黑客组织HangUP Team领袖专访:从病毒编写到网络犯罪的演变

这是一篇对传奇黑客组织HangUP Team领导者的深度访谈,揭示了从ZX Spectrum编程到恶意软件开发、从IRC攻击到金融犯罪的完整技术演变历程,包含大量网络安全技术细节。

🎤黑客组织HangUP Team领袖专访 | 第一部分🔥

这是采访的文字版本。视频版本可在YouTube上观看。

—–你们多次要求采访"另一边"的人。这次我与零年代传奇黑客组织HangUP Team的关键成员之一进行了交流。他们是最早将网络武器销售商业化的团队之一,被指控犯有各种计算机犯罪。我与这个人已经十多年没有联系了,找到他现在的联系方式并不容易。我的老熟人坚决拒绝进行语音采访,因此我们仅限于在匿名平台上使用一次性账户进行文字交流。我不知道他住在哪里、叫什么名字以及如何联系他,所以希望没有人会问我相关问题,开始吧…

  • 讲讲你的背景,你是怎么有电脑的,最初在做什么。

  • 买的,是ZX Spectrum,苏联的改装版。你知道这个设备吗?

  • 我有过Spectrum,不知道改装版。

  • 嗯,它们有各种叫法,但本质上是一样的Spectrum,只是在某些合作社焊接组装的。

  • 磁带式的)

  • 是的,磁带式的,连接到电视上 - 经过重新焊接后。最初和其他人一样,先玩游戏,然后学习了编程,Spectrum上有简单的汇编语言,顺便也掌握了。

  • Spect?

  • 嗯,这是Spectrum的简称。

  • 也就是说第一个语言直接就是汇编?

  • 第一个是Basic - Spectrum内置的,然后直接就是汇编,是的,因为那里没有其他内置语言。

  • 用汇编写什么?

  • 加密程序,正是在那里了解了什么是异或操作,图形…在磁带上经常带有游戏保护等等,而且相当复杂,考虑到设备的原始性。当需要破解某些东西时,没有汇编知识是不行的。然后我找到了一本书,叫什么来着,好像是"微处理器i386"之类的,那里已经有Intel的汇编了。

  • 你是怎么进入网络的,那是什么?Fido还是直接互联网?

  • 我看到的第一个网络好像是uucp之类的,嗯,有邮件往来。我没有参与Fido,不知怎么错过了。那时俄罗斯已经开始出现各种电脑俱乐部。而且人们也开始有调制解调器了。你知道,打死我也不记得第一次看到调制解调器是什么时候,但几天后我就偷到了访问密码。

  • 到互联网?

  • 不太确定,可能是公司的局域网或某个BBS。然后才接触到互联网,记得当时IRC让我震惊。对苏联人来说 - 就这样轻松地与来自英国或阿根廷的人实时交谈。我对此非常震惊,在一周内就编写了第一个用于IRC的战斗机器人,它会刷屏,踢掉客户端。

  • 你们有自己的加密脚本用于加密IRC消息吗?

  • 是的,使用了长密钥的伽马加密,甚至是多个密钥。相当坚固,只是需要通过其他渠道传递密钥。

  • 是你写的吗?

  • 不全是,第一个版本是我写的,然后有了一些修改。这个想法传播开来,后来在很多地方都能看到类似的东西。

  • 首先你为IRC编写了战斗脚本 - 你为什么有这种破坏性倾向?

  • 我自己也惊讶,建设性的东西我做得不太好,但武器和各种破坏手段,不仅是数字的,却做得不错。可能是天性使然。

  • 顺便说一下,我在C语言上的第一个项目也是战斗IRC机器人,带有刷屏功能。

  • 你是如何开始用C语言的?这是在IRC之前还是之后,是什么促使转向C的?

  • 一下子想不起来,还在写病毒的时候 - 学习了Pascal,然后遇到了Windows的类似物 - Delphi,然后才接触到C。在Pascal之后不太习惯,但清楚这是最系统化且相当优雅的语言。具体是什么时候发生的说不上来,但第一个网络木马好像是用Delphi写的,第二个就已经用C了。

  • 让我们谈谈小组活动。如果在2001年和2002年网站上主要是文章,那么2003年出现了商业板块,除了软件之外,你们开始出售shell和socks,而2004年已经出售卡片数据和银行账户。

  • 嗯,这里一切都很简单,在某个时刻意识到"作为爱好"的病毒制作没有未来,因为它消耗大量时间,而人总得吃饭。显然需要尝试将赚钱和喜爱的事业结合起来。最初只是出售用木马偷来的各种东西,后来这个过程真正走上了工业化轨道,我每天以每GB 400美元的价格出售几GB的数据。网站上留下了联系表格,一些非常有趣的人开始写信来,有的骂人,有的谈合作。由于这个过程,2004年我已经不在IRC上了,可能更早,而且几乎没人在那儿 - 所有人都在ICQ上。想象一下,每天1GB的表单拦截日志是什么概念?在没有双因素认证的时代,也就是说通常只需要登录名和密码就可以转账,甚至不需要安全词。我怀疑给西方银行和客户造成的损失是巨大的。不过我从这上面赚得并不多。

  • 你编写定制软件,除此之外还安装自己的开发成果并自己出售安装记录?除了这个,你的活动还包括什么?

  • 很多事情都做过,WiFi破解,工业间谍活动,银行和支付处理系统的黑客攻击,出售用于销售卡片数据和转储的商店引擎,甚至论坛引擎,只是窃取大型转储数据库并交易转储数据。

  • 你从事过网页开发吗?

  • 嗯,为自己做,同样在编写木马控制面板时,在某种程度上也是网页开发。我没有做过定制网站,也从未在合法领域工作过。真的,这很可笑,但事实如此。恐怕我是领不到养老金了。怎么生活?

  • 看来没有养老金你也有足够的资金。

  • 嗯我几乎花光了所有,没有存钱的习惯。

  • 先讲讲零零年代初恶意软件的价格,这要多少钱,你们赚了多少。

  • 零零年代初价格从2千到5千浮动,当然是美元。稍后到3-5万,看具体规格,也有更贵的订单。

  • 你曾经出售过产品源代码吗,或者总是二进制构建?

  • 出售过,部分代码,从未完整出售。嗯,我以这种方式出售的代码片段出现在一些相当知名的软件中。

  • 而3-5万的软件 - 这样的成本取决于什么?

  • 取决于客户的愿望。你惊讶什么?看看任何公司的软件开发价格,你能找到更贵的,而这里还是完全非法的。而且全国有类似经验的人也没那么多,现在也是。

  • 现在流行租赁恶意软件,即购买者实际上并不拥有恶意软件,他支付某种费用,获得最新的干净二进制文件,他的任务只是将构建上传到目标机器上,然后恶意软件工作的产出在不同程度上由服务持有者和购买者分享。据我所记,在零零年代没有这样的方案,恶意软件购买者实际上获得的是独立实例并自行部署整个基础设施。是这样吗,你认为现代方法更正确吗?

  • 我个人不喜欢这种方法,因为它非常耗时。而且这种SaaS式方案可能意味着一个服务器上有大量客户,当50个傻瓜在同一个服务器上攻击银行时,对安全性来说并不酷。要使用自己基础设施上的自己的僵尸网络,已经需要一个团队:流量引导者,负责欺骗的人,筛选账户的操作员。嗯,最少需要3个人,即使兼任。租赁允许一个人工作,因为供应商提供一切,包括服务器,你只需登录到某个地方。总之我不喜欢这个方案,但它确实存在,虽然我自己不用。

  • 大约20年前你告诉我,因为偏执,你的电脑是拆开的,你就直接放在背包里带着,没有机箱。

  • 啊是的,它当时是拆开的,那时这某种程度上是时尚,嗯而且相当实用。板子直接放在桌子的软垫上。

  • 你们在2001年还没有那么积极地销售恶意软件吧?

  • 也销售,只是规模不同,刚刚开始。2001年不记得了,但2002年我肯定已经在Carderplanet上并与一个人运营代理服务,而代理服务的基础如你所理解正是恶意软件,至少我记得是这样。

  • 是你运营AntiDenz博客吗?

  • 那里有几位作者,实际上作者名字好像是公布的,我在这里记不清了。后来我直接把访问权限给了卡贩社区的几个人,但也包括我。该博客是试图对抗反病毒供应商在其新闻中传播的公开胡言乱语,并且可以说是成功的。它还包括缓冲了2004年事件的影响。

  • 让我们回顾一下历史。2004年中旬,关于Padodor病毒和IIS服务器大规模黑客攻击的喧嚣甚嚣尘上。在被黑服务器的页面上发布了JavaScript代码,利用Internet Explorer中的零日漏洞,结果用户电脑被植入木马,窃取密码等等。卡巴斯基当时声称,在病毒体内发现了"Coded by hangup team"字符串,从而将作者身份归咎于你们小组。然后你们方面有一些回应和其他骚动。讲述你对这段历史的看法,什么是真的,什么是虚构的。

  • 嗯,那里一切都很简单。我们一个人订购了木马,攻击实际上是他的人做的,所以我们甚至不知道细节。嗯,卡巴斯基最聪明 - 他写了,第二天 - 电视上就说了,尽管那里确实没有版权声明。不知道他们为什么写它在那里。很可能是敷衍了事,觉得这样也行。如果有兴趣,订购者属于Carderplanet管理层,在那里不是小人物。然后报纸开始跟风炒作 - 这个话题大家都很喜欢。

  • 那么木马显然是你们的,但对IIS的攻击和IE的黑客攻击呢?

  • 黑客攻击不是我们做的,他好像是向别人买的已经被黑的东西,确实是相当严重的东西,不确定是否真的有攻击。他只是在向买来的被黑服务器上放了某种漏洞利用,这些服务器是他从别人那里买的。

  • 也就是说,很大程度上是你们被栽赃了黑客攻击,而木马算是附带的?

  • 嗯,什么屎盆子都扣上来了。

  • 总之你们渗透到了某个地方,找到了文档并开始实验?

  • 是的,拿到了一些东西,人们起草了一些东西。

  • 封锁MID是副作用,主要目标是什么?

  • 是从cc-exp-pin格式的数据中恢复第二磁道,嗯然后它就被投入工作 - 美国公民自己跑到最近的ATM机。可以说是在"敌对领土"上对其造成经济损失,嗯顺便也赚了点钱。VisaNet里工作的也不是傻瓜,他们不喜欢有人暴力破解磁道,然后立刻就从ATM取款,所以MID就失效了。进行几次实验后就清楚原因了。

  • 啊,结果你们是想通过这个网关暴力破解磁道?

  • 我们不只是想,我们干这个好几年了。

  • 那最终是怎么绕过反欺诈的?那里需要很多次尝试。

  • 延迟,最终暴力破解相当慢,可能长达半年。

  • 对于一个磁道?

  • 是的,这已经是这项活动接近尾声的时候了。

  • 后来出现了PVV和其他好处,总之现在这样暴力破解 - 恐怕行不通了,而且反欺诈我想在第5次尝试猜测CVV时就会触发。总之对我个人而言,这个业务大约在2008-2009年左右就结束了。现在MID被认为是很有价值的。

  • 有没有针对使用外国卡片取现的案件被立案?

  • 可能在美国立了什么案,问题在于"采取的措施未能成功"。

  • 也就是说没有抓当地的取现者?

  • 肯定抓了某些人,但一切都是通过中间人进行的。是的,损失了钱,但是 - 人在外面。只是留下了洗钱的磁道,而哪些黑鬼在ATM上跑就完全不关我们的事了。

  • 只在美国取现,不在俄罗斯?

  • 是的,卡片主要是美国的。在俄罗斯用它们取现会极其不便。外国卡的取现限额,而且总之 - 为什么要折腾自家的收单行。嗯,顺便说一句,我们根本不碰俄罗斯卡,我一直宣扬"不在俄罗斯操作"的理念,包括通过同样的AntiDenz,而且确实在那些年这也相当无意义。塑料卡片在俄罗斯还不普及,卡片上只有几分钱。

  • 在俄罗斯可能会受到惩罚。

  • 嗯,要抓还得先抓到,但何必无端与当局冲突,那样没人在乎,甚至许多警察默默地表示支持。一个人在互联网上就这样写道,“让他们去干翻整个美国吧"或类似的话,要知道按心态来说他们都是苏联人。

  • 啊哈,该死的西方

  • 嗯,如你所见他们的观点完全合理,我们现在正处于与西方的尖锐冲突中,而那些认为会"全球化和一体化"的人,委婉地说,是错了,而实际上是在预测上搞砸了。

PS…

  • 嗯,阿桑奇在我看来是个怪人,这个人非常奇怪。同样是斯诺登,至少还知道逃跑,尽管他也不太正常。说实话,我不太尊重这个人,在这个意义上我有自己一定的道德准则。如果客户付钱给我,签字画押做事 - 我不会背叛他,不会翻他的账户,不会为个人目的使用数据。斯诺登被委以工作 - 他背叛了所有人并逃跑了。

  • 他被要求做爱国者,却侵犯了同胞的权利))

  • 是的我明白,理想主义者 - 为了自由 - 全是扯淡…嗯如果交给我任务,比如,引爆黄石,用熔岩淹没一半美国领土 - 我会引爆而且眼睛都不眨一下。问题不是我特别不喜欢美国,而我非常喜欢它们,大概就像猫喜欢酸奶油一样。

  • 只是如果接手了工作 - 就完成它,这可能就是为什么我报酬丰厚,甚至通常他们不会从僵尸网络面板上取消我的技术访问权限。他们知道我不会偷他们的数据。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次