языков. Скорее всего, фразы намеренно построены по принципу вклеек из газет, чтобы сложно было понять и отнести это к какой-то конкретной культуре. 17 апреля 2017 года они выложили всё это в открытый доступ бесплатно прямо в Darknet. Для Microsoft это стало огромной проблемой, потому что программа, которая могла эксплуатировать уязвимость Windows, стала внезапно доступна всем. Но надо сказать, что сама компания ещё за месяц до этого успела выпустить патч, который устранил уязвимость. Они переписали протоколы так, что подменить количество книг в накладной уже было невозможно. Похоже, что NBA, зная о том, что их взломали, решили сообщить об этом Microsoft, прежде чем кто-нибудь другой сможет воспользоваться их оружием и залезть в любой компьютер на Windows. Вот скажите честно, у вас сейчас стоит последняя версия операционки на телефоне или на компьютере? Можете ли вы быть уверены, что у вас на устройствах сейчас нет какой-то уязвимости нулевого дня, о которой уже знают все хакеры в мире и которые уже спокойно залатали с обновлением? А мы с вами обычные люди. нам обновиться несложно. Что уж там говорить о компаниях, где большинство компьютеров всё ещё использовали Windows XP, не то что ставили себе регулярное обновление седьмой Windows. Тысячи корпораций, включая британские больницы, просто игнорировали обновление. Это особенно сложно в каких-нибудь государственных учреждениях, где любые изменения софтины должны пройти очень много этапов согласования. И вот тут на сцену выходят авторы W Cry. Позже мы узнаем, что за создание этого червя ответственно Лазаarс Group, элитное хакерское подразделение Разведывательного управления генштаба Северной Кореи. Их деятельность по большей части нацелена на просто генерацию денег для режима кимов в обход международных санкций. Но вместе с этим северокорейские хакеры, особенно в период с 2009 по 2013, очень удачно держали в страхе всю Южную Корею, постоянно совершали кибератаки на государство, на бизнес. В 2013 году они положили десятки тысяч устройств, банков, телеканалов и государственных агентств Сиули. И вот они одними из первых в мире обратили внимание на этот эксплойт. Они быстро осознали его потенциал. Всё-таки с помощью него можно шпионить, можно запускать ПО, можно обезвреживать компьютеры по всему миру, просто превращать их в кирпич или незаметно годами сидеть в них и наблюдать. Но времени было немного, потому что, как мы уже знаем, Microsoft почти сразу выпустили обновление, и с каждым днём количество доступных устройств медленно, но уменьшалось. Поэтому сделать что-то гениальное у них не было времени. Они взяли американское киберожие Eternal Blue и буквально синей изолентой примотали к нему кривой модуль шифровальщика-вымогателя и выпустили в сеть меньше чем через месяц после слива. Пока корпорации с миллиардными бюджетами просто беспомощно смотрели на красные экраны, на нашей сцене оказался британский парень, который всё это время даже не выходил из своей комнаты.

На тот момент Маркусу Хачинсу было 22 года. Он жил с родителями в Тихом городке на юго-западе Англии. Он один из тех, кто отказался получать высшее образование и стал самоучкой, причём очень успешным самоучкой. После окончания школы он удалённо начал работать на криптосложик, компанию по кибербезопасности в Лос-Анджелесе. В сети он известен под псевдонимом Маертек. Итак, 12 мая. Вернувшись домой после встречи с другом, Маркус увидел кучу постов про падение национальной системы здравоохранения, ну, и других сбоях, и начал изучать. Разумеется, история про падение NH в Англии была самой главной. Он сразу понял, что скорость, с которой заражались компьютеры по всему миру, означало, что это не вирус, это червь. В русском языке, в обиходе, вирусом мы называем всё, что по и всё, что вредит. Но в данном случае это важно. Перевода слову malэр, которое убрала бы эту путаницу, в русском языке так и не нашлось. А молварь, как англицизм, используют только в профессиональной среде. Поэтому, когда мы говорим вирус, мы можем иметь в виду многое. В профессиональной русскоязычной кибербезтусовке давно пытаются придумать всякие слова вроде зловред. Но если честно, пока это будет звучать как злодеус злей, я думаю, у этого нет никаких шансов прижиться. В этом видео я специально избегаю использование слова вирус в широком смысле, просто чтобы избежать путаницы. Поэтому malware я называю вредоносным по, а когда говорю вирус, имею в виду реально вирус. Так что это не вирус. Это червь. Дело в том, что вирус не может существовать сам по себе. Вирусу нужен носитель. В случае с компьютером это файл. Вирус запускается вместе с файлом. Дальше он пытается заразить как можно больше файлов внутри вашего компьютера, чтобы при переносе этих файлов, например, на флешке заразить и другой компьютер. В общем, вирусу нужна программа носителя. Воon Cry - это червь. Это самостоятельная программа, которая размножается. автоматически заражая другие устройства без участия человека. Это не ковид, где нужно хотя бы чихнуть на здорового человека. Это скорей что-то вроде сибирской язвы в спорах. Самостоятельная автономная сущность. С такой скоростью распространения это должен был быть червь. Маркус получил образец червя и запустил его в своей песочнице. Безуспешно, как и в случае других специалистов по кибербезопасности, он просто не запускался. Но когда он просматривал код, он увидел странное бессмысленное доменное имя. Выглядело оно вот так. Что это могло быть? Первым делом Маркус решил проверить, что это за домен, и с удивлением обнаружил, что домен свободен. Когда червь запускается, он делает обращение к этому домену, но на этом домене ничего нет. У Маркуса была хорошая привычка. Когда он видел какой-то незанятый домен, он всегда его покупал. Это легко сделать. Вы сами прямо сейчас можете взять и за небольшую сумму купить любое незанятое доменное имя. Именно это он и сделал. Он решил перенаправить трафик с этого домена на сервера своей компании. Поскольку червь каждый раз запускаясь обращался к этому домену, можно было бы оценить реальные масштабы катастрофы, оценить, как часто и сколько раз он к этому домену обращается. То есть в лучшем случае это действие должно было привести к тому, что они смогут оценить количество жертв. Но примерно в это же время червь wна Cry по всему миру просто перестал работать. Он перестал заражать новые машины. Как так вышло? Помните, я говорил, что когда Маркус пытался проверить червя в своей песочнице, червь не запускался. Это классическая история борьбы хакеров с кибербесом. Хакеры прекрасно понимают, что их вредоносное ПО будут проверять, но в здравом уме ни один программист не станет запускать вирусы на своём рабочем компьютере, чтобы разобраться, как они работают. Для этого специалисты используют песочницы, специально изолированные безопасные виртуальные машины. В какой-то момент хакеры поняли, что это не очень хорошо, что поведение их червей можно рассмотреть под микроскопом, и этого нужно избегать. Нужно, чтобы черви, понимая, что они в песочнице, никак себя не показывали. Для этого использовали разные приёмы, один из которых - это обратиться в интернет на какой-то домен. Поэтому часто вредоносное ПО перед тем, как запуститься, производит обращение к какому-то домену и если получает ответ, понимает, что на реальном устройстве, с реальным интернетом. Так вот, продолжая играть вот в эти кошки-мышки, специалисты по кибербезопасности модернизировали свои песочницы, чтобы те имитировали подключение к интернету, чтобы они делали вид, как будто запрос на домен был успешным. Вредоносное по спрашивает, есть ли доступ к этому сайту. И песочница говорит: "Всё нормально, ты в реальном интернете, продолжай, доступ есть". Это, конечно, создаёт сложности для хакеров. От того было странно, что червь вона край делал запрос к несуществующему домену. Но в этом и крылась хитрая фишка хакеров, что домен не отвечал на запросы. Оказывается, червь действительно делал запросы к этому домену, чтобы проверить, не в лаборатории ли он, но действовал ровно наоборот. Он знал, что песочница будет подсовывать ему фейковые успешные запросы к доменам, чтобы обмануть его и сделать вид, как будто бы он на обычном компьютере с интернетом. В реальном интернете нет такого домена. А значит, если при обращении к нему приходит ответ успешно, он точно находится в лаборатории в пробирке, а не на реальном компьютере. И если червь получает успешный ответ при обращении к домену, он как бы самоликвидируется. В момент, когда Маркус Хачин зарегистрировал это доменное имя и перенаправил трафик, домен стал отвечать. И черви по всему миру начали получать сигнал: "Домен отвечает, значит, ты в песочнице, значит, тебя сейчас изучают". В итоге все образцы Вона край на всех компьютерах, подключённых к интернету, перестали работать, а новые просто не запускались, потому что думали, что они находятся под наблюдением. В момент Хачинс не понимал, что регистрация домена полностью обезвредит червя. В лучшем случае, казалось, он понял бы, сколько раз этот скрипт запускался, то есть примерно оценил бы жертв. Коллега Хатчин Джейми Хэнкинс рассказывал, что вначале они боялись, что регистрация домена наоборот усугубит атаку, готовы были его сносить, ну, потому что началась какая-то суета, начали что-то обсуждать, но они не стали больше делать резких движений и внезапно всех спасли. Всё, червь больше не запускается и не может заражать дальше, потому что все его копии думают, что находятся в пробирке под наблюдением исследователя. И всё из-за того, что один кудрявый пацан поднял домен. Получается, что теперь на самом факте, что вот этот рандомный домен может отвечать, держится кибербезопасность всего мира. Пока по запросу к этому домену приходит ответ, копии его на край спят. Как только он перестанет отвечать, они снова проснутся. На помощь к северохорейским хакерам внезапно приходят европейские правоохранители. Не специально, конечно. Из-за того, что по этому домену отвечают его сервера, правоохранители во Франции пришли изымать сервера, арендованные его компанией, потому что их, как владельцев этого домена, подозревают в атаке. Благо, большая часть сил держалась на серверах Amazon и Google в Штатах, поэтому это не обрушило сервера, и домен от этого не рухнул. Ребятам пришлось заявить, что распространение червя сдерживает именно работа этого домена, что оказалось проблемой. Когда это становится известным, на их сервера начинаются дедоса атаки. Если атаки обрушат сервер, они разморозят спящего червя. Журналисты британских таблоидов в это время охотились за личностью Маркуса, которого тогда знали только как Малвартек, пытаясь понять, кто он такой, что это за герой. Его рассекретят уже на следующий день. Его лицо на обложке Daily Mail, Sun и Telegraph публикуют фотографии его дома. На третий день репортёры уже стучат в дверь его родителям. К делу пришлось подключиться COудфл Мэтью Принцу. Он лично разрешил предоставить ребятам полный пакет защиты их серверов бесплатно и без пресс-релиза, чтобы не поднимать ещё больший шум. По итогу сервер устоял, и черви больше не проснулись. Но, чтобы вы понимали, даже сейчас на этот домен приходят миллионы запросов каждый месяц. Это эхо спящих червей вона край, которые раз за разом пытаются понять, не находятся ли они в песочнице, и можно ли идти заражать дальше. Возможно, один из ваших компьютеров прямо сейчас является носителем этого червя, который готов будет активироваться, стоит только лишь этому домену упасть. Вот настолько это большое событие.

Всего через 3 месяца после того, как он остановил эпидемию Вона Cрай, Маркус Хачинс прилетает в США на Декон и Blackhead. Одни из старейших и крупнейших в мире конференций хакеров и специалистов по кибербезопасности. Здесь его встречают с почестями, потому что он абсолютная легенда. Он скромный парень, который в одиночку сразил цифрового монстра. Если вы бывали в Лас-Вегасе летом, вы знаете, что трезвым там лучше на улицу не выходить. Днём температура может быть в районе 45° поцеси. Неделя в раскалённом Вегасе проходит для Маркуса как всёреалистичном тумане. Его и его свиту приглашают на самые закрытые VIP вечеринки в роскошных особняках. Известные журналисты угощают его дорогими ужинами. Поклонники останавливают в коридорах казино ради селфи, а рекрутеры из Кремневой долины осыпают его предложениями о работе. Он был слишком объянён и не только успехом, чтобы успеть обратить внимание на тонированный чёрный внедорожник, который несколько раз по утрам парковался у домов, где проходили вечеринки. Измученный неделей непрерывных празднований, Хатчинс прибывает в аэропорт в Лас-Вегасе, чтобы вернуться домой. Он проходит зону досмотра и располагается в лаунжзоне бизнес-класса. В этот момент к нему тихо подошли вооружённые сотрудники службы маршалов США и суровые агенты ФБР. На запястьях нашего героя сомкнулись наручники. Его вывели из терминала на глазах у пассажиров, посадили в такой же чёрный внедорожник и доставили в центр содержания в Хендерсон в Неваде. Парня подвергли жёсткому двухчасовому допросу, в ходе которого он дал показания. Хатшинс, который 3 месяца назад остановил одну из худших кибератак в истории, теперь идёт под суд. Давайте сделаем ещё один шаг назад. Семья Хачинцев была простая: мама - медсестра, папа - социальный работник. Маркус был замкнутым и одиноким ребёнком, живущим в глуши. Его единственный интерес сильнее всех разделяли люди на хакерских форумах. Он быстро научился воровать пароли, а вскоре спроектировал и собрал собственный бот, скрытно подчинив себе 8. 000 чужих компьютеров. В 15 лет он уже вёл свой нелегальный бизнес, сдавая в аренду серверные мощности для размещения фишинговых сайтов. Назывался он Ghostст Hosting. Когда один из пользователей спросил у него, есть ли какие-то ограничения на то, что там можно размещать, в ответ он получил всё, что угодно, кроме детского. У Маркуса были красные линии. Он не считал себя преступником. В его подростковой голове это всё было не по-настоящему. Чужие компьютеры в ботнете - это не люди. Украденные пароли от Facebook - это не настоящие деньги. ДедоOS атаки на других хакеров, да, это то же самое, чем занимается ФБР. В 16 лет к нему обратился анонимный заказчик под ником Вини. Заплатил хорошо. Нужно было просто написать Root Kit, программу для скрытого удалённого контроля за компьютером. Маркус согласился. Так появился Юпаки, инструмент, который без ведомо пользователя собирал и передавал данные заражённых машин. Технически это шедевр. Морально, ну, морально Маркус всё ещё убеждал себя, что он не пересекает красную линию. Ну, рудкит, ну, шпионит. Деньги-то он не крадёт. А потом Винни попросил больше. Нужна была функция webinject, чтобы перехватывать связь между человеком и его банком. чтобы воровать деньги со счетов. И вот здесь Маркус осознал, что именно он строит. Он попытался отказаться, но Вини держал его на крючке. Винни знал его настоящий адрес и дату рождения, потому что Маркус когда-то покупал у него наркотики. Откажешься? Сдам тебя ФБР. Маркус выбрал, как ему казалось, меньшее зло. Он доработал программу, но отказался писать сам банковский модуль. Винни в итоге нанял другого программиста, чтобы тот написал недостающее. И в июне 2014 года объединённый код был готов. Виннин назвал его в честь греческого титана Кронос. Вы могли про него слышать. Это был мощнейший банковский троян своей эпохи. Шедевр теневого кодинга. Он атаковал клиентов крупнейших банков Великобритании, Канады, Германии, Польши, Франции. Винни выложил видеодемонстрацию его возможностей и начал продавать на русскоязычных хакерских форумах за колоссальные 7. 000 долларов за копию плюс 1. 000 долларов за недельный пробник. Для контекста обычные банковские трояны на тех же форумах продавались за пару сотен. Кронос стоил как маленькая машина, и его всё равно покупали, настолько он был хорош. Маркус не воровал деньги напрямую, он не получал проценты, он был наёмным архитектором, чьё имя на форумах никто не знал. Всё делалось от имени Винни, но Маркус понимал, что код, который он написал, прямо сейчас опустошает банковские счета реальных людей в реальных странах. Он начал отползать. Он закрыл бизнес серверами, бросил наркотики, завёл анонимный блок под никомтек, где начал делать ровно противоположное тому, чем занимался годами, разбирать чужие вредоносные программы и публично объяснять, как от них защититься. Именно там его и заметил CEO криптослоджек Салим Нейро и предложил ему дистанционную работу. Маркус согласился и продолжал работать из той же спальни в доме своих родителей. В августе 2017 года Маркусу Хачинцу были предъявлены обвинения по шести пунктам. Всё вокруг создания и распространения Кронос. Сговор с целью совершения киберпреступления, сговор по перехвату электронных коммуникаций и несколько пунктов по рекламе и продаже Кронус. как устройство для перехвата коммуникаций до 10 лет тюрьмы. Он объявил себя невиновным. Почти через год прокуроры, стремясь создать из этого показательный процесс, расширили первоначальный акт до 10ти пунктов обвинения. Добавили обвинения в создании трояна Юпа Скид, того самого первого заказа для винни, попытку несанкционированного доступа к компьютеру и, что самое главное, ложь ФБР. По версии прокуратуры, во время того самого допросов Хендерсон Хачинс отрицал, что знал о связи его кода с Кронос. Прокуроры утверждали, что это ложь, и из этого выросло отдельное обвинение. Теперь уже до 40 лет тюрьмы ситуация выглядела катастрофической.

Команда защиты Маркуса пыталась бороться с процессуальными методами ФБР. В марте восемнадцатого года они подали ходатайство об исключении признательных показаний, аргументируя это тем, что Хачинс был допрошен сразу после ареста в состоянии крайнего физического и нервного истощения, без адекватного разъяснения прав иностранному гражданину. Было ещё много попыток его защитить, но судья Нэнси Джозеф отклонила все ходотайства, продемонстрировав, что судебная система, как и прокуратура, настроена решительно. Осознавая, что в американских судах процент обвинительных приговоров по федеральным делам превышает 95%. В апреле 2019 года Хачинс принял тяжёлое решение пойти на сделку со следствием. Он официально признал себя виновным по двум из десяти пунктов обвинения, касающимся разработки кода для Юпаскеты Кронос в период с 2012 по 2015 год. В обмен на это прокуратура согласилась снять остальные восемь обвинений. В своём публичном заявлении Маркус искренне раскаялся, назвав свои действия ошибками юности, о которых он сожалеет. 26 июля 2019 года в Федеральном окружном суде Милоке, штат Висконсин, судья Стад Мюллер оказался перед сложной морально-этической дилеммой. Ему предстояло положить на чашу весов Фимиды, с одной стороны, доказанные преступления подростка, а с другой неоценимый героический подвиг взрослого человека, который в один клик спас мировую критическую инфраструктуру от разрушения. Судья продемонстрировал невероятную юридическую мудрость и глубокое понимание нюансов современной кибербезопасности, отметив, что дела подобного рода невероятно сложны, а мы, цитата, живём в мире, где безопасность - это самое главное, судья вынес гуманный приговор. Хаатшинс избежал тюрьмы. Он был приговорён ко времени, уже отбытому в предварительном заключении, и одному году нахождения под надзором. Ну, что-то вроде одного года условно. Более того, судья отменил все финансовые штрафы, признав Маркуса неимущим. В своей трогательной финальной речи судья произнёс слова, которые, как мне кажется, навсегда войдут в историю американской юриспруденции. Стад Мюллер заявил, что Маркус перевернул страницу своей жизни, оставив в прошлом криминал, и что при вынесении приговора он видит слишком много позитивных моментов на другой странице. Судья также знал, что Хачинс мечтает жить в Лос-Анджелесе, чтобы продолжать работать на свою компанию по кибербезопасности, несмотря на то количество предложений, которые ему прилетало в Лас-Вегасе. Но, разумеется, в связи с судимостью по истечению срока надзора он должен быть депортирован. Судья прямо в зале вслух сказал, что первым делом советует Маркусу идти и просить помилования у президента США. Прямо аж слёзы наворачиваются. Покидая зал суда Милмоке абсолютно свободным человеком, он написал в соцсетях: "Приговорён к отбытому сроку, невероятно благодарен за понимание и мягкость судьи, за прекрасные письма с характеристиками, которые вы все присылали, и всем, кто помогал мне эмоционально и финансово последние 2 года". Сегодня Маркус Хачин живёт в Лос-Анджелесе и продолжает заниматься кибербезопасностью, до сих пор работая на ту же компанию. У него даже есть YouTube канал, который так и называется Malware, где он занимается просветительской деятельностью и очень понятным языком объясняет очень сложные вещи. Рекомендую посмотреть.

Я решил подробно остановиться именно на личности Хачинса, потому что это очень сильная история. Но ролик будет неполным, если я не расскажу о том, как в итоге они пытались излечить уже заражённые компьютеры и что с ними стало. Тут есть три героя. Адриан Гине, Бенджамин Делпи и Мэтью Сюиш. Они работали независимо друг от друга, но потом скооперировались. Гине написал инструмент W a key. Ситуация была простая. Ключи шифрования, которые использовали авторы червя, сначала нужно было сгенерировать, и червь генерировал их прямо на компьютере, шифровал и вычищал из оперативной памяти. Но оказалось, что, по крайней мере, Windows XP стандартные функции удаления не стирают из памяти. А просто помечают эту часть как пустую. То есть там всё ещё лежат ключи, но компьютер думает, что там нет ничего, и это лежит там, пока кто-то это не перезапишет. Ещё одна дыра в Windows, которая теперь уже сыграла злую шутку с самими хакерами. Получается, ключи можно было достать. Де взял этот принцип и доработал инструмент, а Сюиш дописал поддержку для Windows 7. Но был один момент. Дело в том, что ключи хранились в оперативной памяти. А это значит, что если кто-то от страха выключил или перезагрузил компьютер, что делают очень часто, оперативная память просто обнуляется, и в итоге числа стираются навсегда. Поэтому инструменту удалось спасти только тех, у кого компьютер всё это время без перезагрузки стоял с самого момента заражения. Таких было меньшинство. У большей части жертв файлы остались зашифрованными навсегда. На стороне самих хакеров дела тоже были не очень. Кроме того, что распространение их червя один пацан остановил буквально через несколько часов, заплатили им только 338 человек. Несмотря на то, что они нанесли ущерб мировой экономики, по разным оценкам, от 4 до 8 млрд долларов, заработали они чуть больше 100. 000, 52 биткоина. Ну и никто из заплативших файлы обратно не получил. Мы вообще не знаем, была ли у них возможность выдавать ключи заплатившим, и как они планировали это делать. Мы знаем, сколько денег они получили, потому что на экранах выводились их кошельки, и их было всего три штуки. Опытные хакеры обычно генерируют отдельный кошелёк для каждой жертвы, чтобы нельзя было их оттрекать. Остаётся также вопрос, почему они не забили за собой это доменное имя, которое можно было купить за 10 баксов? Если бы они контролировали доменное имя, Маркус не смог бы просто взять и перенаправить трафик на сервера своей компании. Основная версия сейчас - это что они были в спешке, потому что понимали, что каждый день простое означало бы, что всё больше компьютеров успеют установить обновление, в котором уязвимость уже устранена. И чтобы нанести больший ущерб, нужно действовать быстрее. Червь реально выглядит недоделанным, ну, знаете, как сливы какой-то технической сборки видеоигры. И в целом, как конструкция - это тот самый Eternal BL, который был создан спецслужбами самым простым, банальным шифровальщиком, который был, как я уже говорил, буквально пришпандорен изолентой. Не лучшая, но очень громкая работа северокорейских хакеров. Сами хакеры из Lazarus Group, разумеется, не оставили никаких подписей и сообщений, чтобы можно было их идентифицировать. Но почти все исследователи сходятся во мнении, что это не мог быть никто другой. В коде вона край были найдены целые куски вредоносного кода, которые в точности совпадали с теми, которые использовали северокорейцы в разных атаках в разное время. Если вам понравилось это видео, у вас есть возможность поддержать наш канал, чтобы мы могли выпускать больше таких видосов. Во-первых, мы открыли спонсорство на YouTube. Вы можете донатить небольшую сумму каждый месяц. Даже небольшая сумма, но приходящая регулярно, очень помогает планировать бюджет и контент-план и сделает выход видосов намного стабильнее. Во-вторых, если вам интересно научиться работать с современными нейронками, по ссылке в описании можете заценить наш курс и наш портал. Там есть вся необходимая информация. Напомню про промокод Хочу плакать. Всем пока. เฮ