Pull to refresh
0
Edison
Изобретаем успех: софт и стартапы

Подпольный рынок кардеров. Перевод книги «KingPIN». Глава 16. «Operation Firewall»

Reading time 13 min
Views 15K
Кевин Поулсен, редактор журнала WIRED, а в детстве blackhat хакер Dark Dante, написал книгу про «одного своего знакомого».

В книге показывается путь от подростка-гика (но при этом качка), до матерого киберпахана, а так же некоторые методы работы спецслужб по поимке хакеров и кардеров.

Квест по переводу книги начался летом в ИТшном лагере для старшеклассников — «Шкворень: школьники переводят книгу про хакеров», затем к переводу подключились и Хабраюзеры и даже немного редакция.

Глава 16. Операция Фаервол

(за перевод спасибо хабраюзеру Find_The_Truth)

Что-то странное происходило с ShadowCrew.

Макс старался не светиться на одном из самых криминальных сайтов во всем интернете. Для него ShadowCrew была лишь площадкой, где можно было взломать пару-тройку кардеров. Однако, в мае 2004 года, администратор сайта сделал заявление, которое привлекло внимание Макса. Админ КумбаДжонни (Cumbajohnny) представил новый VPN сервис только для участников сайта.


EDISON Software Development Centre
Подробнее о способах оплаты за разработку, которые мы используем на проектах в EDISON Software Development Centre.



VPN — виртуальная частная сеть, используется для обеспечения удаленного доступа к сети поверх другой сети. Например, доступ сотрудника из дома к офисной сети компании. Но основной причиной появления VPN сервиса стала возможность шифрования данных, передаваемых через эти сети. Для подполья это был идеальный вариант, чтобы обезопасить свои сделки от любопытных провайдеров или правоохранительных органов, так как любые попытки отследить криминальную деятельность закончатся там же, где начнутся.

КумбаДжонни был последним прибавлением в руководстве, — бывший модератор быстро поднялся в иерархии сайта и стал иметь влияние на настроение форума. Другие админы даже отметили увеличение активности пользователей на форуме. Наверху сайта висели баннеры: «Хватит болтать, делай деньги. Размещай рекламу здесь. Свяжись с КумбаДжонни.» ShadowCrew стал похож на вывеску в Лас-Вегасе: вспыхивающие баннеры, обещающие вечную вечеринку, женщин и кучу денег.

imageГоллумфан (Gollumfun), известный основатель, публично заявил о своем уходе от дел ShadowCrew, когда другой основатель BlackOps также собрался уходить. Он написал: «Будучи прекрасной площадкой, ShadowCrew унизительно пал в окружении детей, которые не ценят знания, навыки и общение с другими членами сайта в позитивном ключе. Сгинули те продуманные тьюториалы, исчезли многоуважаемые пользователи, исчезла цивилизация. Мы больше не будем помогать новичкам искать их призвание, отныне мы будем позорить их, пока они не уйдут с сайта, пока не поймут, что новых пользователей нет и не будет. BlackOps, тебя будет не хватать. Спасибо за твой вклад.» КумбаДжонни ответил весьма кратко: «ShadowCrew меняется. Это к лучшему.»

Макса не особо заинтересовали перемены на политической арене сайта, но появление VPN его весьма озадачило. Оказалось, что КумбаДжонни продавал услуги его личной VPN верхушке ShadowCrew в течение трех месяцев. Теперь же Кумба писал, что любой член ShadowCrew, не имеющий штрафов, может купить кусочек спокойствия за 30-50 долларов в месяц.

Однако хорошо известно, что VPN сети имеют одно слабое место — все, что передается по сети, проходит через центральную точку в не зашифрованном и уязвимом виде. Как заметил один из участников форума: «Если ФБР или кто-то, кому очень нужно получить данные попадет в датацентр и изменит некоторые настройки VPN сервера, то пользователям этого сервера придется несладко.» «Но это просто паранойя.» — признался он.

КумбаДжонии поспешил его успокоить: «Никто не сможет ковыряться в VPN без моего ведома».

Максу эти сообщения показались не убедительными. Будучи белой шляпой, он как-то он писал программу для проекта Honeynet, называемую Privmsg. Это был скрипт на PERL, который брал данные из сниффера пакетов данных и восстанавливал на их основе IRC-чат. Когда злоумышленник начинал взлом одной из ловушек honeypot`а, он старался поддерживать связь с другими хакерами. Посредством программы Макса PRIVMSG, специалисты могли видеть всю эту переписку. Это было сильным прорывом в борьбе с хакерами, превращая пассивные honeypot`ы в мощные ловушки, проливая свет на мотивы и культуру подполья.

В данный момент Макс наблюдал ту же картину с перехватом данных в предложении Кумбы. Были и другие причины подозревать Кумбу. Как-то взламывая случайных кардеров, Макс увидел сообщение, отправленное администратору ShadowCrew, которое выглядело как инструкция для информатора федерального агентства. Что-то подсказывало Максу, что изменения с ShadowCrew превратили сайт в новый Honeypot. После обсуждения своих догадок с Крисом, Макс запостил несколько сообщений на форуме, высказав свои подозрения. Сообщения исчезли сразу же. Подозрения Макса подтвердились.

image Полиция Нью-Йорка поймала Альберта КумбаДжонни Гонзалеса девять месяцев назад, когда он снимал деньги в банкомате на Uper West Side. Родом из Майами, Гонзалес был 21 летним сыном двух кубинских иммигрантов. Долгое время он занимался взломами, решившись однажды посетить Def con в Вегасе в 2001 году. Общаясь с Гонзалесом в заключении, Секретная Служба быстро сообразили о полезности Кумбы. Альберт жил садовом домике Кирни за 700 долларов в месяц, имел долг в 12000 долларов и официально числился безработным. Но как КумбаДжонни он был доверенным лицом и коллегой у кардеров по всему свету и, что самое главное, модератором в ShadowCrew. Он был в логове зверя и, подготовившись должным образом, он мог нанести сокрушительный удар по форуму.

Под свою ответственность Секретная Служба освободила Гонзалеса и стала использовать его в качестве информатора. VPN была мастерским трюком агенства. Оборудование было куплено и оплачено федералами, и они же получили ордеры на перехват данных всех пользователей сайта. КумбаДжонни всего лишь приглашал кардеров на этот паноптикум.

Крупные игроки ShadowCrew сразу же попали под наблюдение Секретной Службы. Дырявая VPN обнажила весь процесс кардинга, который до этого оставался в тени — жесткие переговоры, которые велись посредством электронной почты и мессенджеров.

Каждый день и каждую ночь проводились какие-либо сделки, с всплеском торговли по воскресным вечерам. Сделки варьировались от маленьких до гигантских. 19 мая агенты наблюдали за трансфером Скарфейса и другим членом сайта на 115695 кредитных карт; в июле АПК передал поддельный Британский паспорт; в августе Минтфлосс продал поддельные водительские права Нью-Йорка, карточку медицинской страховки и студенческий билет городского университета Нью-Йорка человеку, который запросил полный набор документов. Несколько дней спустя прошла еще одна сделка Скарфейса — в этот раз всего две кредитки; после МАЛпадре купил сразу девять. В сентябре Дэк продал свои наработки в виде базы 18 миллионов взломанных e-mail адресов, которые содержали имя, пароли и даты рождения пользователей.

На Секретную Службу работало пятьдесят агентов, которые отслеживали каждую транзакция на сайте, подготавливая обвинительную базу. Однако, хуже всего было то, что большая часть обитателей ShadowCrew платила за то, чтобы их отслеживали агенты Секретной Службы.

Вскоре агенты узнали, что в их, казалось бы, продуманной операции против хакеров, были пробелы. 28 июля 2004 года Гонзалес сообщил его наемщиков, что кардер под ником Миф (Myth), один из кешеров Короля Артура, каким-то образом раздобыл один из секретных документов Агентства, в котором описывалась операция Фаервол. Миф сразу же похвастался этой новостью в IRC-руме.

Федералы приказали Гонзалесу как можно быстрее найти источник утечки. Гонзалес связался с Мифом под своим ником и узнал, что озвученные документы лишь капля в море утекших данных Секретной Службы. Миф также рассказал, что в отношении ShadowCrew велось уголовное дело, рассказал даже о том, что агентство имело свой ICQ аккаунт.

К счастью для Гонзалеса, в документах не упоминалось об информаторе. Миф отказался выдавать Гонзалесу свой источник, но согласился организовать встречу. на следующий день Гонзалес, Миф и таинственный хакер, использовавший временный ник «Anonyman», встретились в IRC. Гонзалез старался изо-всех сил, чтобы заслужить доверие Anonyman, прежде чем хакер раскрыл свою личность.

Это был Етикс (Ethics), поставщик, которого Кумба уже знал по работе на ShadowCrew. Утечка начинала обретать очертания. В марте Секретная Служба замечала, что Етикс продавал доступ к базе данных крупного оператора сотовой связи T-mobile. Он писал на форуме: «Я предлагаю доступ к информации о клиенте по номеру оператора T-Mobile. Как минимум вы получите имя, номер социального страхования и дату рождения клиента. Как максимум вы получите логин и пароль для выхода в интернет, пароль голосовой почты и секретный вопрос/ответ.»

T-Mobile не смогли исправить критическую брешь в защите приложения сервера, которое было куплено в Сан-Хосе у компании БЕА Системс. Дыра, которую обнаружили сторонние исследователями, была до обидного проста для использования — недокументированная функция позволяла удалять или изменять файлы в системе путем подачи специального веб-запроса. БЕА выпустила патч для этого бага в марте 2003 года и присвоила ему рейтинг высокой опасности. В июле того же года, исследователи, которые обнаружили дыру, выступили с докладом на Сборе Черных Шляп в Вегасе по поводу этого бага. Таким образом, пре-Def Con собрала 1700 специалистов в области защиты информации и руководителей корпорация, дала новый виток информации о бреши в защите T-Mobile.

Этикс узнал о дыре БЕА, написал 21 эксплоит на Visual Basic и начал сканировать интернет на наличие потенциальных жертв, кто не смог или забыл пропатчить приложения. К октябрю 2003 года он окунул T-Mobile в грязь. Этикс написал приложение, при помощи которого мог в любой момент обращаться к базе клиентов.

Для начала он использовал свой доступ для получения данных звезд Голливуда. Ему удалось получить откровенные фото Пэрис Хилтон, Деми Мур, Эштона Катчера и Николь Ричи, украденные из их коммуникаторов. Теперь было очевидно, что скоро и он станет помощником Секретной Службы.

Простой поиск в гугле по ICQ номеру Этикса выдал его настоящие имя, указанное в резюме 2001 года при поиске работы в сфере компьютерной безопасности. Это был Николас Якобсен, 21 летний орегонец, который переехал в Ирвин, штат Калифорния, чтобы работать сисадмином. Все, что нужно было Секретной Службе для предъявления обвинений Якобсену — важная информация на его коммуникаторе.

Здесь Гонзалес снова показал себя во всей красе. Теперь, будучи в приятельских отношениях с КумбаДжонни, Этикс заинтересовался VPN сервисом лидера ShadowCrew, объясняя это тем, что при помощи виртуальной сети он сможет безопаснее использовать базу T-Mobile. Гонзалес с радостью согласился помочь и его хозяева из Секретной Службы начали наблюдать, потирая руки, как Этикс бродит по базе данных T-Mobile, используя логин и пароль агента Петра Кавиччиа III, ветерана борьбы с киберпреступностью, который прославился благодаря аресту сотрудника AOL, на краже 92 миллионов e-mail`ов клиентов для продажи спаммерам.

Утечка была найдена. Кавиччиа спокойно ушел в отставку три месяца спустя, а Этикс был добавлен с писок целей операции «FireWall». Была еще одна угроза расследованию и, как ни странно, исходила она от одного из активов ФБР.

imageДэвид Томас — мошенник по жизни, обнаружил криминальный форум в Фальшивой библиотеке и вскоре стал одним из жуликов в криминальном сообществе. Теперь 44 летний Эль Мариачи, как он себя называл, был одним из самых уважаемых членов в сообществе кардеров, взяв на себя роль наставника для молодых мошеников, раздавая советы на все случаи, начиная кражей личных данных и заканчивая уроками жизни, которые он получил, живя на окраине.

Однако его опыт не помог ему избежать опасностей его профессии. В октябре 2002 года Томас показался в парке возле офиса в Исаква, штата Вашингтон, где он и его напарник арендовали убежище для одного из основателей CarderPlanet. Они надеялись получить 30 000 долларов товарами в Outpost.com по заказу Украинца. Но вместо этого их ждала местная полиция.

Арестовав Томаса, детектив зачитал ему его права и дал ему бумагу для подписи, подтверждающей, что он их понял. От одной мысли о том, что местный коп пытается допросить его, Томас рассмеялся. «Вы не знаете, кого вы взяли.» Томас просил детектива позвонить федералам. Секретная служба должна была знать, кто такой Эль Мариачи, который может дать им дело о русских и «миллионах долларов».

Секретная Служба навестила его в окружной тюрьме, но не была впечатлена его бизнесом на 30 000 долларов. Затем появился агент из местного отделения ФБР в Сиэтле. На вторую встречу агент привез с собой помощника прокурора США и предложение — федералы не могут помочь Томасу в его местном аресте, но когда Томас выйдет из тюрьмы, он сможет работать в Северо-Западной целевой группе по расследованию кибер-преступлений.

Это была бы разведывательная миссия, официальное название для операции ФБР без предварительных целей. Бюро выделило бы Томасу новый компьютер, поселило бы его в роскошных апартаментах, оплачивало бы все его расходы и давало 1000 долларов в месяц на карманные расходы. Взамен Томас должен был собирать информацию о подполье и сообщать все новости целевой группе.

Томас ненавидел стукачей, но ему нравилась идея получать деньги за возможность наблюдения и комментирования подполья, которым он был одержим. Однако сбор информации это не доносительство, так он считал. Он мог использовать материал, который соберет, чтобы написать книгу о кардинге, о чем-то, о чем он думал очень много в последнее время.

Также он определенно знал, как собирать информацию и о самой целевой группе.

Томас вышел из тюрьмы спустя пять месяцев после ареста. А в апреле ФБР получило новый актив в войне с киберпреступностью — Эль Мариачи и его совершенно новый, финансируемый государством форум, названный Кидалы (Grifters). (Статья в WIRED)

Живя на проплаченой бюро квартире в Сиэтле, Томас очень скоро собрал достаточно информации о его братьях-кардерах, в особенности из Восточной Европы. Хоть Томаси работал на ФБР, не ощущал родства с другими государственными органами, и появление новостей о VPN сервисе подсказало ему верно — КумбаДжонни был информатором федералов.

Томас зациклился на разоблачении его конкурента. Игнорируя предписания его куратора из ФБР, он постоянно выкрикивал имя Гонзалес на форумах. Гонзалес тоже в долгу не оставался, он нашел копию полицейского отчета об аресте Томаса и разослал ее кардерам Восточной Европы, обращая внимания на строки, где Томас предлагал помощь в поимке русских. Из-за войны двух информаторов началась масштабная война между ФБР и Секретной Службой.

Это было неподходящее время для недовольства западных европейцев американской драмой кардеров. В мае 2004 года один из украинских основателей CarderPlanet был экстрадирован в США, после ареста на отдыхе в Тайланде. В следующем месяце Британская национальная полиция переехал в Лидс, на сайт для англоязычных администраторов.

Скрипт, которого допекало ФБР из округа Орандж и Американская почтовая инспекция, смылся с сайта, оставив во главе Короля Артура. 28 июля 2004 года Король сделал заявление.

Он написал: «Пришло время сообщить вам плохие новости — форум должен быть закрыт.» «Да, это действительно означает закрытие и тому есть много причин.»

На ломаном английском он объяснил, что CarderPlanet стал магнитом для правоохранительных органов со всего света. Когда кардеры попадались, полиция выбивала из них факты о форуме и его лидерах. Под постоянным давлением он мог ошибаться. «Мы все просто люди и каждый из нас может совершать ошибки.»

Закрыв сайт CarderPlanet, он лишит его врагов самого жирного куска.

«Наш форум хорошо их подготовил, постоянно держа в форме и сообщая обо всех новинках в мире подполья. Теперь всё будет одинаковым. Они не будут знать, откуда дует ветер и что с ним делать», — сказал Артур.

С этой прощальной речью Король Артур, десятикратный миллионер, стал легендой кардеров. Его будут помнить как человека, который аккуратно вынашивал великий CarderPlanet прежде, чем кто-либо другой смог получить удовольствия от его разрушения.

Лидерам ShadowCrew повезло меньше. В сентябре ФБР махнуло рукой на операцию с Томасом и дало ему месяц для выезда с квартиры и завершения его войны с КумбаДжонни. В следующем месяце, 26 октября, шестнадцать агентов Секретной Службы собрались в командном центре Вашингтона, готовые начать Операцию «FireWall». Их цели были отмечены на карте США, заполняющей экраны компьютеров. Агенты знали, что каждая их жертва должны быть дома, — по приказу Секретной Службы Гонзалес назначил онлайн встречу на этот вечер, и никто не отказал Кумбе.

В девять вечера агенты, вооруженные полуавтоматическими MP5 ворвались в дома членом ShadowCrew, схватив трех основателей, хакера Этикса и шестнадцать других покупателей и продавцов. Это была самая большая облава на воров в американской истории. Два дня спустя федеральное жюри вынесло шестьдесят два обвинительных приговора, а Министерство Юстиции выступило перед публикой с информацией об Операции «FireWall».

«Этот приговор поразил самое сердце организации, которая позиционировала как универсальный рынок для воров персональных данных.» — хвастался прокурор Джон Эшкрофт. «Министерство юстиции стремится ловить тех, кто занимается кражей или мошенничеством с данными независимо от того, в интернете они, или нет.»

С помощью Гонзалеса Секретная Служба заблокировала оставшиеся 4000 пользователей сайта и заменило домашнюю страницу на баннер Секретной Службы в виде решетки. Новая страница содержала новый слоган «Вы больше не анонимны!!»

В панике кардеры по всему миру начали читать новости и смотреть телевизор в поисках информации, так как были обеспокоены за свое будущее и за будущее земляков. Они собрались на маленьком форуме, названном Стелс Дивижн, чтобы оценить ущерб и принять оставшихся. «Я боюсь до смерти за мою семью, за моих детей», — написал один из кибер-преступников. «Я только что осознал, что каждый мой шаг отслеживался».

Постепенно, оставшиеся участники сайта поняли, что КумбаДжонни не был в списке обвиняемых. Вот тогда-то он и появился в сети, чтобы сделал финальное заявление.

«Я хочу, чтобы каждый знал, что я в бегах и я не имею ни малейшего представления, откуда у Секретной Службы США была возможность сделать то, что они сделали. Из новостей я узнал, что они получили доступ к VPN и к ShadowCrew. Это мой последний пост, удачи.»

Ник Якобсен, Этикс, не был допущен к пресс-релизу и удерживался в Лос-Анджелесе. После того, как агентство собрало все награды за Операцию «FireWall», Этиксу было предъявлено обвинение за взлом электронной почты Секретной Службы. И все равно это была чистая победа для правительства. CarderPlanet был закрыт, ShadowCrew закрыт навсегда, их лидеры, кроме Гонзалеса, в тюрьме.

Кардеры были ошарашены, обессилены и на данный момент лишены убежища. «Уйдут десятки лет, чтобы в интернете появилось нечто, подобное ShadowCrew. И даже если такое появится, сила правосудия снова победит это. А зная, какая расплата последует за этим преступлением, я сомневаюсь, что кто-то рискнет начать новое дело.»

примечания
Chapter 16: Operation Firewall

1 Banner ads appeared at the top of the site: This and other reporting on
Shadowcrew’s contents comes from a mirror of the public portion of the site captured
in October 2004, immediately before it was shuttered.

2 The posts disappeared at once: Interviews with Max. Aragon independently stated
that he and Max tried to warn Shadowcrew members in advance of the Operation
Firewall raids.

3 The transactions ranged from the petty to the gargantuan: Transaction details come
from the Operation Firewall indictment, U.S. v. Mantovani et al., 2:04-cr-00786, U.S.
District Court for the District of New Jersey.

4 the Secret Service had noticed Ethics was selling: Ethics’s hacking of the Secret
Service agent was first reported by the author: “Hacker penetrates T-Mobile
syst ems,” Securityfocus.com, January 11, 2005. His use of the BEA Systems exploit
came from sources close to the case and was first reported by the author: “Known
Hole Aided T-Mobile Breach,” Wired.com, February 28, 2005
(http://www.wired.com/politics/security/news/2005/02/66735). Also see U.S. v. Nicolas
Lee Jacobsen, 2:04-mj-02550, U.S. District Court for the Central District of California.

5 David Thomas was a lifelong scammer who’d discovered the crime forums: For
Thomas’s history with the forums and the details of his work for the FBI, see Kim
Zetter, “I Was a Cybercrook for the FBI,” Wired.com, January 20, 2007. A U.S.
government source confirmed to the author that Thomas had worked for the bureau
while running his forum, the Grifters.

6 “You don’t know who you have here”: From the police report of Thomas’s arrest.
“The problem with the Bureau and the Secret Service is they look at the largest
biggest deals they can get in on,” Thomas said in a 2005 interview with the author.
“They want the big enchilada.”

7 Their targets were marked on a map of the United States: Brian Grow, “Hacker
Hunters,” Businessweek, May 30, 2005 (http://www.businessweek.com/magazine
/content/05_22/b3935001_mz001.htm). The identification of the Secret Service
agents’ guns also comes from this story.

8 Attorney General John Ashcroft boasted in a press release: “Nineteen Individuals
Indicted in Internet ‘Carding’ Conspiracy,” October 28, 2004
(http://www.justice.gov/usao/nj/press/files/pdffiles/fire1028rel.pdf).

Продолжение следует

Опубликованные переводы и план публикаций (состояние на 16 ноября)
PROLOGUE (Школьники лагеря GoTo)
1. The Key (Гриша, Саша, Катя, Алена, Соня)
2. Deadly Weapons (Юные программисты ФСБ РФ, 23 авг)
3. The Hungry Programmers (Юные программисты ФСБ РФ)
4. The White Hat (Саша К, ShiawasenaHoshi)
5. Cyberwar! ( ShiawasenaHoshi)
6. I Miss Crime (Валентин)
7. Max Vision (Валентин, 14 авг)
8. Welcome to America (Alexander Ivanov, 16 авг)
9. Opportunities (jellyprol)
10. Chris Aragon (Timur Usmanov)
11. Script’s Twenty-Dollar Dumps (Жорж)
12. Free Amex! (Теплица социальных технологий)
13. Villa Siena (Lorian_Grace)
14. The Raid (Жорж)
15. UBuyWeRush (Ungswar)
16. Operation Firewall (Жорж)
17. Pizza and Plastic (готово)
18. The Briefing (Жорж)
19. Carders Market (Ungswar)
20. The Starlight Room (Ungswar)
21. Master Splyntr (Ungswar)
22. Enemies (Alexander Ivanov)
23. Anglerphish (Жорж)
24. Exposure
25. Hostile Takeover
26. What’s in Your Wallet?
27. Web War One (Lorian_Grace)
28. Carder Court
29. One Plat and Six Classics
30. Maksik
31. The Trial
32. The Mall (Shuflin)
33. Exit Strategy
34. DarkMarket (Валера ака Дима)
35. Sentencing
36. Aftermath
EPILOGUE
Tags:
Hubs:
+14
Comments 5
Comments Comments 5

Articles

Information

Website
www.edsd.ru
Registered
Founded
Employees
31–50 employees
Location
Россия