Засновник американської кібербезпекової компанії Hold Security Алекс Холден передав $25 000 з криптогаманця Solaris українському фонду «Життєлюб». Але це не кінець історії. Forbes дізнався, що Холден збирається робити далі.
⚡️Даруємо 700 грн знижки на річну підписку на сайт Forbes. Діє з промокодом 700 до 28.04 Оформлюйте зараз за цим посиланням
В середині грудня на американському Forbes з’явилася історія Робін Гуда у стилі кіберпанк. Алекс Холден – американський експерт із кібербезпеки з українським корінням – розповів про злам даркнет-маркетплейсу Solaris. Холден надав докази того, що його компанія Hold Security отримала доступ до гаманця майданчика для торгівлі наркотиками. Гроші із нього перерахували українському благодійному фонду, що допомагає літнім людям.
Зазвичай подібні акції залишаються анонімними. Проте Холден каже, що благодійність – не кінцева мета проникнення у інфраструктуру Solaris. До чого тут російські хакери, що тероризують Україну та її союзників, – інтерв’ю українському Forbes.
Forbes публікує відредаговану та скорочену для ясності версію розмови.
Ви переправили 1,6 біткоїни ($25 000. – Forbes) з гаманця маркетплейса Solaris, що торгує наркотиками у даркнеті, у фонд «Життєлюб». Це була ваша перша подібна акція?
Так, це вперше. У звичайному світі ми захищаємо компанії. Це унікальна ситуація.
Чому ви вирішили заявити про це публічно?
Ми намагаємося не лише перемістити гроші, а й справді закрити цю платформу, яка займається наркотиками. Але не лише через наркотики, а й через її звʼязки з Killnet. Саме через це ми робимо такі акції. Ми нічого не збиралися робити, до того як російська служба RT повідомила, що Solaris і Killnet заодно.
Що таке Killnet
Killnet – російське хакерське угрупування, що заявляє про систематичні атаки на країни, які допомагають Україні у війні з Росією. На своїх ресурсах Killnet оголошувала, що здійснила DDoS-атаки на інфраструктуру супутникового звʼязку Starlink, злам сайту ФБР, сайти американських аеропортів тощо.
Жест Робін Гуда – це спосіб привернути увагу до ситуації?
Так, привернути увагу обох сторін. Тому що тільки такий жест може розбудити маси в Росії, які думають, що і наркобізнес, і кібератаки проти України та всього світу, це нормально.
Все, що ми робимо, має принести користь. Те, що цей маркетплейс може закритися, – просто справа часу. Він уже закривається. Але якщо цього ніхто не помітить, це буде інша справа.
Сам Solaris досить складний, це добре зроблена технологічна платформа. І ми не брали грошей у користувачів цієї платформи. Тобто ні у наркоманів, які купують наркотики, ні у магазинів. Ми взяли гроші саме із системи Solaris та перемістили до благодійного фонду.
Цей крок зроблено, щоб підтримати людей. Можливо, не зовсім коректний і правильний, але, сподіваюся, відчутний.
Що таке Solaris
Solaris – нелегальний майданчик у даркнеті для наркоторговців та їхніх клієнтів, що проводить розрахунки у криптовалюті. Solaris – відносно новий наркотичний російськомовний гравець, який почав стрімко зростати у травні 2022-го після закриття найбільшого маркетплейсу даркнету Hydra, зазначає кібербезпекова компанія Flashpoint. Аналітики Flashpoint припускають, що Solaris можуть керувати колишні найбільші торгівці із Hydra.
Наскільки глибоко ви проникли в інфраструктуру Solaris? Скільки часу на це пішло?
Інсайдерський доступ зʼявився в середині літа. Ми брали інформацію про те, хто та де купує наркотики. У нас є доступ до багатьох таких платформ. Але саме цей маркетплейс зацікавив нас, коли його повʼязали із Killnet.
Деякі частини інфраструктури були доступні весь час, деякі – зʼявляються і зникають. У нас було все, від головних «воріт», які видно користувачам у даркнеті, до самих серверів з інформацією, де заховані наркотики, листування та внутрішньої криптобіржі. Вона вважалася головним компонентом їхньої фінансової діяльності.
Як саме злам Solaris допоможе боротися з Killnet?
Кілька місяців тому лідер Killnet на імʼя KillMilk оголосив, що він дякує команді Solaris за величезну допомогу.
Solaris не відомий нічим крім наркотиків. Але ця група людей також витісняє конкурентів. Вони «зняли» інший «російськомовний наркопритон» RuTor. Але нам незрозуміло, чому взагалі існує спільний інтерес та обʼєднання саме між Solaris та Killnet.
Питання, яке ми ставимо досить відкрито: чи використовуються, наприклад, гроші або ресурси Solaris для атак проти обʼєктів Killnet? Killnet використовує їх тільки технологічно, чи вони знайомі і на іншому підґрунті? Чи є наркотики «двигуном» у цій сфері? І який вплив та сприяння російського уряду у цій справі?
Наскільки я розумію, наркотики у Росії заборонені. Там триває боротьба з ними, і є групи, які точно підтримуються російським урядом. Звʼязок незрозумілий.
Один з лідерів Solaris – Tony Montana – відомий з багатьох причин, але також він раніше оперував платформою з продажу крадених кредитних карток Trumpʼs Dumps. У лютому цього року Trumpʼs Dumps було закрито російським урядом через те, що вони почали боротися з кіберзлочинністю.
Зрозуміло, що кіберзлочинець Tony Montana може бути замішаний не лише в історії з краденими кредитками, а й з наркотиками та іншими речами. Але чому він підтримує уряд, що позбавив його бізнесу?
Запитань дуже багато. Деякі речі ми можемо розплутати, деякі – досить добре зрозуміти. Але зупинивши Solaris, ми, можливо, зробимо невелику (а може й велику) зміну в Killnet. Наприклад, у KillMilk вже питали, чому група має справу з наркоманами, якщо вона проти цього. І в групі починається розбрат.
Ми продовжуємо розслідування проти Killnet. Але якщо KillMilk каже, що Solaris – це величезна опора, чому не прибрати цю опору?
Ви згадували, що Solaris вже закривається. Що їм заважає просто змінити платформу, піти глибше та продовжити діяльність?
Вони й пішли б. Але ми хочемо надати цьому розголосу. Від них підуть покупці та наркоторговці. Тому наш перший крок – привернути увагу громадськості. Solaris тільки недавно повернувся в робочий режим не повністю.
Ми також збираємось опублікувати всі дані, які взяли. За винятком одного компонента, щоб нечисті на руку люди не могли отримати фінансову вигоду з цієї інформації.
Алекс Холден, засновник американської кібербезпекової компанії Hold Security Фото з особистого архіву
Що в цих даних можуть виявити, скажімо, інші фахівці з кібербезпеки?
По-перше, вихідні коди платформи. Подивившись на них, фахівці можуть зрозуміти, як усе працює, знайти більше вразливостей, які допоможуть їм боротися з подібним кодом надалі.
Друга частина – форум, повідомлення кіберзлочинців та наркоманів. Ми викладемо їхнє внутрішнє листування. Воно не найсвіжіше, але дало нам розуміння, хто стоїть на чолі. Там є історична інформація про те, як працює платформа. І це також буде цікаво.
Третє – інформація про наркотики та покупців. Ми цікавимося торгівлею наркотиками не тому, що вона нелегальна. Наш інтерес інший – відстежувати кіберзлочинців через місця, де вони купують наркотики. Погодьтеся, що людина не поїде за наркотиками до іншого міста. Вона купуватиме їх, можливо, не прямо біля будинку, але й не дуже далеко від нього.
Це цікавить нас у Solaris та багатьох інших платформах. Ми збираємо цю інформацію, але кіберексперти також можуть допомогти. Вони можуть знайти людей, які цим користуються, там є гаманці із криптовалютою, псевдоніми.
Можливо, вдасться знайти більше людей у Росії, які вживають наркотики. Зрештою це кримінальна активність. І, можливо, російський народ зрозуміє, скільки в них наркоманів, і почне з ними боротися, замість того щоб воювати. Я, звісно, перебільшую. Але дуже хочеться, щоб Росія займалася своїми справами, а не нападала на Україну.
У вас є союзники у боротьбі з Solaris та Killnet?
На даний момент немає. Багато людей підтримує це. Але, на жаль, наркотиками та наркоманами з Росії ніхто не цікавиться. Тому складніше знайти союзників саме у цій боротьбі.
Ви ділилися інформацією із зацікавленими структурами в Україні чи країнах-союзницях?
Так. З Killnet ми постійно боремося. Дуже багато наших клієнтів щодня цікавляться зміною позицій російських хакерів. Організація Killnet специфічна в тому, на що вони нападають, що вони роблять, що від них очікувати далі. Killnet набагато простіші, ніж вони виглядають, але їх дуже важко вирахувати, тому що це численна група.
Killnet – єдина ціль?
Це найбільша та найгучніша група. Але ми стежимо за російською кіберзлочинністю взагалі. Наприклад, у 2014 році ми знайшли одне з найбільших хакерських угруповань Росії, яке вкрало 1,2 млрд облікових записів, зламавши майже півмільйона компаній. За це Росія досить сильно виступила проти нашої організації.
Але ми постійно боремося з російськими хакерами та діями держави. Наприклад, Росія викрита Америкою у зламі Yahoo, ми були першими, хто це знайшов і оголосив.
Ви допомагаєте українським державним чи недержавним структурам у боротьбі з російськими хакерськими угрупованнями?
Ми постійно це робимо. Ми нещодавно присутні в Україні – київський офіс відкрили лише у вересні. Хотілося б набагато більше допомагати Україні та її громадянам.
Ви виросли у США. У чому ваша мотивація?
Я вважаю себе експертом та професіоналом у кібербезпеці. Мій інтерес – допомога людям, які постраждали від кіберзлочинності.
Я народився в самому центрі Києва і справді поїхав давно. Але є почуття обовʼязку перед Батьківщиною. І є почуття, що потрібно спробувати щось зробити правильно. Правильно – це допомогти людям в Україні та зупинити кіберзлочинність у світі. Звучить голосно, але ми шукаємо, що можемо зробити. Невеликі зміни все одно змінюють потік кіберзлочинності.
Ви знайшли помилку чи неточність?
Залиште відгук для редакції. Ми врахуємо ваші зауваження якнайшвидше.
