Хакер в другом мире 2: Неуловимые мстители

Глава 7 Вечная война

Прошлое. Земля. Соединённые Штаты.

Рядовой обыватель, чей рабочий день начинается в восемь утра, а заканчивается в пять вечера, живёт в мире, где, с точки зрения этого же самого обывателя, происходит крайне мало действительно важных событий. Одни и те же маршруты. Одни и те же лица. Одни и те же задачи. Вечная рутина.

Мало кто подозревает что рядом, практически под боком, существует мир, в котором каждый день идут войны. Настоящие сражения. Со своими миллионными армиями, своими героями и злодеями. Союзниками и врагами. Настоящими гениями и непревзойдёнными преступниками.

Бесконечная война киберпространства.

И эта реальность в корне отличается от той, к которой привыкли обычные граждане. Например, когда банк сообщает вам о временных перебоях в оплате и затруднениях к доступу в интернет-банкинг, с вероятностью в восемьдесят пять процентов его сервера сейчас атакуют сотни тысяч компьютеров со всей планеты. Так называемая DDoS атака.

Как это возможно? Как такое количество машин вообще пришло к выводу, что было бы неплохо объединить усилия в один большой кулак и со всей дури вмазать по несчастному банку, отключив его пользователей от инфраструктуры? Дело в ботнетах. Данным словом принято обозначать объединённые в одну сеть компьютеры, умные устройства и телефоны. Как правило, все эти железяки заражаются различными типами вирусов и прочих, весьма неприятных и крайне живучих, вредоносных программ. Инфицированное подобной заразой устройство становится «ботом», который может принимать приказы от центрального сервера. Обычно, бот-сеть или «bot-net», имеют в своём составе от нескольких десятков, до нескольких миллионов устройств. Настоящая армия.

И эти армии воюют не только с организациями и банками, но и друг с другом. Данный вид сражений несколько отличается от привычного понимания ведения войны. Ботнеты не уничтожают устройства противника физически, они — пожирают друг друга. Типичное столкновение двух компьютерных армий выглядит так: сотни тысяч устройств, входящих в состав сети, пытаются захватить устройства входящие во вражескую сеть путём подбора паролей от учёток или эксплуатации известных уязвимостей. Таким образом, выиграет та армия, суммарная вычислительная мощность которой будет больше. И победитель в данном противостоянии значительно вырастет в размерах.

В тёмной сети существует целый рынок услуг по найму и использованию в преступных целях подобного рода ботнетов. Сделать недоступным сайт конкурента, надавить на своих оппонентов в оппозиции, поднять вверх поисковой выдачи контент… вариантов использования бесконечное множество. Владельцы таких компьютерных армий постоянно конкурируют друг с другом за заказы, сферы влияния и, как ни странно — имидж. В андеграунде нет документов, чтобы проверить твою личность и историю работы, поэтому здесь основную роль играет именно репутация человека. Ты можешь обладать огромными вычислительными мощностями, но если в комментариях на тебя постоянно жалуются клиенты — скорее всего к тебе не станут обращаться. И наоборот, даже имея небольшой ботнет, но отрабатывая всё по «чесноку», к тебе придут заказчики.

В данном бизнесе крутятся не просто миллионы долларов — а сотни миллионов. В мире, где все сражаются со всеми, солдаты, готовые исполнить любой приказ очень ценятся. А люди, предоставляющие таких бойцов — ценятся ещё больше. Правда, иногда лишаются жизни. Но это уже нюансы…

Всю последнюю неделю, Кэрнэл обсуждал с Инитом очередную свою лютую идею. Здесь нужно сказать, что для банковского сектора, его «идеи» ещё ни разу ничем хорошим не заканчивались. Как правило, кого-то снимали с начальствующих должностей… и это минимум.

— Я те кричу, блин… это верняк! — всплыло в общем чате очередное сообщение хакера. — Они ждут там готовые. Нужно только восстановить инфраструктуру. С такой мощью мы переплюнем всех на рынке и станем первыми. Начнём задавать свой ценник, без оглядки на конкурентов.

— Ну а смысл? У нас на вооружении и так самые передовые ИскИны. Благодаря им, мы одного кода по подпискам продаём на миллионы долларов. Кроме того: Нексус, Давинчи и Робин и так управляют тремя бот-сетями. Куда тебе ещё? Ты весь мир отключать собрался?

Перепалку в чате лицезрели и остальные участники группировки, но в полемику не вступали. Всё равно все знали, чем закончится.

— Эта хрень в своё время суперкомпьютеры превосходила. Шаришь, не? Только не говори, что тебе это по барабану.

— Чел, ты же знаешь почему Шторм разгромили? Естественно ты в курсе этих событий. И как ты собираешься не допустить подобного ещё раз?

— Лол. Не мне тебе рассказывать, Инит. Получим доступ к машинам и накатим новое обновление, которое не позволит повторить прошлый разгром. И всего делов.

— Ну потратим мы время, ну восстановим. Обновим. Что потом? Как ты планируешь всем рассказать, что у нас есть аж такое? А?

— Рассказывать я не собираюсь. Я собираюсь показывать.

— Ай, иди ты к чёрту. Делай что хочешь!

Идея Кэрнэла была настолько же проста насколько и безумна. Собственно — как и все прошлые. В мире компьютерных программ есть такое понятие — жизненный цикл. Это время от начала их разработки до полного вывода из эксплуатации. У каких-то приложений этот срок составляет несколько лет, а у каких-то несколько десятков лет. Так вот — вирусов это правило не касается. Они живут вечно. Компьютерные вредоносы изначально разработаны так, чтобы постоянно захватывать новое жизненное пространство. Распространяться любыми методами, начиная от фишинговых рассылок и заканчивая копированием самого себя на флешки. Даже утратив связь с управляющими серверами, вредоносное ПО не умирает. Оно с упорством, присущим исключительно машинам, продолжает выполнять свою функцию. Одному богу известно, сколько в интернете брошенных своими создателями творений, которые преданно пытаются и по сей день связаться с центральным сервером.

Теория, выдвинутая Кэрнэлом, гласила, что если воссоздать точную копию существовавшей некогда управляющей инфраструктуры, со всеми её айпишниками и настройками, то получится снова подключиться к тем, кто многие годы скрывался в тени и ждал.

Можно вернуть контроль над утерянной армией.

В качестве подопытного для эксперимента, хакер предложил старый уничтоженный Stormnet… Штормовой ботнет из далёкого прошлого. Мотивировал он это тем, что данный вредонос, за столько лет бездействия, мог разрастить до весьма больших размеров. Единственной проблемой может стать необходимость восстанавливать не просто сервер управления, а целый отдельный протокол, на котором этот ботнет работал.

— Ну, неплохо… — блямкнуло в чате сообщение от Мазая. — Вот только, насколько мне известно, Шторм стёрли подчистую. Ты думаешь, что-то осталось?

— Я не «думаю», — ответил на это Кэрнэл. — Я знаю. Недавно залез на один старый сервак в инете, и нашёл там исправно работающий образец этой штуки. После стольких-то лет. То, что они потёрли — было лишь частью сети. Что же всё это время происходило с теми, кто уцелел?

К великому сожалению для себя, Шухов о данном вирусе слышал лишь в исторических справках на просторах интернета, и конкретной информацией не владел. Пришлось обратиться за помощью:

— Скайнет, мне нужна полная информация о Stormnet. Только это… обработай её так, чтобы я не сухую статистику слушал, а что-то вроде информационного поста. Я так быстрее воспринимаю, — отдал указание хакер.

— Обработка запроса… — раздался в ухе спокойный и размеренный голос ИскИна.

'17 января 2007 года в сообществах по кибербезопасности начинают появляться странные слухи о новой разновидности вредоносного ПО, распространяющегося не то по электронной почте, не то эксплуатируя уязвимости нескольких поколений систем Windows. Часть исследователей утверждала, что это новый троян, ещё часть — что это разновидность малвари для DDoS атак. Цифры заражённых компьютеров плясали в диапазоне между надеждой и отчаянием: от ста тысяч активных машин до двух миллионов. На тот момент ещё никто не подозревал, что все они окажутся правы в предположениях.

Штормовой ботнет или Stormnet самая известная киберугроза 2007–2008 года. В моменте заразил 8% всех компьютеров с системами Windows в мире. Распространялся методами массовых спам-рассылок на миллионы адресов электронной почты, в теле письма содержались новостные повестки с громкими, часто «кричащими» названиями. Своё имя получил за счёт самой первой рассылки, сообщавшей о жертвах шторма, в странах Европы.

Ботнет считался самым передовым кибероружием того времени. Это выражалось в использовании сети p2p для связи заражённых хостов между собой по протоколу Overnet. Это не позволяло вычислить единственный командный сервер и закрыть его, как в случае с предыдущими поколениями ботнетов, построенных на топологии «звезда». Забегая вперед скажу, что именно эта особенность, сделавшая его бессмертным в итоге и послужила причиной уничтожения всей бот-сети.

Второй технологичной фишкой ботнета был server-side полиморфизм. Что это такое? Алгоритм, который отвечает за мутации, не жёстко прописан в самом коде бота (как у других полиморфов), а реализован на стороне сервера и генерирует постоянно новый экземпляр бота, с иными сигнатурами. Это был маленький адок для антивирусных систем. Эристический и поведенческий анализ в них появится гораздо позже.

В пиковые моменты активности, Шторм генерировал 20% всего спама в Интернете. Независимыми исследователями был проведён анализ мощности данного ботнета, включавшего в себя не менее полутора миллионов компьютеров. В результате выяснилось — общая вычислительная способность Stormnet превосходила все известные на тот момент суперкомпьютеры планеты.

Ещё одной отличительной особенностью новой малвари были активные попытки контратак на адреса с которых предпринималось слишком много запросов на загрузку обновлений. Это воспринималось системой защиты как попытка проанализировать работу ПО антивирусными компаниями. Как только ботнет замечал такую аномальную активность, часть его мощностей тут же принималась DDoS-ить враждебный адрес.

Зарабатывали создатели ботнета на том же спаме, рекламируя различные лекарства и препараты, проводили заказные фишинговые компании, устраивали DDoS атаки.

Крах Шторма был таким же величественным, как и его становление. В конце 2008 исследователи безопасности, наконец, расковыряли несколько уязвимостей в ботнете и написали утилиту «Stormfucker» которая самостоятельно распространилась по децентрализованной сети Overnet и стерла ботов со всех активных машин. Правда разработчики винды активно с этим спорили, пытаясь доказать, что это их очередное обновление безопасности нарушило работу ботнета. Но, в отличии от команды кибербезопасников, те так и не привели убедительных доказательств своих слов.

В последствии, часть кода Шторма будет выставлена на продажу. На его основе напишут множество подобных ботнетов, но гораздо меньшего масштаба. Stormnet стал переломным моментом в войне хакеров и специалистов кибербезопасности, склонив чашу весов в сторону первых. Модель построения децентрализованных и устойчивых к закрытию командных серверов для бот-сетей, будет взята на вооружение и начнёт набирать обороты, постепенно вытесняя собой уже привычную топологию с одним командным центром.

Создатели Stormnet не найдены до сих пор'.

Прослушав краткое донесение от персонального помощника, Шухов снова посмотрел на экран ноутбука, где переписка и не думала стихать:

— Нам останется объединить имеющиеся у нас ботнеты, синхронизировав их действия… — вещал Кэрнэл.

— И как въеб…! — закончил фразу Киллдозер.

— Э… нет. С этим мы подождём.

— Справишься? — поинтересовался Шухов с нотками сомнения в голосе.

— Да, без проблем, — ответил ИскИн после двухминутного анализа предоставленного ему исходного кода и разъяснения задачи.

Вместо того, чтобы сидеть самим и играться с переписыванием и настройкой старых исходников Шторма под новые реалии, Кэрнэл решил сбросить всю тяжёлую работу на ИИ. Где хакер достал полную кодовую базу старого ботнета, оставалось тайной за семью печатями даже для участников группы. Сколько Мазай его не расспрашивал — идейный вдохновитель молчал.

Суть была проста. Первый этап — запуск старой инфраструктуры ботнета в исходном виде, чтобы получить доступ к заражённым системам. Второй этап — запуск обновления программного обеспечения, которое закрывает существующие дыры в протоколе и механизмах реализации. Третий этап — расширение заражённой сети, если такая необходимость возникнет. Четвёртый — тестирование общей ударной мощности Шторма вкупе с уже имеющимися у группировки ботнетами.

ИскИны поделили пополам. Одна часть занималась восстановлением старого, другая — созданием нового. Задачей отведённой Скайнету являлась разработка алгоритма генерации и шифрования нового бота. Та самая часть, которая приносила больше всего проблем антивирусным компаниям, так как каждый раз сигнатуры в заражённой системе были разными и не получалось обнаружить общие паттерны.

Инитовский Вивальди занимался воскрешением и конфигурированием практически исчезнувшего протокола Overnet, Давинчи и Нексус принадлежавшие Мазаю и Кэрнэлу компилировали древние исходники под семь виртуалок, на которых предполагалось запускать командные сервера. Робин и Мориарти относящиеся к Визарду и Киллдозеру, с помощью статического анализа искали и латали дыры в коде, подготавливая пакеты обновлений. Ещё двое были заняты тестированием всего этого дела. Работа кипела. Хакеры наблюдали.

— Знаете, а мне нравится смотреть, как работают другие, — спустя две недели такой деятельности, сказал Киллдозер.

— М-да, то, что мы делали бы месяца три, они закончили уже к концу шестого дня, — отозвался Инит один.

— Кроме твоего долбанного композитора, — появилось сообщение от Кэрнэла. — У меня такое ощущение, что он не протокол настраивает, а новую симфонию сочиняет. На кой хрен ты его нотам учишь?

— Ты бы уткнулся, — написал Инит, — это называется нейро-музыка. Новый виток развития искусства. Я на этих треках зарабатываю столько же, сколько на продаже вирусов.

— Легализоваться решил?

— Думаю о пенсии, в отличии от вас.

— Ну-ну.

Задачу реконструкции управляющей инфраструктуры ИИ завершили за месяц. Семь серверов, настроенных и готовых принимать соединения, ожидали старта. Вся группа снова собралась вместе и в данный момент, через удалённые соединения, лицезрели интерфейс командного центра. В левом верхнем углу сайта красовалась надпись «Количество активных машин: 0».

— Ну чё? Поехали? — произнёс Кэрнэл.

Хакер вбил команду старта в консоль. Отсчёт пошёл.

Две минуты спустя:

«Количество активных машин: 0»

Десять минут спустя:

«Количество активных машин: 0»

— Слухай, — начал Инит один, — а тебе не кажется, что мы обосрались?

— Нет, не кажется, — стоял на своём Кэрнэл. — Оно должно работать.

— Но не работает.

— Но не работает. Мож перезагрузить?..

Хакер попытался ввести в терминал новую команду, но вопреки ожиданиям, буквы на экране не появились.

— Слова забыл? — потроллил Инит. — Я подскажу: reboot.

— Оно зависло, — констатировал Килл. — Надо физически рубать.

Тут, неожиданно, в наушнике Шухова прозвучало:

«Скажи им, чтоб не трогали».

«Почему?» — удивлённо спросил Шухов.

«Мы не могли ошибиться. Мы не люди. Значит, оно запустилось. А тот пролаг, что вы сейчас наблюдаете — от количества подключающихся одновременно машин. Твой товарищ непростительно ошибся в расчётах. Их не тысячи. А сотни тысяч».

Шухов положил руки на клавиатуру и набрал послание:

— Стойте. Ничего не предпринимайте. Это боты ринулись подключаться к центру. Их слишком много.

— Уверен? С чего ты взял? — поинтересовался Кэрнэл.

— ИИ не могли ошибиться.

Проснувшись утром следующего дня в своём кресле, Артём посмотрел на горевший всю ночь монитор.

«Количество активных машин: 1 000 253»

Оружие, обратившееся в прах и ставшее легендой, восстало из пепла за одну ночь.

Сервер 404.

Skynet: Если люди в детстве читали одни и те же книги, смотрели одни и те же мультфильмы, то почему они выросли — такими разными?

Shuhart: Они забыли то, о чём читали.