Андрій Баранович (Sean Townsend) — білий хакер, від операцій якого дійсно горять дупи на росії. Ще з 90-х років він розвивав портал VX Heavens, присвячений вивченню вірусів. Цей проєкт проіснував майже двадцять років, його щомісяця відвідували 100К небайдужих до доволі вузької теми людей з усього світу. Однак у 2012 році МВС вилучила сервери проєкту.
Андрій Баранович (Sean Townsend) — білий хакер, від операцій якого дійсно горять дупи на росії. Ще з 90-х років він розвивав портал VX Heavens, присвячений вивченню вірусів. Цей проєкт проіснував майже двадцять років, його щомісяця відвідували 100К небайдужих до доволі вузької теми людей з усього світу. Однак у 2012 році МВС вилучила сервери проєкту.
Більш широкому колу Андрій став відомим у 2014-му, коли створив хакерську групу RUH8. Вона зламувала інформаційні системи російських військових частин, розвідки, регіональних урядів та верхньої палати російського парламенту.
Згодом Андрій разом з іншими українськими хактивістами об'єдналися в «Український кіберальянс». І тут не обійшлося без візитів поліції. До Андрія і його колег з альянсу у 2020-му приходили правоохоронці з обшуками, тому що вважали, що вони були причетними до зламу ІТ-системи Одеського аеропорту. Це так і не вдалося довести.
Ми записали велике інтерв’ю з Андрієм Барановичем. Він згадав, з чого починав свій шлях в кіберсвіті, як знайшов спосіб красти паролі й обходити двофакторку в «Приват24», розповів, як ламав акаунти важливих персон «ЛНР», які цілі обробляв разом із нашими військовими. Також поділився думками про те, чи з’явилися вже в Україні справжні кібервійська і що треба зробити для їхнього становлення.
І ще багато всього про злами та вразливості «Аерофлоту», «Київстару», «Дії». Про те, що сталося з засновником відомого кіберфоруму xxs. А також — який месенджер і який бекап — найнадійніший.
— Розкажи про себе. З чого ти починав? Чому вирішив, що хакінг — це твоє?
— Комп’ютери мене зацікавили ще до школи. Мені не треба було нічого вирішувати, як і багато моїх ровесників я відразу зрозумів, що з цим пристроєм мене обмежує лише власна фантазія. Проблема була лише в тому, що в країні морозива і розвиненого соціалізму, що переміг, комп’ютерів було ще менше, ніж сексу, навіть у містах-мільйонниках, таких як Донецьк. Зараз, коли телефон у кожного в кишені й підключений до мережі, вже складно уявити світ, у якому телефони були надійно прив’язані проводами до АТС, а доступ до комп’ютерів — переважно саморобок на кшталт Радіо, Синклерів і радянських виродків —доводилося вишукувати.
Через те що нормальної документації до цього не було, і ніяких мереж теж, то ігри з комп’ютером перетворювалися на хакінг (у первісному значенні цього слова). Потім, коли навчався на прикладній математиці, в середині 90-х з’явився доступ до ФІДО (міжнародна некомерційна комп’ютерна мережа, створена 1984 року — Ред.). Мене приваблювали «марні» завдання — обхід захисту (легального ПЗ практично не існувало), демодизайн і комп’ютерні віруси, які потім дуже надовго стануть моїм хобі.
Якщо не записувати у CV редагування зберігалок від комп’ютерних іграшок, то великий проєкт — це звичайно портал VX Heavens (МВС вилучило його сервери у 2012 році — Ред.), присвячений дослідженню комп’ютерних вірусів. Якщо говорити про мережевий хакінг «як у фільмах», то років п’ятнадцять тому «Приватбанк» почав програму баг-баунті, і я тут відразу знайшов спосіб красти паролі й обходити двофакторку в «Приват24». До того часу я встиг попрацювати мережевим адміністратором і програмістом.
— До речі, чому Sean Townsend? Ти колись розповідав, як цей нік народився?
— Мені потрібен був нік із паспортом, тому я взяв пошту «міністерства» інформації «ДНР», і вибрав там паспорт з акредитацій. Справжній Шон — технік у знімальній групі. Сподіваюся, те, що я напросився до нього в тезки, йому не заважає.
— Як ти втягнувся у війну з росією?
— Одночасно з анексією Криму та вторгненням на Донбас відразу почалися хакерські атаки. Костя Корсун (експерт із кібербезпеки — Ред.) тоді зібрав закриту зустріч, на якій зібралися ІБ-шники, бізнес та всі служби, які так чи інакше стосуються безпеки. Бо йшлося виключно про захист, було нудно.
Потім, уже у березні, знайомі із СБУ попросили глянути поштову скриньку. До неї ми підібрали пароль перебором і власником виявився якийсь Олексій Карякін (політичний діяч так званої ЛНР). Читання виявилося цікавим, тож проти «голови верховної ради» СБУ відразу відкрила одну з перших справ за статтею «державна зрада». Тоді ж було кілька великих зламів — державна дума, астраханська адміністрація. У 2016 році, після успішного зламу оренбурзького уряду, мені написав Рома Бурко з «Інформнапалму» і запросив до Ukrainian Cyber Alliance.
— Український кіберальянс — це скільки хакерів/кіберекспертів? І якому за чисельністю формування хакерів у росії ми протистоїмо?
— Учасники змінюються, у 2019 пішли Flacons Flame й «Кіберхунта», зате нещодавно приєдналися UHG. Точна кількість учасників — секрет.
Ми не протистоїмо іншим хакерам, так буває дуже рідко. Кібер — специфічний домен, де ті, хто атакують, практично ніколи не стикаються один з одним.
Наш супротивник — російський адмін і безпека, і лише дуже рідко російські хакери.
— Я пам’ятаю, що мав інтерв’ю з ексголовою кіберполу в Києві, за місяць до старту широкомасштабки. Він тоді ще казав, що судити треба з хакерської активності росіян — чи розпочнеться війна. І вона тоді активувалася. Можливо, пам’ятаєш атаки на держсайти й реєстри у 2022, січень-лютий. Чи чекав ти на початок війни?
— Ми багато сперечалися про те, коли саме почнеться вторгнення, колеги консервативно «робили ставки» на весну, я думав, що перед підготовкою до війни ми побачимо переділ великої власності. Іноді до таких розмов приєднувалися знайомі з розвідки. Природно вторгнення, як і передбачали, почалося з хакерської атаки з 13 на 14 січня. Держспецзв’язку нарахувала до сімдесяти атакованих урядових установ. Хакери з частини 29155 (підрозділ російської військової розвідки ГРУ — Ред.) влаштували клоунаду, але те, що рахунок пішов на дні, було цілком очевидно.
— Події трохи раніше — наприкінці 2021 року зламали десктопну версію «Дії» нібито через софт підрядника. Чи це було насправді так? І чи ця операція могла бути підготовкою до широкомасштабної війни?
— У 2021 році один із волонтерів надіслав мені посилання diia.gov.ua/.git/config (що дозволяє скопіювати прод-систему), вразливість тоді по-тихому прикрили, але це багато розповідає про те, як Мінцифри ставиться до безпеки. У ході січневих атак портал «Дія» був зламаний, як і всі інші (включно з реєстрами МВС). Російська військова розвідка потім публікувала дані, і в мене була можливість переконатися, що вони справжні.
— В інтерв’ю каналу HackYourMon ти казав, що за європейський супутник зв’язку KA-SAT, який поклали на початку війни росіяни (і на якому був зав’язаний на той час супутниковий зв’язок в Україні, не було ще доступу до Starlink), ви, можна сказати, помстилися, поклавши рік тому російський супутник, який обслуговував ФСБ/флот і так далі. Як ти оцінюєш шкоду русні від цієї атаки? На що вона вплинула?
— Відсутність зв’язку завжди неприємна, особливо у важкодоступних місцях, де крім супутника жодного іншого зв’язку немає. Але цю операцію ми проводили разом із військовими, вони ж наполягли в тому, щоб операція проходила «під чужим прапором». Думаю, що вийшло, зрештою, має згодом розповісти ЗСУ.
— Атака на «Аерофлот» у липні цього року. Сотні рейсів затримано в москві. Хто її провів? Через яку вразливість могли покласти систему? Чи можна повторити?
— Атаку провели «Кіберпартизани» з Білорусі та українці із Silent Crow. Зазвичай люди думають, що якщо система велика і важлива, то й атака має бути надзвичайно інноваційною та складною. Це не так. Рівень безпеки та сприйнята «важливість» ніяк не пов’язані між собою. Подробиць зламу я не знаю. Співробітник міг натиснути не на те посилання і запустити стилер (stealer, або ж викрадач — Ред.), десь валявся занедбаний і дірявий сайт, десь не прикрили порт, десь втратили пароль.
І українські хакерські групи буквально щодня показують, що можемо повторити.
— Адміністратор одного з найвпливовіших форумів даркнету xss.is «Тоха», якого літом нібито взяли в Києві спецслужби України та Франції: чи знаєш, що з ним зараз? Що з xss.is? Чи правда, що дзеркалами форуму зараз керують наші спецслужби?
— Я думаю, що про це потрібно запитувати у СБУ, але судячи з паніки, яка почалася в кримінальному андеграунді, ймовірно, що заарештували саме «Тоху», а він — особистість легендарна, крім XSS, він творець Exploit — найстарішого і дуже впливового майданчика в кримінальному андеграунді. Не виключено, що СБУ та французькі спецслужби намагаються вичавити ще крапельку з контролю над форумом, і з цим і пов’язане їхнє мовчання.
— Кібервійська в Україні: чи є у нас вони? Чи є добре підготовлені спецпідрозділи, які можуть атакувати об'єкти русні, захищати нашу ІТ інфраструктуру?
— Офіційно жодних кібервійськ (попри підписаний указ президента) у нас немає. Проте чомусь ГУР і СБУ цілком відкрито говорять про проведені кібератаки. Підрозділи кіберзахисту були завжди, про їхню ефективність можна сперечатися, але жодних питань вони не викликають.
Думаю, що давно настав час офіційно визнати, що Україна веде наступальні кібероперації й створити відповідний рід військ.
— А як це може бути? Координаційний центр військові+цивільні? Чи робоча схема? Чи не буде хаосу?
— Для початку у ЗСУ має з’явитися новий рід військ. Тому що зараз немає офіційного споживача, і все працює на горизонтальних зв’язках. Там буде багато проблем, але треба з чогось починати. З офіційного визнання, що Україна веде наступальні кібероперації та формування відповідних військ (сил).
— Чий внесок у кібервійну більший: хактивістів чи контрольованих державою підрозділів?
— Мені не подобається слово «хактивіст», хактивісти зазвичай займаються внутрішньою політикою, а не війною. Думаю, що незалежно від того, чи займаються зламом військові, чи цивільні, державі вже давно час якось, якщо не очолити, то хоча б скоординувати всю цю діяльність.
— В інтерв’ю HackYourMom було таке питання, але сформулюю його ще раз: хто виграє кібервійну — росія чи ми?
— Це не змагання. Якщо ви ще не на колимі з лопатою, то війну ми не програли. Хакінг — такий самий інструмент війни як артилерія, дрон або радіоелектронна розвідка. Чи виграє наша артилерія у російської? Саме формулювання питання безглузда. Можна запитати, чи справляється вона із завданнями і що потрібно зробити, щоб справлялася краще, але не про те, «хто виграє».
— Витік даних із месенджерів — поширена практика. Який месенджер найзахищеніший?
— Захищений від кого? І кого ми боронимо? Уразливості є у всіх месенджерів, і жоден месенджер вас не захистить від власних помилок, коли ви клікаєте на будь-що. Зараз популярний Signal, але ні Signal, ні екзотичніші варіанти не захистять вас від спірфішу (spear phishing — шахрайська кампанія, під час якої хакер чи хтось інший з поганими намірами отримує контактну інформацію людини із привілейованим доступом — Ред.) або інших помилок.
— А які ти месенджери використовуєш?
— В основному Signal. І Telegram (ніяких особливо важливих листувань). Іноді доводиться просто користуватися Wire, Threema, Matrix, Keybase, Jabber, Tox просто тому, що там сидять потрібні мені люди.
— Скільки часу потрібно хакеру щодо цілеспрямованої атаки на ресурс? І скільки часу він може залишатися непоміченим у системі?
— Це питання удачі, та й атака не обов’язково має бути цільовою, вона може бути секторальною, часто нам все одно зламаємо ми завод, чи підрядника, який робить софт для заводу, чи навіть не цей завод, а інший того ж профілю. Але якщо ми вже потрапили всередину, то можна там сидіти роками. Повернутись можна за потреби.
Деякі цілі в нас висять уже три роки.
— Якщо атака хакера спрямована на дані компанії/держоргану, і бекап цих даних також треться, то чи можна якимось чином відновити дані? Є так звані незмінні бекапи — чи є вони панацеєю? Чи варто їх використати?
— Люди просто розучилися робити бекапи. Якщо у вас резервна копія зберігається в сховищі й на стрічці, і те, й інше онлайн у тій же мережі, це означає, що у вас є тільки «гарячий» бекап. Він може захистити лише від технічних збоїв. Відновитися можна з холодних бекапів, ну або намагатися налаштовувати все і відновлювати з нуля.
— Уявімо, що бекап змінити не можна, зміни можливі лише, припустимо, через рік. Як ти думаєш, чи це надійно?
— А коли знесуть хмарного провайдера, тоді що? Холодний бекап — це дуже «проста» річ. Стопка вінчестерів або касет, яка не підключена ні до чого. І лежить у сейфі. Бажано у двох примірниках у двох різних місцях. Робити такі бекапи регулярно, забезпечувати їхню безпеку (фізичну), і так щоб жодного разу носій не виявився онлайн — дуже і дуже важко. Потребує пекельної дисципліни.
— Незмінні бекапи можна «вимикати» — тоді вони фізично недоступні в системі, і зловмисник не може про них дізнатися. А щодо сейфа одразу виникають питання фізичної безпеки такого сховища. Тож, можливо, immutable бекапи — надійніше?
— Залежить від цього, як це реалізовано. Можливо, допоможе, а можливо, і ні. Якщо це софтова реалізація, її можна зламати, якщо апаратна, то скористатися вікном, коли сторедж відкритий на запис і записати туди сміття. Насправді не стикався жодного разу. Тож це, скоріше, екзотика.
Будь-яких девайсів фізична безпека теж стосується. Прилетить ракета до ЦОДу — і привіт.
Я просто ось до чого це говорю. Чи можна зробити нормальний бекап та відновитися з нього після атаки? Безперечно можна, і варіантів багато. «Холодні» офлайнові бекапи — класичне рішення, але не єдине. І це не стільки технічне питання, скільки питання політики й дисципліни. І практика показує, що у 95% разі відсутня і те, й інше.
Якщо ми прийдемо на форум адмінів і порушимо цю тему, вони будуть тижнями обговорювати тисячі варіантів розв’язання проблеми (і вони навіть мають рацію в тому, деякі їхні рішення, якщо їх реалізувати повністю і неухильно — допоможуть), тільки я дуже рідко бачу компанії, які б сказали «нас потерли/зашифрували, але ми відновимося в лічені часи».
— Чи є у росіян перелік бізнесів/держорганів, які вони збираються ламати найближчим часом? Іншими словами, чи є план чи все хаотично?
— Без сумніву, у них є пріоритети та своєрідна логіка в тому, як саме вони вибирають цілі. Іноді навіть можуть влаштувати «відповідь» (як було, наприклад, зі страховими компаніями), але загальної стратегії не проглядається.
— Які ризики зламу у компаній, які розміщують дані у глобальних хмарах, порівняно з локальними хмарами, місцевими ЦОДами, власними серваками?
— Залежить від адміністраторів, хмара має тільки ту перевагу, що там за резервні копії відповідають адміністратори провайдера.
А бекапи люди розучилися робити.
Тож тут не можна покладатися ні на кого. Бо наступною ціллю може стати хмарний провайдер.
— Яка ймовірність у рандомної української компанії, що вона в зоні ризику, у зоні цікава російським хакерам?
— Ми всі — ціль для агресора. Незалежно від розміру та профілю компанії вона буде ціллю, це така ж реальність, що вимотує, як і щоденні обстріли й нальоти.
— Цікава твоя версія щодо зламу ІТ-інфраструктури «Укрзалізниці» в цьому році. Коли навіть квитки купити було не можна майже тиждень. Мої інсайдери кажуть, що під час розслідування інциденту співробітниками власних компів не можна було чіпати. Хто стоїть за атакою? Що зламали? Що вкрали/стерли? І те саме з «Київстаром» — що ж сталося два роки тому, коли на тиждень лягла вся мережа? Чи був зрадник усередині компанії, який злив доступи?
— За УЗ я просто не знаю, відповідальність за «Київстар» взяв на себе один із підрозділів ГРУ. Думаю, вкрали все, що має цінність. А це і логи дзвінків та особиста інформація, і можливість відстежувати геопозицію, навіть дивно, що вони вирішили врешті-решт повалити мережу, а не викачувати звідти інформацію. І, як я вже казав, розмір і важливість компанії та її безпека — це не пов’язані речі. Дитячий садок може виявитися краще захищеним, ніж національний оператор.
— Які найпопулярніші мови програмування використовують хакери?
— Якщо дивитися на продукти (відкриті або ті, що продаються на чорному ринку), то все буде виглядати так само як і у звичайних розробників: C++, C, Java, PHP, Python, трохи рідше — Rust, Go, та й асемблер все ще зустрічається. Вибір мови не такий важливий.
— Як вплинула поява ШІ на діяльність хакерів/антихакерів?
— Щодо ШІ, то зараз набагато більше хайпу, ніж реальних сценаріїв застосування. Інструмент перспективний, але він поки що — рішення у пошуках завдання.
— Ось, наприклад, була новина, що OpenAI заблокувала акаунти ChatGPT, які використовували російські, іранські та китайські хакери. Чи може ШІ як простий інструмент додати атак масштабу та масовості?
— Я поки не знаю про жодний випадок, коли ШІ додав би масштаби чи масовості. ШІ може вирішувати або дуже прості завдання, які досвідчений хакер вирішить швидше і краще без ШІ, або ті завдання, які не мають безпосереднього відношення до зламу (про те, які саме, я не розповідатиму).
Саме у зламі й захисті — у тій роботі, яку роблять хакери з одного боку, а адміни та безпечники з іншого — ШІ практично некорисний.
Поки що він — марний. Чи зміниться це й коли? Я не знаю.
— Чи це правда фейк, що російські хакери нещодавно нібито зламали сховище даних нашого Генштабу і вкрали 1,7 млн записів загиблих солдат?
— Якщо це про Killnet і «1.7 мільйонів втрат», то це природно брехня. І Killnet нічого не здатний зламати в принципі (що не означає, то зламів не було, але вони могли бути в іншому місці та з іншими результатами).
Це не інфа, а звичайна російська брехня, в яку не вірять навіть російська ІБшна публіка. Killnet — це просто шапіто на виїзді, але з якоїсь не до кінця зрозумілої мені причини вони мають потужну медійну підтримку.
— Я ледь не забув запитати: чи можна заробляти й нормально жити на такій діяльності, якою ти займаєшся? І чи відповідають заробітки рівню комфорту та рівню напруження нервів у деяких ситуаціях (у тебе були обшуки у 2020)? Може, звичайна штатна посада безпечника у великій компанії — куди простіший шлях? У чому суть?
— Дивлячись, чим саме займатися. Якщо заробляти на чорному ринку, то можна й заробити. Або грошей, або термін. Заробіток, як і скрізь, залежатиме від особистих талантів. Простіше працювати на «білій» роботі.
Обшуки не були пов’язані з криміналом. То саме політика.
— За яку роботу тобі можуть платити? Чи ви переважно за донати працюєте?
— У різний час я працював сисадміном, програмістом і безпеківцем, досвіду в мене достатньо, у мене є легальні джерела доходів, і я з цього приводу не переживаю.
— Бо трохи складно уявити контракт із білим хакером. Чи таке буває?
— Чому ні? Слово хакер може дійсно відлякати, а «фахівець з інформаційної безпеки» — норм.
— У вас власний бізнес чи робота по найму? Може, є акції, біткоїни, нерухомість?
— Я не хотів би заглиблюватися у це питання, щоб та діяльність, яка пов’язана з війною та політикою, не сильно перетиналася з наповненням холодильника.
— Яле якщо загалом — коштів вистачає, так?
— Так, поки вистачає. Кілька разів ми збирали донати, і вони були витрачені на залізо — звичайно ж, зі звітами та чеками.
— Завжди чомусь думав, що фінансувати такі операції непросто.
— Це дуже складно й дорого, якщо людина з вулиці захоче створити хакерську артіль. Якщо знаєш, як і що працює, то все набагато дешевше, але це багато часу.
Коментар прихований за порушення правил коментування.
Будьте дуже обережні, звертаючись за допомогою у відновленні втрачених коштів. Є так багато людей і компаній, які стверджують, що пропонують такі послуги, але дуже мало з них справжні. Коли я втратив свої кошти через інвестування в біткойни кілька місяців тому, я витратив час на пошуки, перш ніж знайшов СПРАВЖНІХ ХАКЕРІВ, які допомогли мені повернути біткойни на суму 75 000 доларів. Вони допомогли мені повернути мої кошти, не вимагаючи жодної попередньої оплати, що зробило мене таким щасливим, тому що я ніколи не думав, що зможу повернути свої кошти. Я буду рекомендувати їх усім, хто шукає такі послуги, тому що вони справжні, перевірені та надійні. Вони також мають алгоритм і поглиблений аналіз даних для повернення будь-яких втрачених коштів. Зв'яжіться з ними електронною поштою [email protected] або через WhatsApp +1(260) 218-3592