Странный и очень прибыльный мир конкурсов писателей-киберпреступников

Уровень сложности Простой Время на прочтение 12 мин Количество просмотров 5.3K Блог компании RUVDS.com Информационная безопасность *Программирование *Контент и копирайтинг * Обзор

Соревнования на форумах киберпреступников в Рунете обещают призовые до 80 тысяч долларов. Всё это происходит почти в открытую, а победителей потом хантят к себе хакерские сообщества. Слышали ли вы об этом секрете Полишинеля?

На всякий случай ссылки давать не буду. И заходить на эти сайты не рекомендую, если у вас нет хороших антивирусов. Но если кто-то об этой истории не знал, велком.

Итак, есть XSS (бывший Damagelab) — русскоязычный хакерский форум, созданный для обмена знаниями об эксплойтах, уязвимостях и вредоносном ПО. Аналог англоязычного форума Altenen, в основном занимавшегося кардингом. А ещё есть Exploit — другой похожий форум, на первый взгляд не очень популярный (темы регулярно набирают по несколько сотен просмотров). Тем не менее ровно два года назад он объявил конкурс «статей о криптовалютах» с призовым фондом $80 000.

Как человек, писавший о криптовалютах, могу сказать, что статьи там обычно стоят примерно в пятьсот раз дешевле 🙂 А секрет один: «статьи», которые просят от пользователей — это гайды или хотя бы личные истории по скаму пользователей блокчейнов. Писатели, при наличии определённых талантов, могут очень хорошо зарабатывать, потому что такие «литературные конкурсы» проводятся довольно регулярно.

Скриншот из текста автора-победителя

Злоумышленники бывают очень изобретательными, особенно когда слышат недалеко запах денег. И к этой задаче они тоже подходят креативно. Один хакер на форуме написал 50-страничное эссе о том, как инвестировать в криптовалюту и продавать её в нужный момент, чтобы получать прибыль. Другой — составил руководство о том, как создать поддельную версию сайта blockchain.com, которую можно использовать для кражи логинов и паролей. Ещё одна статья с загадочным названием «Элегантно разводим папочек на лавандэ», содержала инструкции, объясняющие, как можно выманивать деньги у людей, которые платят за просмотр выступлений вебкам-моделей.

Можно представить себе, что в этих конкурсах участвуют гении киберпреступного мира. Но об их уровне можно судить хотя бы по такому факту. Текст-победитель 2021 года на Exploit — как раз руководство по клонированию blockchain.com. По созданию и распространению обычного фишингового сайта, каких в Интернете миллионы. За гениальное открытие того, что такие сайты работают, автор получил больше десяти тысяч долларов. За него проголосовали 84 пользователя.

В любом случае — на этих форумах создаётся довольно необычная коллекция документов эпохи. Киберпреступники пытаются заработать деньги, делая ставку на свои идеи, технические навыки или писательские способности. Это один из самых необычных аспектов русскоязычных форумов для онлайн-злоумышленников. Можно сказать, часть их истории: подобные «конкурсы писательских талантов» среди киберпреступников в Рунете проводятся уже больше пятнадцати лет. Как какая-нибудь «Рваная грелка», только для хакеров.

▍ История болезни

Если проследить историю подобных форумных соревнований, можно увидеть, что они начались почти сразу после запуска Exploit в 2005 году. Правда, первые соревнования кажутся почти невинными по своей сути — по сравнению с тем, что организуют эти форумы в наши дни. Тогда они были призваны просто «укрепить сообщество» форума. Например, в феврале 2007 года участников Exploit пригласили принять участие в викторине, в которой были вопросы об истории форума. Вопросы были в стиле: «Какой у нас был первый домен?» или «Изменялся ли дизайн сайта?»

Эти первые соревнования отличаются отсутствием конкретной цели и небольшим масштабом. Если сейчас призовой фонд составляет десятки тысяч долларов, то в 2000-е за победу предлагали максимум 50 WMZ. Подобная ситуация повторяется и на других русскоязычных киберпреступных форумах, таких как XSS.

Сегодняшние конкурсы обычно требуют демонстрации реальных навыков и технических знаний. От участников часто требуется представить оригинальные статьи, содержащие видео, скриншоты или исходный код. Но в начале основной идеей было «создание сообщества». Так, в январе 2008 года Exploit провёл конкурс, в котором пользователь, дольше всех остававшийся на форуме и опубликовавший сообщения в определённой теме, выиграл 25 WMZ. В октябре 2007 года участникам была предложена возможность угадать, сколько зарегистрированных участников было на форуме, на конкретную дату.

В этих ранних соревнованиях также ценилось творчество. В ноябре 2008 года был проведён конкурс на лучшие оригинальные обои для рабочего стола. В марте 2012 года был предложен приз в 50 WMZ пользователю, представившему лучшее нарисованное от руки изображение того, что представляет собой «эксплоит». Самый большой приз тех лет был в конкурсе от декабря 2010 года, где пользователям предложили создать изображение, которое лучше всего показывало бы, что такое «Рунет». Победитель мог выиграть iPad.

В декабре 2015 года администратор Exploit организовал конкурс на написание лучшей статьи на тему «Использование инструментов SI и NLP для установки программного обеспечения на компьютер пользователя». Победитель получил 1000 долларов, а за второе и третье места — утешительные призы по 200 долларов. После этого родились ежегодные зимние соревнования на похожие темы. Конкурс Exploit в декабре 2016 года включал список установленных тем, на которые пользователи могли написать статью. В том числе такие темы как «вредоносное ПО», «фрикинг» и «взлом». Призовой фонд составил 2000 долларов. В 2019 году правила ужесточились, стали предъявлять требования по уникальности, а призовой фонд составил уже $10 000.

Примерно с 2015 года все конкурсы начинают быть сосредоточены на написании и отправке статей и кода. Особое внимание уделяется вещам, которые «принесут людям лёгкие деньги», — говорится в исследовании фирмы ReliaQuest. В связи с этим быстро увеличиваются и призовые фонды. Общий призовой фонд на XSS в 2018 году составил $1000, что считалось довольно солидной цифрой. Но к 2020 году он вырос до $15 000. При этом, конечно, на таких форумах никто не расписывает свои самые лучшие вещи, самые перспективные хаки. Только если авторы находятся в очень трудном положении и сами нуждаются в моментальных деньгах.

Тексты чаще всего пишутся на русском языке, но иногда участники форума переводят их на английский, чтобы показать себя «хорошими членами сообщества».

Одним из главных различий между ранними соревнованиями на 50 WMZ и нынешними конкурсами стало участие команды администрации форума. Первые соревнования организовывались отдельными участниками, сейчас же это поставлено на поток. Похожие сайты, которые не проводят своих конкурсов от имени администрации, не видят настолько активного вовлечения сообщества. По крайней мере, по мнению исследователей ReliaQuest. Так, русскоязычный хакерский форум «Коровка» не проводил конкурс статей с 2012 года, а кардерный форум «Омерта» вообще сидит без соревнований. Эти форумы, по мнению Realiaquest, являются менее успешными, поскольку «участники этих сайтов не показывают, что работают на благо форума и других участников».

Помощь в развитии форума является одной из основных движущих сил соревнований: форумам киберпреступников необходимо привлекать и удерживать участников, и они хотят представить свой сайт как сборник «уникальных» статей, ценное хранилище, содержащее незаменимую информацию. Большие призы для статей-победителей помогают создавать этот фасад: невозможно же, что столько денег заплатили за какую-то ерунду, правда?

Один из примеров в одной из победивших статей: как не допустить обнаружения Cobalt Strike

Последний конкурс на XSS проводился в период с марта по июль 2022 года. Общий призовой фонд составил $40 000 долларов, победитель получил $14 000. Участникам форума предлагалось присылать статьи примерно на полдюжины тем. В том числе про разработку вредоносного ПО, методы обхода антивирусных продуктов и продуктов безопасности, способы сокрытия вредоносного кода и методы социальной инженерии. В правилах говорилось, что «копипаст = исключение из конкурса, с позором». Администрация требовала, чтобы статьи были длиннее 7000 символов, содержали правильную орфографию и пунктуацию.

Между тем, последний конкурс Exploit предлагал ещё больший призовой фонд — в общей сложности $80 000 долларов. В правилах Exploit говорилось, что записи «не должны быть опубликованы где-либо еще», обязаны быть «содержательными и объемными», должны включать технические детали, такие как код или алгоритмы, и содержать «не менее 5000 символов (исключая пробелы)».

▍ Примеры публикаций

Последний конкурс Exploit по времени пришёлся на пик криптовалют. Поэтому администрация предложила присылать им эксплойты, связанные с криптой, DeFi, NFT, кошельками, умными контрактами и всем подобным. В общем, все тексты в конкурсе были о том, как обмануть криптоинвесторов.

Первое место с этого конкурса мы уже обсудили. Фальшивый Blockchain.com, скопированный через репозиторий Гитхаба, чтобы собирать данные аккаунтов пользователей. Автор объясняет, как настраивать процедуру авторизации в клонированном сайте, и настраивать обратный прокси-сервер для обхода механизма CORS.

Второе место: «ICO: Дикая охота Стоимость: $0, прибыль: $742»

На втором месте — ещё одна относительно простая атака, на этот раз нацеленная на первичные предложения монет (ICO), сборы средств для запуска новой криптовалюты. Автор предоставляет руководство по поиску подходящих ICO (они должны быть небольшими, но примерно с 20 000 просмотров в месяц), а затем даёт инструкции по использованию известных инструментов, таких как sqlmap, для поиска и использования уязвимостей SQL-инъекций с целью извлечения из их БД пользовательских данных и токенов.

Третье место: «Извлечение приватных ключей и кошельков»

Руководство по созданию фишингового сайта и обработке конфиденциальных данных, связанных с криптовалютой (секретные слова, кошельки и т. д.) через Telegram.

Почётное упоминание: «Выжимаем логи досуха»

Автор рассказывает об анализе логов (предположительно журналов таких троянов, как Redline или Raccoon Stealer, в которых собираются краденные куки, токены и истории посещений) с целью поиска информации, специфичной для мира криптовалюты.

Почётное упоминание: «Пик цены на Биткоин: когда и где выходить из криптовалюты?»

Автор — видимо, отчаянно желая получить хотя бы несколько тысяч долларов из призового фонда — пишет 50-страничную статью (безусловно, самую длинную статью в истории этих конкурсов) о том, как и когда нужно продавать биткоины. Он погружается в психологию инвестирования, экономику криптовалют и рыночные циклы. И не включает в материал никакой информации, специфичной для сферы киберпреступности. Тем не менее за свой труд получает пятое место.

Последний конкурс XSS был более разнообразным: участникам форума предлагалось присылать заявки примерно на полдюжины тем. В том числе о разработке вредоносного ПО, методах обхода антивирусов, способах сокрытия вредоносного кода и алгоритмах социальной инженерии. Очень популярной темой был Cobalt Strike: три из семи работ, получивших награды, были посвящены этому легальному инструменту пентестинга (эмуляции угроз), которым часто злоупотребляют злоумышленники.

Первое место: «20 лет проблем с приёмом платежей»

Победившая в конкурсе XSS работа даёт обзор уязвимостей электронных платёжных систем. В ней обсуждается архитектура этих систем и типичные уязвимости в них. В том числе:

• отсутствие проверки подписи;
• атаки с увеличением длины;
• перехват и изменение информации о ценах и валютах;
• недостатки бизнес-логики;
• ошибки округления, переполнения и отрицательных чисел.

В этой статье особенно интересны две вещи: 1) она даёт читателям «домашнее задание», побуждая их пробовать различные атаки самостоятельно; и 2) на самом форуме XSS обсуждается конкретная уязвимость, в результате которой пользователи могли бы, по сути,  генерировать криптовалюту из воздуха.

Второе место: «Remote Potato Zero и Cobalt Strike»

Гораздо более техническая статья, основанная на опыте автора, атаковавшего среду Active Directory. Автор стремился повысить свои права и утверждал, что Remote Potato в сочетании с Cobalt Strike является эффективным средством для этого в некоторых средах. Особенно если использовать другие инструменты, включая Ngrok и Socat.

Третье место: «Как отключить Защитник Windows (плюс обойти UAC и повысить уровень до СИСТЕМЫ)»

Руководство по манипулированию токенами привилегий для отключения Защитника Windows. В частности, автор описывает, как он получил административные привилегии с обходом UAC.

Четвёртое место: «Спрячьте свой Cobalt Strike как профессионал!»

Глубокое техническое погружение в различные способы сокрытия Cobalt Strike от обнаружения. Автор предлагает такие методы, как использование Tor и OpenVPN для TeamServer Cobalt Strike, DNSCrypt, рандомизатор доменов и рандомизатор JARM. Автор также предоставляет пошаговое руководство по изменению исходного кода Cobalt Strike для запутывания маяков.

Пятое место: «Cobalt Strike от А до Я»

Ещё одна статья, посвящённая Cobalt Strike, хоть и не столь обширная, как следовало бы из её названия. Участник форума обсуждает использование перехвата DLL в сочетании с Cobalt Strike.

Шестое место: «Крипто-мошенничество по-крупному»

Материал о том, как создавать смарт-контракты для тайного вывода токенов жертвы. Автор также рассматривает различные методы распространения вредоносных контрактов, включая эирдропы, Discord, электронную почту и вредоносную рекламу.

В целом оба форума, XSS и Exploit, получили похожее количество статей в последних конкурсах: 35 на Exploit (3 приза, 5 почётных упоминаний) и 38 на XSS (10 дисквалификаций, 7 призов).

▍ Американцы в шоке

«Эти странные русские проводят конкурсы текстов среди киберпреступников». Такой в целом консенсус образовался по поводу этого явления за рубежом.

На исследованиях того, что происходит на таких форумах, поднялось немало зарубежных компаний в сфере кибербезопасности. Они изучают то, что там происходит, и предоставляют об этом свои отчёты. В Интернете таких можно найти десятки. Эксперты, опрошенные Wired, говорят, что «Это ещё один способ, которым преступный мир перенимает лучшие практики законной стороны бизнеса». И сравнивают эти процессы с легальными конференциями и мероприятиями по исследованию кибербезопасности, такими как Black Hat, Defcon и Pwn2Own. Только в данном случае конкурсы проводятся среди онлайн-злоумышленников.

Исследование фирмы Sophos показало, что содержание заявок на последние «литературные» конкурсы было очень широким в плане формата тем. В то же время они отмечают, что уже несколько лет существуют бесплатные и общедоступные руководства о том, как сделать большую часть из вещей, описываемых в победивших статьях. То есть, многие просто хотят ухватить часть гигантского призового фонда, поделившись банальными знаниями.

В одной из публикаций конкурса XSS был подробно описан опыт автора в атаке на службу Microsoft Active Directory и способы сокрытия хакерских инструментов от антивирусных систем Windows, что заинтересовало исследователей. В основном в статьях обсуждают сайты, платёжные системы и криптовалюты. В то же время только один (и не очень популярный) материал был посвящён аппаратному обеспечению. В нём автор написал руководство по созданию аппаратного криптовалютного кошелька, включил туда фотографии и чертежи САПР. Это не было связано с киберпреступностью: вместо этого человек пытался защитить биткоины и другие криптовалюты пользователей от атак. Отсюда, видимо, и относительно низкий рейтинг статьи.

В компании ReliaQuest переживают, что эти конкурсы могут способствовать укреплению и созданию организованных группировок киберпреступников. Призовые деньги часто вносят владельцы форумов, но их также иногда предоставляют известные банды киберпреступников, такие как кардеры All World Cards и создатели программ-вымогателей LockBit. Конкурс XSS в 2022 году спонсировал злоумышленник, использовавший ник Alan Wake, которого связывают с группой вымогателей Conti. Сообщение на форуме гласило, что «Если спонсору понравится ваша статья, то после окончания конкурса вам будет предложена высокооплачиваемая работа в команде Alan Wake».

В целом, как отмечают исследователи, инноваций в статьях оказалось меньше, чем они бы ожидали. Даже «топовые» статьи часто почти не содержали нового материала и представляли собой просто базовые гайды с почти общедоступной информацией. На взгляд Sophos, оригинальных исследований там было на порядки меньше, чем на многих известных конкурсах в индустрии кибербезопасности. Было видно, что участники в основном пришли не ради обмена мнениями и улучшения своих навыков, а за деньгами.

«Победившие или высоко оценённые работы, как правило, были или очень упрощёнными, с широкой привлекательностью, или были сосредоточены на методах, которые можно было быстро применить на практике, даже если эти методы были не новыми. Тот факт, что за эти записи проголосовали коллеги авторов, может свидетельствовать о том, что это отражает предпочтения и приоритеты более широкого сообщества киберпреступников».

В Sophos говорят, что, возможно, злоумышленники просто не хотят публично делиться передовыми методами друг с другом. И вместо этого держат свои лучшие исследования при себе. Что логично, если они думают, что могут получить больше прибыли, используя их в реальных атаках, а не путём участия в конкурсах авторов.

Соревнования на криминальных форумах Рунета являются давней, хотя и малоизвестной их особенностью, и, скорее всего, будут продолжаться дальше, в той или иной форме. Но судя по последним результатам, они вряд ли станут очагом для будущих прорывов и инноваций.

▍ Укради у вора

Может, вас удивит, но полукриминальные форумы сами сталкиваются с чередой скандалов и драм.

Так, в 2021-м XSS к большому недовольству пользователей запретил и забанил все темы, продвигающие трояны-вымогатели — чтобы предотвратить нежелательное внимание к сайту со стороны правоохранительных структур. До этого хакерские группы, продающие программы-вымогатели (RaaS), такие как REvil, LockBit, DarkSide, Netwalker и Nefilim, регулярно публиковали на XSS объявления для привлечения к своей деятельности новых «партнеров». После ряда международных скандалов, которые привлекли внимание ФБР, владелец XSS, известный просто как «Admin», опубликовал пост о том, что на сайте больше не будут разрешены темы, продвигающие программы-вымогатели, а все существующие темы будут удалены. Аналогичное заявление сделали и админы Exploit. REvil и другие группы были крайне «возмущены» ситуацией, о чём заявили на форумах. Впрочем, видимо, со временем они нашли другие способы расширять свою сеть.

А в 2022-м на XSS вообще произошёл «удар в спину»: оказалось, некоторые администраторы форума сами наживались на сидящих там киберпреступниках (кто бы мог подумать!?). Они скамили обратившихся к ним за арбитражом пользователей на (смешные, казалось бы) суммы в 80-120 долларов. Или обещали им статус «проверенного продавца», чтобы они могли торговать своим вредоносным ПО, но его не давали. А ещё, конечно, неаккуратные посетители форума легко могли нарваться на вирус, ворующий данные их биткоин-кошелька.

При этом не все пользователи, обратившиеся к админам форумов, в итоге становились их жертвами. У некоторых был «иммунитет». Как признавались сами киберпреступники, на всякий случай они не выбирали в качестве жертв мусульман и «больших шишек» форума, проблемы у которых могли стать заметными.

С самими конкурсами, говорят, тоже не всё было идеально бело и чисто. В последнем соревновании у Exploit было 35 заявок, а у XSS — 38. Но XSS дисквалифицировал 10 из них, часто без объяснения причин. Победители конкурсов определяются путём голосования участников форума, но администраторы сайтов тоже могут выбирать победителей, и, по данным фирмы кибербезопасности Sophos, часто встречаются жалобы на фальсификации результатов голосования.

И Exploit, и XSS заявляют, что абсолютно демократически выбирают победителей конкурса. Заявки, соответствующие требованиям (не дисквалифицируемые), выставляются на голосование, к участию в котором приглашаются все пользователи форума. Но процессу, ожидаемо, не хватает прозрачности, и неясно, какой вес имеют отдельные голоса. Есть мнения, что в итоге баснословные призы получают прокси самих админов. Так, админ Exploit писал у себя на форуме, что «поскольку нередки случаи мошенничества и подтасовки голосов… окончательное решение будет принимать команда форума и я, в частности; мы обязательно учтём результаты общего голосования».

А вы как, знали о таких конкурсах? Что о них думаете?

Telegram-канал со скидками, розыгрышами призов и новостями IT 💻

Теги:

• безопасность
• статьи
• конкурсы
• хакеры
• ruvds_статьи

Хабы:

• Блог компании RUVDS.com
• Информационная безопасность
• Программирование
• Контент и копирайтинг

Источник