Маркус Хатчинс
Британский исследователь и эксперт по безопасности ИТ (родился в 1994 г.)

Маркус Хатчинс
Рожденный1994 (возраст 29–30)
Бракнелл , Англия
Другие именаВредоносное ПОТехнологии
ЗанятиеИсследователь компьютерной безопасности
ИзвестныйОбнаружение аварийного выключателя WannaCry
Веб-сайтmalwaretech.com

Маркус Хатчинс (родился в 1994 году), также известный в сети как MalwareTech , — британский исследователь в области компьютерной безопасности, известный тем, что остановил атаку вируса-вымогателя WannaCry . [1] [2] Он работает в компании по кибербезопасности Kryptos Logic. [3] [4] Хатчинс родом из Илфракомба в Девоне . [5]

Ранний период жизни

Хатчинс — старший сын Джанет Хатчинс, шотландской медсестры, и Десмонда Хатчинса, ямайского социального работника. Около 2003 года, когда Хатчинсу было девять лет, родители переехали с семьей из городского Бракнелла , недалеко от Лондона, в сельский Девон . [6] Хатчинс рано проявил способности к компьютерам и рано освоил простые навыки взлома, такие как обход защиты школьных компьютеров для установки программного обеспечения для видеоигр. [6] Кроме того, он потратил время на обучение на спасателя на серфинге. [6]

Он стал участвовать в онлайн-форуме, который пропагандировал разработку вредоносных программ , скорее как способ продемонстрировать свои навыки друг другу, а не в гнусных целях. Когда ему было около 14 лет, он создал свой собственный вклад, похититель паролей, основанный на функции автозаполнения Internet Explorer , который был одобрен форумом. Он проводил большую часть своего времени в этом сообществе, пока его школьные занятия не начали давать сбои. [6] Когда школьные системы были скомпрометированы, школьные власти заявили, что Хатчинс был виновником. Хотя он отрицал какую-либо причастность, школьные власти навсегда отстранили его от использования компьютеров в школе, что еще больше подтолкнуло Хатчинса чаще пропускать школу и проводить больше времени на форумах вредоносных программ. [6]

Карьера

Комплект UPAS и Kronos

Примерно в это же время оригинальные форумы вредоносных программ были закрыты, и Хатчинс перешел в другое хакерское сообщество, HackForums. В этом новом форуме от участников ожидалось больше мастерства, демонстрируя владение ботнетом . Хатчинс, которому тогда было 15 лет, успешно создал ботнет из 8000 компьютеров для HackForums, обманом заставив пользователей BitTorrent запустить его поддельные файлы, чтобы взять под контроль их машины. [6] Благодаря этому эксплойту Хатчинс увидел финансовые возможности для своих хакерских навыков, хотя в то время он не чувствовал, что они связаны с каким-либо типом киберпреступности , как он заявил в интервью 2020 года. [6] Эти действия включали настройку «призрачного» веб-хостинга для других на HackForums для «всех нелегальных сайтов», за исключением детской порнографии, и создание собственного вредоносного ПО, часто основанного на оценке того, как работают чужие руткиты . [6]

По словам Хатчинса в более поздних интервью и в его соглашении о признании вины, когда ему было около 16 лет, когда он приобрел репутацию в хакерских кругах за свое собственное вредоносное ПО, к нему обратилась онлайн-сущность, которую он знал только как «Винни», которая попросила его написать хорошо поддерживаемый, многогранный руткит, который можно было бы продавать на нескольких хакерских торговых площадках, при этом Хатчинсу выплачивалась бы половина прибыли от каждой продажи. Хатчинс согласился и к середине 2012 года закончил написание UPAS Kit, названного в честь ядовитого дерева анчар . [6] В этот период Хатчинс однажды жаловался в своих разговорах с Винни на нехватку хорошей травы в стране. Винни попросил его адрес, который Хатчинс дал, и позже, на свой 17-й день рождения, он получил посылку, полную различных рекреационных наркотиков. [6] Продажи комплекта UPAS принесли Хатчинсу тысячи долларов через биткоины , что позволило ему бросить школу и жить комфортной жизнью, хотя он и скрывал характер своей работы от своей семьи. [6]

Винни вскоре вернулся к Хатчинсу, чтобы попросить его написать UPAS Kit 2.0, в частности, добавив кейлоггер и веб-инжект для страниц с формами браузера. В этот момент Хатчинс понял, что эти функции, вероятно, предназначены для отслеживания финансовых транзакций на банковских веб-сайтах, и, таким образом, он бы способствовал киберпреступности, если бы написал обновление. [6] Хатчинс сказал Винни, что он отказался писать такой код, но Винни удержал его из-за того, что знал его дату рождения и адрес из своего предыдущего подарка в виде рекреационных наркотиков и был готов предоставить их ФБР, если Хатчинс не будет сотрудничать. [6] Хатчинс достиг соглашения о добавлении кейлоггера в UPAS Kit 2.0, но исключил все, что связано с веб-инжектом, на что ушло еще девять месяцев.

После этого Винни сказал ему, что он нанял другого программиста, чтобы обновить UPAS Kit с помощью веб-инъекций, и теперь хочет, чтобы Хатчинс и этот программист работали вместе, чтобы объединить код в один пакет. Хотя он был этически раздираем этим решением, Хатчинс решил продолжить работать с Винни, чтобы, по крайней мере, убедиться, что ему заплатят за уже проделанную работу, хотя и откладывал ее так долго, как мог. [6] Новый код был завершен к июню 2014 года, и когда Винни начал продавать его в даркнете, он переименовал UPAS Kit 2.0 в Kronos , в честь мифологического греческого титана . [6]

MalwareTech и логика Kryptos

Хатчинс поступил в общественный колледж [a] и боролся между завершением своего последнего года работы и исправлениями для Kronos, которые требовал Винни, что еще больше осложнялось наркотической зависимостью, которую он приобрел, работая над Kronos. [6] В это время он познакомился в сети через хакерские форумы с человеком, которого он знал как «Рэнди». Рэнди, который жил в Лос-Анджелесе, искал банковский руткит, такой как Kronos, о котором Хатчинс не упоминал, но это привело к более длительным разговорам, в ходе которых выяснилось, что у Рэнди были более филантропические цели. Чтобы помочь Рэнди, Хатчинс предложил ему помочь с торговлей биткойнами. Однако однажды ночью из-за отключения электроэнергии Хатчинс потерял более 5000 долларов США биткойнов Рэнди, а взамен Хатчинс раскрыл свою связь с Kronos и предложил Рэнди бесплатную копию. После того, как они заключили сделку, Хатчинс понял, какую ошибку он совершил, рассказав об этом незнакомцу, и начал опасаться, что к нему обратятся сотрудники правоохранительных органов. [6]

Хатчинс окончил общественный колледж в 2015 году и окончательно завязал со своей наркотической зависимостью . Он откладывал запросы от Винни на обновления Kronos, утверждая, что он занят учебой, пока вскоре запросы не прекратились, как и дальнейшие платежи от Винни. [6] После нескольких месяцев страха он решил начать анонимный блог , посвященный глубокому анализу взломов, который он назвал MalwareTech, на основе того, что он узнал, оценивая чужие руткиты, и своей собственной работы над UPAS Kit и Kronos, хотя он ничего не говорил о своей связи с этими руткитами. [6] По мере появления новых руткитов Хатчинс начал их обратную разработку и писать подробности на MalwareTech, такие как ботнет Kelihos и Necurs , и написал свой собственный сервис отслеживания ботнетов, который мог присоединяться к ботнету и отслеживать, какие операции выполняли контроллеры ботнетов. [6] Его труды привлекли внимание генерального директора Kryptos Logic Салима Нейно, который предложил писателю работу.

Хатчинс согласился; продолжая работать в Илфракомбе, он занимался обратным проектированием новых ботнетов и предоставлял подробную информацию Kryptos Logic, одновременно работая над высокоуровневой функциональностью, которую он обнаружил для MalwareTech, в то время как Kryptos Logic следил за ботнетами на предмет текущих угроз кибербезопасности. [6] Благодаря этим отношениям репутация Хатчинса через его личность в MalwareTech росла, и бывший хакер АНБ назвал его «ученым по реверсированию» , хотя лишь несколько коллег в Kryptos знали о его настоящей личности. [6] Хатчинс и Kryptos Logic сыграли важную роль в остановке одного ответвления ботнета Mirai / DDoS -атаки в 2016 году, которая поразила Lloyds Bank , [7] [8] поскольку Хатчинс смог умолять хакера, стоявшего за ней, после того, как он его выследил, с помощью собственного опыта убедить его остановить ботнет. [6]

WannaCry

Атака вируса - вымогателя WannaCry началась около 12 мая 2017 года; используя эксплойт в Microsoft Windows ' Server Message Block , он быстро распространился из своей первоначальной точки внедрения, которая, как полагают, находилась в Северной Корее, на более чем 230 000 компьютеров в 150 странах в течение дня. Зараженные компьютеры, по-видимому, были заблокированы для использования и могли быть разблокированы только в том случае, если пользователь отправлял определенное количество биткоинов на указанный счет. [9] [10]

Хатчинс узнал о WannaCry днем ​​12 мая, и хотя он был в отпуске, он начал обратную разработку кода из своей спальни. Он обнаружил, что вредоносное ПО было привязано к странно выглядящему доменному имени , что предполагало, что вредоносное ПО будет частью структуры управления и контроля, распространенной в ботнетах, но, к его удивлению, доменное имя не было зарегистрировано. Он быстро зарегистрировал домен и настроил в нем серверы в Kryptos Logic, чтобы они действовали как приманки , позволяя им отслеживать зараженные компьютеры. В то время как червь WannaCry продолжал распространяться в течение следующих нескольких часов, исследователи безопасности обнаружили, что, поскольку Хатчинс зарегистрировал доменное имя в то же время, WannaCry не будет выполняться дальше, фактически став выключателем червя . [6] [11] Хатчинс и Криптос, вместе с Национальным центром кибербезопасности Великобритании , провели следующие несколько дней, защищая серверы-приманки от дополнительных DDoS-атак, некоторые из которых были перезапущены текущими ботнетами Mirai, чтобы убедиться, что killswitch остается активным, в то время как Microsoft и другие специалисты по безопасности поспешили исправить эксплойт в блоке сообщений сервера и выдать его конечным пользователям. [6] [12] [13] Отдельные усилия французских исследователей кибербезопасности обнаружили метод разблокировки и расшифровки пострадавших компьютеров без необходимости платить выкуп. [14]

Работа Хатчинса под псевдонимом MalwareTech по остановке WannaCry получила высокую оценку, но это привело к тому, что в последующие дни пресса выяснила личность Хатчинса, стоящего за MalwareTech. [15] [16] Хатчинс старался избегать прессы, включая более навязчивые таблоиды, которые опубликовали его имя и адрес, связанные с именем MalwareTech, [17] хотя и согласился дать одно интервью Associated Press под своим настоящим именем, пытаясь развеять создавшееся у него впечатление «героя». [18] В этом освещении он умолчал о своей прошлой истории, просто заявив, что получил работу в Kryptos Logic благодаря своим навыкам в программном обеспечении и хобби в блогах MalwareTech, которые он развил во время учебы. [17] Он получил своего рода статус знаменитости в мире кибербезопасности за свои действия против WannaCry, и в августе того же года планировалось, что он посетит конференцию по кибербезопасности DEF CON 2017 в Лас-Вегасе . [6]

Арест

3 августа 2017 года Хатчинс был арестован ФБР, когда он готовился вернуться в Англию с DEF CON по шести федеральным обвинениям, связанным с хакерством , в Окружном суде США по Восточному округу Висконсина за создание и распространение Kronos в 2014 и 2015 годах. [19] [20] [21] На основании документов, полученных Vice через запросы Закона о свободе информации , ФБР связало Хатчинса с Kronos после того, как они изъяли активы AlphaBay в июле 2017 года, где они нашли доказательства по крайней мере одной продажи Kronos. [22] ФБР получило копии его разговоров с Рэнди с другого изъятого сервера даркнета до AlphaBay, чтобы доказать его связь с программным обеспечением, [22] в чем он признался во время допроса. [6]

Хатчинса держали в тюрьме Лас-Вегаса всю ночь после того, как он позвонил Нейно и рассказал о своем положении. Нейно предупредил своих сообщников, что вызвало цепочку оповещений в сообществе кибербезопасности о ситуации Хатчинса, хотя многие ошибочно полагали, что арест был вызван атаками WannaCry. Большое количество работников кибербезопасности и хакеров сплотились, чтобы помочь ему внести залог за Хатчинса, хотя, поскольку некоторые из взносов включали украденные кредитные карты и биткойны, это вызвало дополнительные подозрения относительно деятельности Хатчинса; в конечном итоге Тара Уилер и ее муж Девиант Оллам смогли внести залог и помочь Хатчинсу найти место для проживания в Лос-Анджелесе, поскольку ему было запрещено покидать страну. [6]

На суде он не признал себя виновным по предъявленным обвинениям и был помещен под домашний арест в Лос-Анджелесе, изначально со строгими ограничениями комендантского часа и мониторингом по GPS , но они были сняты через несколько месяцев. [23] [24] Хатчинс намеревался использовать свое «невиновность» как часть сделки о признании вины с ФБР, а не как отрицание какой-либо причастности к Kronos, хотя некоторые в хакерском сообществе восприняли это как его опровержение и открыто боролись за освобождение Хатчинса по этому иску. [6]

В начале 2018 года ФБР начало вести переговоры с Хатчинсом, поскольку они хотели получить информацию о Винни и нескольких других хакерах, которых он знал, предлагая сократить его приговор до нулевого тюремного срока. Хатчинс не смог предоставить никакой существенной информации о Винни и не захотел раскрывать информацию о других хакерах, отказавшись от предложения. [6] К июню 2018 года ФБР добавило четыре обвинения в его обвинительное заключение, что, как сказали Хатчинсу его адвокаты, было ответом на отказ от их предложения. [25]

19 апреля 2019 года Хатчинс признал себя виновным по двум из десяти обвинений, в сговоре с целью совершения мошенничества с использованием электронных средств связи, а также в распространении, продаже, продвижении и рекламе устройства, используемого для перехвата электронных сообщений. [26] В его заявлении была цитата: «Я сожалею об этих действиях и принимаю на себя полную ответственность за свои ошибки. Повзрослев, я с тех пор использую те же навыки, которые я использовал не по назначению несколько лет назад, в конструктивных целях». [27] Хатчинсу грозило до пяти лет тюрьмы и 250 000 долларов штрафа по двум обвинениям. [28] 26 июля 2019 года судья Джозеф Петер Штадтмюллер приговорил Хатчинса к отбытию срока и одному году надзорного освобождения, признав, что Хатчинс «перешел от использования своих навыков в преступных целях к полезному использованию задолго до того, как он предстал перед судом. [29] [6]

Согласно профилю Wired за 2020 год , Хатчинс заявил, что, хотя он предпочел бы остаться в Лос-Анджелесе, он ожидал, что после года освобождения под надзором его депортируют обратно в Соединенное Королевство, поскольку он давно просрочил свою туристическую визу . [6]

Примечания

  1. ^ В Англии общественные колледжи могут предлагать квалификации средней школы , т. е. A-level , техническую сертификацию и/или степени высшего образования .

Ссылки

  1. ^ Гиббс, Сэмюэл (22 мая 2017 г.). «Хакеры WannaCry все еще пытаются возродить атаку, говорит случайный герой». The Guardian . ISSN  0261-3077 . Получено 6 августа 2017 г. .
  2. ^ Weise, Elizabeth (23 мая 2017 г.). «Его жизнь стала странной после спасения Интернета: герой программ-вымогателей Маркус Хатчинс». USA TODAY . Получено 6 августа 2017 г.
  3. ^ Кокс, Джозеф (3 августа 2017 г.). «Исследователь, остановивший вирус-вымогатель WannaCry, задержан в США после Def Con». Motherboard . Получено 6 августа 2017 г.
  4. ^ «Залог в размере 30 000 долларов установлен для британского киберэксперта Маркуса Хатчинса». BBC News. 5 августа 2017 г. Получено 6 августа 2017 г.
  5. ^ «Герой WannaCry Маркус Хатчинс «признал создание кода для сбора банковских данных» — сообщил суд». The Telegraph . Press Association. 5 августа 2017 г. ISSN  0307-1235 . Получено 16 апреля 2018 г. .
  6. ^ abcdefghijklmnopqrstu vwxyz aa ab ac ad ae af Гринберг, Энди (12 мая 2020 г.). «Признания Маркуса Хатчинса, хакера, спасшего Интернет». Wired . Архивировано из оригинала 12 мая 2020 г. Получено 4 октября 2023 г.
  7. ^ Кокс, Джозеф (3 октября 2016 г.). «Вот живая карта заражения мира вредоносным ПО Mirai». Vice . Получено 16 мая 2020 г. .
  8. ^ Франчески-Биккьераи, Лоренцо (29 ноября 2016 г.). «Два хакера, по всей видимости, создали новый огромный ботнет Интернета вещей». Vice . Получено 16 мая 2020 г. .
  9. ^ "Кибератака: Европол заявляет, что она была беспрецедентной по масштабу". BBC News . 13 мая 2017 г. . Получено 13 мая 2017 г. .
  10. ^ ««Беспрецедентная» кибератака затронула 200 000 человек по меньшей мере в 150 странах, и угроза растёт». CNBC. 14 мая 2017 г. Архивировано из оригинала 15 мая 2017 г. Получено 16 мая 2017 г.
  11. ^ Ньюман, Лили Хей (13 мая 2017 г.). «Как случайный «Kill Switch» замедлил массированную атаку программ-вымогателей в пятницу». Wired . Получено 16 мая 2020 г.
  12. ^ "Finding the kill switch to stop the spread of ransomware". ncsc.gov.uk . Архивировано из оригинала 23 марта 2019 года . Получено 21 мая 2017 года .
  13. Чешир, Том (17 мая 2017 г.). «Sky Views: Остановите игру в обвинения в кибератаках». Sky News . Получено 21 мая 2017 г.
  14. ^ Ошар, Эрик (19 мая 2017 г.). «Французские исследователи нашли способ разблокировать WannaCry без выкупа». Reuters . Получено 19 мая 2017 г.
  15. ^ Вайс, Элизабет (13 мая 2017 г.). «Как 22-летний парень непреднамеренно остановил всемирную кибератаку». USA Today . Получено 16 мая 2020 г.
  16. ^ Хомами, Надя; Солон, Оливия (13 мая 2020 г.). «„Случайный герой“ останавливает атаку программ-вымогателей и предупреждает: это еще не конец». The Guardian . Получено 13 мая 2020 г.
  17. ^ ab Khomami, Nadia (22 мая 2017 г.). «Герой атаки с использованием программ-вымогателей осуждает «сверхинвазивные» таблоиды». The Guardian . Получено 16 мая 2020 г.
  18. ^ Кирка, Даника (15 мая 2017 г.). «Интервью AP: Эксперт, отразивший кибератаку, говорит, что он не герой». Associated Press . Получено 15 мая 2020 г.
  19. Херн, Алекс; Левин, Сэм (3 августа 2017 г.). «Британец, остановивший атаку WannaCry, арестован из-за отдельных заявлений о вредоносном ПО». The Guardian . ISSN  0261-3077 . Получено 6 августа 2017 г.
  20. ^ Рам, Алия (5 августа 2017 г.). «Британский исследователь кибербезопасности предстает перед судом США». Financial Times . Получено 6 августа 2017 г.
  21. ^ Керр, Орин (3 августа 2017 г.). «Обвинение Kronos: является ли преступлением создание и продажа вредоносного ПО?». The Washington Post . Получено 4 августа 2017 г.
  22. ^ ab Wheeler, Marcy (7 сентября 2017 г.). «Почему ФБР на самом деле преследует исследователя, который остановил WannaCry?». Vice . Получено 16 мая 2020 г.
  23. ^ Томсон, Иэн (4 августа 2017 г.). «Убийца WannaCry Маркус Хатчинс не признает себя виновным в обвинениях в вредоносном ПО». The Register . Получено 6 августа 2017 г.
  24. ^ Фаривар, Сайрус (20 октября 2017 г.). «Судья: MalwareTech больше не находится под комендантским часом, мониторинг GPS [Обновлено]». Ars Technica . Получено 11 июня 2018 г. .
  25. ^ Хеллер, Майкл (8 июня 2018 г.). «Новое обвинение MalwareTech добавляет еще четыре обвинения». TechTarget . Получено 11 июня 2018 г.
  26. Восточный округ Висконсина (19 апреля 2019 г.). «Признание вины 19 апреля 2019 г.» . Получено 4 октября 2023 г. – через scribd.com.
  27. ^ Томсон, Иэн (19 апреля 2019 г.). «Убийца Wannacry Маркус Хатчинс признал себя виновным по двум пунктам обвинения в создании банковского вредоносного ПО». The Register . Получено 4 октября 2023 г. .
  28. ^ Палко Карас (20 апреля 2019 г.). «Он остановил глобальную кибератаку. Теперь он признал себя виновным в написании вредоносного ПО». The New York Times . Получено 4 октября 2023 г.
  29. ^ Морено, Иван (26 июля 2019 г.). «Британский киберэксперт по делу о вредоносном ПО не попадет в тюрьму». Washington Post . AP. Архивировано из оригинала 26 июля 2019 г. Получено 4 октября 2023 г.
Взято с "https://en.wikipedia.org/w/index.php?title=Marcus_Hutchins&oldid=1242521694"