Маркус Хатчинс — чёрно-белая шляпа

Вряд ли в мире много хакеров, которые ни разу в жизни не думали о “темной стороне” кибербеза — почему бы немного не поблечить в кризис и так не очень хорошо оплачиваемой сферы ИБ, да? Гораздо меньше людей, кто заходил в это поле далеко и сумел выйти обратно. Все вспомнят легенду, Митника, но есть примеры и среди наших современников.

Маркус Хатчинс, хакер 1994 года выпуска, рос в сельской местности на юго-западе Англии. Еще до обретения собственной ПеКарни в 13 лет, Хатчинс ломал школьные компы для классической цели подростка — поставить туда видеоигры. Через год владения своим ПК, он уже писал код на Ассемблере, C, C++, PHP и Бэйсике. Увлечение низкоуровневыми языками привело его любопытный ум к покрытому завесой тайн миру малвари, а далее, как обычно — на дарк-форумы.

Свою первую малварь он написал и выложил на форум в 14 лет — стилер, кравший данные из Internet Explorer. В 15 он уже собрал свой первый ботнет из 8000 машин. На форумах другие хакеры за пользование такими вещами обычно платили, и малолетний Хатчинс начал потихоньку зарабатывать, не чувствуя в этом тогда, по его словам, ни намека на киберпреступность.

Скилл парня в разработке малвари, как и его репутация, росли, и в 16 лет он получил заказ на создание руткита для продажи. Продажи заказчик брал на себя в обмен на 50% от дохода. Хатчинс согласился и дело пошло — тысячи зеленых в BTC, но ни слова домашним. Видимо, начали закрадываться мысли о том, что это уже не совсем белая тема.

Через год заказчик вернулся с запросом обновления: нужно было добавить кейлоггер и веб-инжект. Смекнув, что кейлоггер и веб-инжект в паре больно уж попахивают атаками на банковские сайты, Хатчинс отказался, но заказчик, под ником Vinny воображавший себя кем-то из фильмов Скорсезе, напомнил тому, что адрес и дата рождения Хатчинса ему известны. В подарок на 17-й ДР пачку веществ хакеру отправил именно Vinny, и если он не будет работать, к нему приедет уже пачка агентов ФБР. Хатчинс согласился — так родился троян Kronos.

Проблемы хакера с “Винни”, накидывавшего ему задач под угрозой слива федералам, усугубляли его зависимость от веществ. Универ стал отмазкой, позволившей ему со временем практически полностью забросить работу над Кроносом. В 19 лет он окончательно ушел из вводившей его в тревогу даркнет-тусовки и начал вести анонимный блог MalwareTech, где делился знаниями по обратной разработке руткитов, в т.ч. Кроноса, о ведущей роли в создании которого скромно умалчивал.

Блог заметил гендир ИБ-конторы Kryptos Logic, куда в итоге Хатчинса взяли на работу. С полным деаноном. Работая там в 2016, хакер помог оставить DDoS-атаку ботнета Mirai на банк — помог свой опыт с ботнетами. Но самое главное событие в жизни Хатчинса случилось через год — в мае 2017 на все компьютеры планеты обрушилась одна из крупнейших кибератак, рансоварный червь WannaCry, заразивший за один первый час атаки 230 000 машин в 150 странах мир.

Ковыряя образец WannaCry, наш герой заметил запросы от малвари в адрес домена, который не был зарегистрирован. Зарегав его с целью мониторинга поведения червя, хакер обнаружил, что не зареганный рандомный домен — не ошибка, а переключатель мертвеца. Авторы малвари рассчитывали отключить ее через регистрацию домена, когда это понадобится. Но их опередил Хатчинс, за что в первый же день получил волну DDoS-атак на этот домен, но все же смог его защитить.

Не успев отпраздновать победу, объявленного героем хакера повязали ФБР в обвинении по работе над Кроносом. За данные по другим хакерам обещали снизить срок до нуля. И если Винни он сдал бы легко, но ничего на него не было, то на других стучать он не хотел. ИБ-сообщество начало сбор донатов на залог, но доверия к ним было не много — некоторые донаты шли с краденных карт. В итоге за $30k его вытащили. Тяжбы шли 2 года, а адвокаты стоили больше $1 млн, но суд в итоге учел работу Хатчинса в ИБ уже после дарк-движа и ВНЕЗАПНО дал 1 год условки.