Основатель американской кибербезопасности компании Hold Security Алекс Холден передал $25 000 из криптокошелька Solaris украинскому фонду «Жизнелюб». Но это не конец истории. Forbes узнал, что Холден собирается делать дальше.
В середине декабря в американском Forbes появилась история Робин Гуда в стиле киберпанк. Алекс Холден – американский эксперт по кибербезопасности с украинскими корнями – рассказал об взломе даркнет-маркетплейса Solaris. Холден предоставил доказательства того, что его компания Hold Security получила доступ к кошельку площадки для торговли наркотиками. Деньги из него перечислили украинскому благотворительному фонду, который помогает пожилым людям.
Обычно подобные акции остаются анонимными. Однако Холден говорит, что благотворительность – не конечная цель проникновения в инфраструктуру Solaris. При чем здесь российские хакеры, терроризирующие Украину и ее союзников, – интервью украинскому Forbes.
Forbes публикует отредактированную и сокращенную для ясности версию разговора.
Вы переправили 1,6 биткоинов ($25 000. – Forbes) из кошелька маркетплейса Solaris, торгующего наркотиками в даркнете, в фонд «Жизнелюб». Это была ваша первая подобная акция?
Да, это впервые. Обычно мы защищаем компании. Это уникальная ситуация.
Почему вы решили заявить об этом публично?
Мы стараемся не только переместить деньги, но действительно закрыть эту платформу, которая занимается наркотиками. Но не только из-за наркотиков, но и из-за ее связей с Killnet. Именно поэтому мы делаем такие акции. Мы ничего не собирались делать, до того как российская служба RT сообщила, что Solaris и Killnet заодно.
Что такое Killnet
Killnet – российская хакерская группировка, заявляющая о систематических атаках на страны, помогающие Украине в войне с Россией. На своих ресурсах Killnet объявляла, что осуществила DDoS-атаки на инфраструктуру спутниковой связи Starlink, взлом сайта ФБР, сайты американских аэропортов.
Жест Робин Гуда – это способ привлечь внимание к ситуации?
Да, привлечь внимание обеих сторон. Потому что только такой жест может разбудить массы в России, которые думают, что и наркобизнес, и кибератаки против Украины и всего мира, это нормально.
Все, что мы делаем, должно принести пользу. То, что этот маркетплейс может закрыться, – просто дело времени. Он уже закрывается. Но если этого никто не заметит, это будет другое дело.
Сам Solaris довольно сложен, это хорошо сделанная технологическая платформа. И мы не брали денег у пользователей этой платформы. То есть ни у наркоманов, покупающих наркотики, ни у магазинов. Мы взяли деньги именно из системы Solaris и переместили в благотворительный фонд.
Этот шаг сделан, чтобы поддержать людей. Возможно, не совсем корректный и правильный, но, надеюсь, ощутимый.
Что такое Solaris
Solaris – нелегальная площадка в даркнете для наркоторговцев и их клиентов, производящая расчеты в криптовалюте. Solaris – относительно новый наркотический русскоязычный игрок, который начал стремительно расти в мае 2022-го после закрытия крупнейшего маркетплейса даркнета Hydra, отмечает кибербезопасная компания Flashpoint. Аналитики Flashpoint предполагают, что Solaris могут управлять бывшие крупнейшие торговцы Hydra.
Как глубоко вы проникли в инфраструктуру Solaris? Сколько времени ушло на это?
Инсайдерский доступ появился в середине лета. Мы брали информацию о том, кто и где покупает наркотики. У нас есть доступ ко многим таким платформам. Но этот маркетплейс заинтересовал нас, когда его связали с Killnet.
Некоторые части инфраструктуры были доступны все время, некоторые – появляются и исчезают. У нас было все, от главных «ворот», которые видны пользователям в даркнете, до самых серверов с информацией, где спрятаны наркотики, переписка и внутренняя криптобиржа. Она считалась главным компонентом их финансовой деятельности.
Как именно взлом Solaris поможет бороться с Killnet?
Несколько месяцев назад лидер Killnet по имени KillMilk объявил, что благодарит команду Solaris за огромную помощь.
Solaris не известен ничем кроме наркотиков. Но эта группа людей тоже вытесняет конкурентов. Они «сняли» другой «русскоязычный наркопритон» RuTor. Но нам непонятно, почему вообще существует общий интерес и объединение между Solaris и Killnet.
Вопрос, который мы задаем достаточно открыто: используются ли, например, деньги или ресурсы Solaris для атак против объектов Killnet? Killnet использует их только технологически, знакомы ли они и на другой почве? Являются ли наркотики «двигателем» в этой сфере? И каково влияние и содействие российского правительства в этом деле?
Как я понимаю, наркотики в России запрещены. Там идет борьба с ними, и есть группы, точно поддерживаемые российским правительством. Связь неясна.
Один из лидеров Solaris – Tony Montana – известен по многим причинам, но также ранее оперировал платформой по продаже украденных кредитных карт Trumpʼs Dumps. В феврале этого года Trumpʼs Dumps был закрыт российским правительством из-за того, что они начали бороться с киберпреступностью.
Понятно, что киберпреступник Tony Montana может быть замешан не только в истории с ворованными кредитками, но и с наркотиками и другими вещами. Но почему он поддерживает правительство, лишившее его бизнеса?
Вопросов очень много. Некоторые вещи мы можем распутать, некоторые достаточно хорошо понять. Но остановив Solaris, мы, возможно, произведем небольшое (а может, и большое) изменение в Killnet. Например, у KillMilk уже спрашивали, почему группа имеет дело с наркоманами, если она против этого. И в группе начинается раздор.
Мы продолжаем расследование против Killnet. Но если KillMilk говорит, что Solaris – это огромная опора, почему не убрать эту опору?
Вы упоминали, что Solaris уже закрывается. Что им мешает просто сменить платформу, пойти поглубже и продолжить деятельность?
Они бы и пошли. Но мы хотим придать этому огласку. От них уйдут покупатели и наркоторговцы. Поэтому наш первый шаг – привлечь внимание общественности. Solaris недавно вернулся в рабочий режим не полностью.
Мы также собираемся опубликовать все взятые данные. За исключением одного компонента, чтобы нечистые на руку люди не могли извлечь финансовую выгоду из этой информации.
Что в этих данных могут обнаружить, скажем, другие специалисты по кибербезопасности?
Во-первых, исходные коды платформы. Посмотрев на них, специалисты могут понять, как все работает, найти больше уязвимостей, которые помогут им бороться с подобным кодом в дальнейшем.
Вторая часть – форум, сообщения киберпреступников и наркоманов. Мы выложим их внутреннюю переписку. Она не самая свежая, но дала нам понимание, кто стоит во главе. Там есть историческая информация о том, как работает платформа. И это тоже будет интересно.
Третье – информация о наркотиках и покупателях. Мы интересуемся торговлей наркотиками не потому, что она нелегальна. Наш интерес другой – отслеживать киберпреступников через места, где они покупают наркотики. Согласитесь, что человек не поедет за наркотиками в другой город. Она будет покупать их, возможно, не прямо у дома, но и не слишком далеко от него.
Это интересует нас в Solaris и многих других платформах. Мы собираем эту информацию, но киберэксперты тоже могут помочь. Они могут найти людей, которые этим пользуются, там кошельки с криптовалютой, псевдонимами.
Возможно, удастся найти в России больше людей, употребляющих наркотики. В конце концов это криминальная активность. И, может быть, русский народ поймет, сколько у них наркоманов, и начнет с ними бороться, вместо того чтобы воевать. Я, конечно, преувеличиваю. Но очень хочется, чтобы Россия занималась своими делами, а не нападала на Украину.
У вас есть союзники в борьбе с Solaris и Killnet?
Сейчас нет. Многие люди поддерживают это. Но, к сожалению, наркотиками и наркоманами из России никто не интересуется. Поэтому труднее найти союзников именно в этой борьбе.
Вы делились информацией с заинтересованными структурами в Украине или в странах-союзницах?
Да. С Killnet мы постоянно боремся. Очень многие наши клиенты ежедневно интересуются изменением позиций российских хакеров. Организация Killnet специфична в том, что они нападают, что они делают, что от них ожидать дальше. Killnet гораздо проще, чем они выглядят, но их очень трудно вычислить, потому что это многочисленная группа.
Killnet – единственная цель?
Это самая большая и громкая группа. Но мы следим за российской киберпреступностью вообще. Например, в 2014 году мы нашли одну из крупнейших хакерских группировок России, укравшую 1,2 млрд учетных записей, сломав почти полмиллиона компаний. За это Россия довольно сильно выступила против нашей организации.
Но мы постоянно боремся с русскими хакерами и действиями государства. Например, Россия разоблачена Америкой во взломе Yahoo, мы были первыми, кто это нашел и объявил.
Вы помогаете украинским государственным или негосударственным структурам в борьбе с русскими хакерскими группировками?
Мы постоянно это делаем. Мы недавно присутствуем в Украине – киевский офис открыли только в сентябре. Хотелось бы гораздо больше помогать Украине и ее гражданам.
Вы выросли в США. В чем ваша мотивация?
Я считаю себя экспертом и профессионалом по кибербезопасности. Мой интерес – помощь людям, пострадавшим от киберпреступности.
Я родился в самом центре Киева и действительно уехал давно. Но есть чувство долга перед Родиной. И есть чувство, что нужно попробовать что-нибудь сделать правильно. Правильно – помочь людям в Украине и остановить киберпреступность в мире. Звучит громко, но мы ищем, что мы можем сделать. Небольшие перемены все равно изменяют поток киберпреступности.
Вы нашли ошибку или неточность?
Оставьте отзыв для редакции. Мы учтем ваши замечания как можно скорее.