黑客团队HangUP领袖访谈:从病毒编写到网络攻击的商业化

本文是对传奇黑客团队HangUP领导者的深度访谈,涵盖其从ZX Spectrum编程起步、病毒开发、IRC攻击工具、商业恶意软件销售到银行系统入侵的技术细节与历史背景,揭示了早期黑客文化的演变与商业化进程。

拦截星球!🎤与黑客团队HangUP领导者访谈 | 第一部分🔥

这是访谈的文字版本。视频版本可在YouTube上获取。

你们多次要求采访“另一边”的人。这次我与传奇黑客团队HangUP Team的一名关键成员进行了交谈——他们是首批将网络武器销售商业化的团队之一,被指控犯有各种计算机犯罪。我与这个人已经十多年没有联系了,找到他目前的联系方式并不容易。我的老朋友坚决拒绝进行语音采访,因此我们仅限于在匿名平台上使用一次性账户进行文字交流。我不知道他住在哪里、叫什么名字,也不知道如何联系他,所以希望没有人会问我相关问题。开始吧…

  • 讲讲你的背景,你是怎么有电脑的,最初在做什么?

  • 买的,是一台ZX Spectrum,苏联的改装版。你知道这个设备吗?

  • 我有过Spectrum,但不知道改装版。

  • 嗯,它们有各种叫法,但本质上还是Spectrum,只是在合作社里焊接出来的。

  • 磁带式的?

  • 是的,磁带式,连接到电视上——经过重新焊接后。最初我和其他人一样,先玩游戏,然后学习编程。Spectrum上有简单的汇编语言(ASM),我也顺便掌握了。

  • Spect?

  • 嗯,Spectrum的简称。

  • 所以第一门语言直接是ASM?

  • 第一门是BASIC——内置在Spectrum里,然后直接学了ASM,因为那里没有其他内置语言。

  • 用ASM写什么?

  • 加密器,正是在那里我了解了XOR、图形处理…磁带上的游戏经常带有保护措施,考虑到设备的原始性,这些保护还挺复杂。要破解这些东西,没有ASM知识根本不行。后来我找到一本书,好像是关于i386微处理器的,里面有Intel的ASM内容。

  • 游戏保护是什么,具体需要修改什么,为什么?

  • 修补内存区域,我其实没做太多这个。ASM让Spectrum能快速处理图形,包括快速计算。你得明白BASIC在Spectrum的时钟频率下运行有多慢。有时候,不破解根本没法复制游戏,他们用了各种狡猾的技巧,甚至用不同速度录制磁带。说实话我几乎全忘了,那是很久以前的事了。只记得Reset按钮的声音、磁带加载的声音,还有操作码LD和LDIR之类的。

  • 你说你买了电脑——自己买的?多大年纪?

  • 大概是94年吧,年龄问题不合适。

  • 我是说,那时候你已经有自己的钱了?

  • 有,90年代也能“搞到”钱。如果偷了溜走——就叫“找到了”。

  • 小混混))

  • 嗯,当时还有整个“顺手牵羊”运动——苏联的遗产。“所有没钉牢的东西都是我的,所有能扯下来的都是没钉牢的!”现在听起来很野,但当时几乎所有东西都短缺,除了偷真没别的办法搞到东西。

  • 之后你怎么直接进入黑客领域的?

  • 我找到一些关于用ASM写程序的书,包括病毒。另外,我进了一家政府单位,那里有286甚至386电脑,有一个家伙像是系统管理员。他在写病毒,那时候没有相关文章,用ASM写的。当时“黑客”这个词更多指软件破解,而不是网络相关。后来事情就自然而然发展了。到486出来时,我在编码上已经相当熟练,写了几个驻留病毒。我说的“出来”是指它们在俄罗斯实际出现,而不是在别处发布。不能不提卡巴斯基,后来我找到了他的书《MS-DOS中的计算机病毒》,不知道是哪年,但那本书很实用,可以说卡巴斯基对一堆病毒作者的出现负有责任。那一本书详细描述了很多东西,可以说是病毒作者的经验和解决方案汇总。我不知道叶夫根尼·卡巴斯基是不是那么狡猾,提前培养市场来卖杀毒软件,可能不是,但谁知道呢。

  • 你怎么传播它们?

  • 嗯,在一些地方运行,没有制造流行病之类的目标。只是为了测试,看看在“野生环境”中、在我能观察后果的机器上表现如何。

  • 它们的负载是什么?

  • 繁殖和隐身,拦截21号中断之类的。亮点是“三明治感染”模式,故意禁用文件已感染的检查,让文件被多次感染,长度增加,病毒还加密文件部分,解密需要时间。结果运行某个程序后得等几分钟,几周内系统就在抽搐中死亡。是个搞破坏的好工具,运行后一段时间没后果,然后电脑逐渐开始变慢,不明显。你想,等半小时启动Norton Commander已经不行了。有时这种感染会导致磁盘空间耗尽。硬盘很小,软盘更别提了。

  • 你怎么进入网络的,那是什么?Fido还是直接互联网?

  • 我见到的第一个网络好像是UUCP之类的,有邮件往来。Fido我没参与过,错过了。那时俄罗斯开始出现各种电脑俱乐部。人们也开始有调制解调器了。说真的,打死我也不记得第一次见到调制解调器是什么时候,但几天后就偷了访问密码。

  • 进互联网?

  • 不确定,可能是单位局域网或某个BBS。后来才接触到互联网,记得IRC让我震惊。对苏联人来说——就这么轻松地和英国或阿根廷的人实时聊天。我太震惊了,一周内就写了第一个IRC战斗机器人,能刷屏踢掉客户端。

  • Ping of Death?

  • 不,只是改昵称发私信,效果就像500人给你发消息。

  • 嗯,以前用调制解调器就能轻松DoS。

  • 有个客户端叫Pirch,没设计处理大量MDI窗口,这种攻击下就直接崩溃。所以如果遇到Pirch,几十秒内人就被踢了。想象一下一堆聊天窗口打开有多让人晕。mIRC不会崩溃,但到1000多个窗口后开始变慢。还有这种攻击的变种,设置away模式来额外增加流量之类的。昵称本身可以更长,还能加些描述。如果目标还设置了autowhois收消息,他就自作自受了。总之攻击虽然简单但有效,有时因为设置问题,人的调制解调器会断开,受不了流量,尤其加了用socket写的机器人时。比如服务器上10-20个机器人开始一起打,可能我给你演示过一些。

  • 我记得在EFnet有个DoS工具叫pr0ix,有几次把我打得更惨,电话线停摆15分钟。重连没用,即使物理断开调制解调器线——线上还挂着逻辑PPP会话,流量泛滥。

  • 嗯,多次注意到有些调制解调器在高负载时会掉线。掉线经常导致“那边”线路占线,即打同一个号——显示你还没断开。但模拟交换机有个优点——没有数字日志;)

  • 是的,就这样。看,你们有自己的加密脚本用于IRC消息加密?

  • 是的,用长密钥进行伽马加密,甚至多个密钥。相当坚固,只是密钥得通过其他渠道传递。

  • 你写的?

  • 不全是,第一个版本我写,后来有修改。想法传开了,之后在很多地方能看到类似东西。

  • 你首先写了IRC战斗脚本——为什么这么有破坏性倾向?

  • 我自己也惊讶,建设性的东西我不太擅长,但武器和各种破坏手段,不限于数字的,倒是顺手。大概是天性。

  • 顺便说,我第一个C项目也是战斗IRC机器人,带洪水功能。

  • 嗯,我不是用C写的,而是直接用mIRC脚本,包括socket部分和代理支持。还有热键,比如按F3就看到10个机器人连接服务器。脚本逐步发展,比如有split检测器,不断查询服务器看有没有掉线,掉了就报告。split期间能拿到op。攻击类型有7-10种,而且是概念上不同的攻击,不只是不同洪水。例如一种混合攻击是通过DCC协议发送666.bmp文件。这个文件用十六进制编辑器修改过,尝试查看时Win95和98会崩溃。Paintbrush把整个屏幕涂黑,一切完蛋,发生某种缓冲区溢出。好像图片分辨率设得极高,全用FF填充之类的,实际文件很小。尝试渲染时全垮了,再次说明MS当时代码质量。

  • 嗯,你进了网络,IRC,还是独行侠。之后呢,去了哪里,在哪结识人?

  • 在IRC上。结果IRC上有很多有趣的人,一些成了未来团队的一部分,另一些给了我有趣的代码片段和想法。毕竟当时没人料到事情会多严重,未来背后会有大钱。我和其他人起初只是娱乐,这是新东西,前所未见。

  • HangUP团队多久后成立?

  • 这问题复杂,不是某天几个人聚一起说——现在我们是个团队。整整一年逐渐形成,起初是一批人,最终组成完全不同,聚集了各种人。例如,一名前成员现在是FSB现役员工,其他人在政府、商界,有的去世了。

  • 如果我没记错,你们频道上有纯破解者,没卷入病毒事件。你自己搞软件破解,显然在Windows下?

  • 搞过,但很少。就是说我不是破解者——觉得太枯燥,喜欢在网络上搞战斗。

  • 但用SoftICE?

  • 当然,主要调试自己的代码。如果你写rootkit,不用SoftICE很难明白为什么你通过splicing插入kernel32的函数会崩,而SoftICE直接在崩溃点激活——非常方便。有些破解者直接破解几十个软件,我一直不理解——但他们是很有用的人,他们动机是什么我至今不解。我更喜欢娱乐——几次黑不同网站,画个卍字符,或把文章/书名改成“俄罗斯火星人入侵史”之类的。基本是恶作剧,但好玩,当然那是在商业化之前…

  • 嗯…我们跳过你开始用C的阶段。那是在IRC之前还是之后,为什么转C?

  • 一下子想不起,还在写病毒时学了Pascal,然后遇到Windows版——Delphi,之后才碰到C。从Pascal转过来不习惯,但清楚这是最系统化且优雅的语言。说不准具体时间,但第一个网络木马好像用Delphi,第二个就用C了。

  • 趁还没跑远,再问一个问题。你们和SBVC团队合作过电子杂志《In the Name of Zero》,之后不久你们出了《Ring0》,但内容几乎完全重复——怎么回事?

  • SBVC内部有些分歧或动荡,有人不喜欢名字还是什么。总之他们决定做单独的病毒杂志。

  • 没有网络和破解主题?

  • 是的,没有。我想好吧他们想要——随它去,文章他们没撤回。没害处。

  • 好,你们慢慢开始商业化。这时出电子杂志是什么?旧愿望分享知识?在杂志历史上留名?还是天鹅之歌,意思是以前你们像其他地下代表一样写文章,后来从研究者建设性生活转向阴影活动,出杂志成了场景活动的最后回响。

  • 各方面都有点。出杂志有趣,可以说尝试一下,杂志其实不错,之后多年还有人读,尽管似乎一切都该过时了。做杂志时建立了许多联系人,帮助了后续商业活动,但建设性内容少,那是病毒-黑客杂志,即无论如何专注于数字武器,破坏性的,如果你愿意。

  • 这也是某种建设主义,创造推动信息安全向前的新技术和技巧。

  • 《Ring0》之后场景还存在,但没我们了。在我看来,SBVC在2004年的行为给它判了死刑,当时媒体上所有烂事沸腾,他们怂了,关闭了整个论坛,一堆病毒作者在那混,Lovingod也在,他鄙视他们的懦弱,后来在文章《10年VX场景》之类里写了。为什么这么做至今不明,因为没人指控他们,他们也没出现在任何地方。文章甚至纸质发表在《黑客》杂志上,我买了那期。

  • 讲讲HangUP团队的活动。如果2001和2002年网站上主要是文章,2003年出现商业区,除了软件你们开始卖shell和socks,2004年甚至卖卡数据和银行账户。

  • 嗯,很简单,某个时刻意识到病毒制作“作为爱好”没未来,因为耗时间,而得吃饭。显然得尝试结合赚钱和爱好。起初只卖木马偷来的东西,后来这过程真的工业化,我每天卖几GB数据,价格$400/GB。网站上有联系表单,开始有很有趣的人写信,有的骂人,有的谈合作。结果2004年我已经不在IRC了,可能更早,几乎没人了——都在ICQ上。想象一下,一GB表单拦截日志是什么?当时没有双因子认证,即通常转账只需登录密码,甚至没密语。怀疑给西方银行和客户造成的损失巨大。不过我赚得不多。

  • 转账什么?在线银行还是PayPal?

  • 任何支付系统,甚至e-gold,但我几乎啥也不做——纯卖日志按重量。不知道靠这吃了多少年,有权给自己挂“荣誉游击队员”奖章。

  • 就是说你按需写软件, besides安装自己的开发并卖安装日志?除了这些还有别的活动吗?

  • 很多,WiFi破解、工业间谍、银行和支付处理破解、卖卡数据和dump的商店引擎,甚至论坛引擎, just抓取大型dump库和交易dump。

  • 你搞Web开发?

  • 嗯为自己,再说写木马控制面板在某种意义上是Web开发。我没做过定制网站,从没在合法领域工作过。真的,好笑但就这样。恐怕养老金没戏。怎么活?

  • 看来你没养老金也够钱。

  • 嗯我几乎花光了,没存钱习惯。

  • 先讲讲2000年代初恶意软件的价格,多少钱,你们赚多少。

  • 2000年代初价格浮动2到5k,当然是美元。稍后到30-50k,看 specificity,有更贵的订单。

  • 你卖过产品源代码还是总是二进制构建?

  • 卖过,部分,从没完整。嗯我这样卖的代码片段出现在很著名的软件里。

  • 30-50k的软件——成本取决于什么?

  • 客户愿望。你惊讶什么?看看任何公司软件开发报价,能找到更贵的,而这还是完全非法的。而且全国有这种经验的人不多,现在也是。

  • 不惊讶,只是可能有方法,比如如果客户是卡贩,他们钱多,可以提价更高。

  • 价格很市场,更取决于软件能带来的利润,我的很有效。

  • 现在流行租用恶意软件,即买家根本不拥有它,付些费,拿到最新干净二进制,他的任务只

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次