Lizardon — коллекционер поневоле. Часть 2

Выгорание подкрадывается незаметно, особенно когда работаешь не просто на 2 работах, а на кардинально противоположных с точки зрения закона.

Так Ван дер Стап изо дня в день копил тревожные и депрессивные мысли о своем будущем, когда его наконец поймают, чего он сам уже практически и желал. Хакерская активность уже не приносила былого удовольствия, а стала рутиной, даже если очень эффективной — безопасники считали хакера под ником Lizardon одним из самых быстрых, проводивших атаку менее чем за полчаса.

А пока его не приняли в свои объятия федералы, Ван дер Стап начал потихоньку «компенсировать плохие вещи, что натворил, хорошими». В конце 2021 он начал сообщать компаниям о новых найденных им уязвимостях в их инфраструктуре. В одном случае это была некоммерческая организация, помогавшая людям с зависимостями, в другом — управляющие водо- и электроснабжением компании, одна из которых даже отправила шатавшемуся между этичным и криминальным хакеру коробку с подарками и благодарственное письмо.

Примерно в то же время он начал работать и в ИБ-компании Hadrian Security (да, он сначала криминальные кибератаки совершал и только затем — этичные), куда его взял сооснователь и его наставник в программе Hack_Right. В начале 2022 он начал сотрудничать с голландским институтом раскрытия уязвимостей, где быстро обрел репутацию самого продуктивного хакера, подробно описывавшего найденные им дефекты. Благодаря его работе, по словам директора института, десятки тысяч компаний вовремя защитили свои данные.

Сопротивляться навязчивым мыслям эти данные заиметь Ван дер Стап тоже не мог. В феврале 2022 ему написал старый знакомый, который нашел уязвимость в инфре одного из крупнейших телеком-провайдеров Англии, Virgin Media O2, с 49 млн клиентов. Знакомый не мог сам проэксплуатировать уязвимость и потому просил помощи у Ван дер Стапа. Тот несколько месяцев игнорировал его, но в итоге, после буквально умоляющих сообщений, сломался и за 3 минуты проник на сервер компании со старым софтом.

Данные более 20 млн клиентов хранились без шифрования и хакер забрал их вместе с бэкапами и логами. Потребовал у компании за молчание $750 тыс в течение 3 суток. Те тихо отдали 24.7 BTC ($764 тыс на тот момент) и закрыли рот всем сотрудникам, кому Ван дер Стап писал, кроме безопасников. Это был самый большой улов хакера, 1/5 из которого он поделился со знакомым, а остальное оставил на криптокошельке и забил. На киберкриминал в целом.

Но опять же, обратного пути уже не было, и после такой атаки полиция начала мониторить его аккаунт на RaidForums, при регистрации которого он использовал email со своим именем в адресе. С помощью записей с этого аккаунта на форуме после его падения силовики связали один и тот же набор номеров телефонов, IP-адресов, криптокошельков и почт, использовавшихся в схожих атаках. Даже сообщения жертвам часто повторялись слово в слово — даже стилометрии никакой не надо.

Так, став главным подозреваемым в делах Lizardon и других его ников, Ван дер Стап целых 2 года находился под наблюдением. Силовики Нидерландов выбили ордер на установку кейлоггера в его клавиатуру и микрофон в комнате (интересно, сколько пользы пользы он принес в комнате того самого тихого парня с последней парты). Осталось лишь дождаться, пока он залогинится на киберкриминальном форуме через компьютер с зашифрованными в выключенном состоянии дисками.

Таким днем стал 22 января 2023. Lizardon залогинился на BreachForums и, как только это произошло, силовики в масках ворвалась в дом и скрутили хакера. Изъяли жесткие диски с 33 ТБ данных, скрупулезно раскинутых по 4000 папок, а еще 600 тыс евро в наличке и крипте. Вину он признал и в ноябре получил 4 года тюрьмы, несмотря на просьбы прокурора, желавшего сделать из дела послание другим безопасникам, присматривающимся к “тёмной стороне”. Суд мотивировал смягчение сотрудничеством хакера, его возрастом и состоянием психики.