У свої 22 роки він самотужки зупинив найбільшу кібератаку, якої світ тоді ще не бачив. А потім його арештувало ФБР. Це невідома історія Маркуса Хатчінса – хакера, який врятував інтернет.
Тихим серпневим ранком 2017 року Хатчінс вийшов зі свого арендованого будинку в Лас-Вегасі, де він останні півтора тижня гуляв. Високий (195 см) 23-річний хлопець із кучерями на голові вийшов забрати замовлення в кур’єра. Стоячи босим на порозі дому, він помітив припаркований темний позашляховик, який виглядав, як автомобіль ФБР. Забравши замовлення, він повернувся в будинок, а думка про позашляховик вивітрилася з його голови.
Хлопець почав збиратися на літак – у нього був квиток першим класом додому у Великобританію. Він повертався з виснажливого хакатону Defcon – однієї з найбільших конференцій для хакерів. Там його шанували як героя, адже трьома місяцями раніше Хатчінс врятував інтернет від найбільшої кібератаки в історії до того часу, а саме – від вірусу WannaCry.
WannaCry – хробак-шифрувальник, який вимагав викуп за повернення даних, а без грошей через 7 днів видаляв їх. Поширення додатка почалося 12 травня 2017 року. Одними з перших постраждали комп’ютери в Іспанії. Україна опинилася серед центрів епідемії, а загалом від хробака постраждало 500 тисяч комп’ютерів у понад 200 країнах світу.
Поширення вірусу блокувало роботу багатьох організацій: лікарень, аеропортів, банків, заводів тощо. Про його небезпеку свідчить те, що у Microsoft не хочуть залишати навіть найменших шансів повторення подібної епідемії, тому випустили апдейт навіть для тих операційних систем, підтримка яких завершилася багато років тому. А ноутбук із 6 найнебезпечнішими вірусами, з WannaCry включно, продали за понад $1,2 млн.
Знешкодити WannaCry виявилося досить просто, і саме Хатчінс знайшов цей секретний вимикач. Він миттєво нейтралізував глобальну небезпеку WannaCry. Це зробив скромний комп’ютерний фахівець у фірмі Kryptos Logic, перебуваючи у своїй спальні в будинку батьків у віддаленому регіоні західної Англії.
ФБР на хвості
Очікуючи на свій рейс в аеропорту, Хатчінс «вбивав» час, сидячи у Twitter. Складаючи черговий твіт, він помітив, що до нього підійшли три чоловіки і запитали, чи він Маркус Хатчінс. Чоловіки попрохали хлопця пройти з ними.
Хатчінс ще не зрозумів, хто перед ним, і тому хаотично перебирав у голові всі можливі порушення, які він міг допустити при перетині кордону. Можливо, це наркотики, які він забув вийняти із сумки?
Таємниця розкрилася незабаром – до них приєдналася жінка, яка показала своє посвідчення агента ФБР. Вони хотіли дізнатися про роботу Хатчінса над WannaCry. За кілька десятків хвилин інтерв’ю хлопця запитали про програму Kronos, і той підтвердив, що чув таку назву.
Згодом Хатчінс зрозумів: додому він потрапить не скоро.
Перший хак – ще у школі
За 14 років до тріумфу Маркуса Хатчінса його батьки – Джанет та Десмонт – переїхали на ферму у віддаленому регіоні Девона, оселившись у кількох хвилинах від західного узбережжя Англії. Туди вони переїхали з міста Брекнел, яке було у 30 хвилинах від Лондона. Подружжя шукало більш спокійне місце, ніж Лондон, для зростання 9-річного Маркуса та його 7-річного брата.
Джанет була медсестрою, народилася в Шотландії. Десмонд був соціальним працівником з Ямайки, а з майбутньою дружиною познайомився в 1986 році в нічному клубі і тоді працював пожежником.
Хатчінс виділявся серед сільських дітей не лише тим, що був високим, не захоплювався футболом, а також був метисом. Його виділяла серед інших любов до комп’ютерів.
Ще в 6-річному віці Хатчінс захоплено спостерігав, як його мати працювала у Windows 95 на сімейному Dell. Батько часто дратувався, що син розбирає комп’ютер та наповнює його дивними програмами. При переїзді в Девон Хатчінс уже цікавився HTML та роботою сайтів, а також вчився програмувати на Basic.
У школі на уроках інформатики Хатчінс відверто нудьгував, але на комп’ютерах була закрита вільна робота. Хлопець відкрив функцію макросів у Microsoft Word, які можна було створювати на мові Visual Basic. Використовуючи цей інструмент, він зміг встановити на шкільний комп’ютер стороннє програмне забезпечення. Також це дозволило йому вийти в інтернет.
На 13-ліття Хатчінсу подарували власний комп’ютер. Точніше – компоненти, а зібрав їх докупи хлопець сам.
Його захоплення комп’ютерами було таким, що батьки почали турбуватися та встановили батьківські обмеження. Хлопець обійшов їх, як і встановлені батьками обмеження доступу до інтернету на домашньому роутері.
Перші кроки в хакерстві
Знайшовши з батьками компроміс щодо комп’ютера та інтернету, одного дня Хатчінс переглядав записи на хакерському форумі. В одній із тем пропонувалося створення хробака для платформи обміну повідомленнями MSN (тодішній аналог Viber, Telegram). Замаскувавши хробака під фотографію формату JPEG, можна було переконати користувача відкрити його. Після відкриття хробак розсилав себе всім контактам цього користувача по MSN. Це так захопило хлопця, що він захотів уміти робити подібне.
У віці 14 років Хатчінс опублікував свою хакерську розробку – крадій паролів. Встановивши його на комп’ютері жертви, можна було отримати паролі з браузера Internet Explorer. Паролі були зашифровані, але Хатчінс знайшов, де браузер ховає ключ шифрування. На форумі позитивно сприйняли розробку.
Коли хлопцю було 15 років, школа звинуватила його в проведенні кібератаки на шкільну мережу, яка невідновно пошкодила один із серверів. Хлопець заперечив причетність та прохав докази, які йому не надали. На той час адміністрація школи знала, що Маркус – хакер. Сам Хатчінс вважає, що він був просто зручним цапом-відбувайлом. За ту атаку його усунули від навчання на два тижні та назавжди заборонили користуватися комп’ютером у школі.
Дорога в дорослий хакінг
Близько 2009 року сім’я Хатчінса переїхала з ферми в невелике селище. Тоді ж хакерський форум на MSN закрився, і Хатчінс перейшов на HackForums, учасники якого були більш умілими та менш етичними.
На форумі були ранги, і, щоб завоювати повагу інших, необхідно було довести свої здібності. Мінімальний рівень – володіння своїм ботнетом (сотні чи тисячі заражених комп’ютерів, які підкорюються хакеру).
Хатчінс почав створення такого ботнету і скоро зібрав понад 8000 комп’ютерів. Здебільшого він використовував фальшиві файли, які розповсюджував через торенти.
Хатчінс також почав власний бізнес – здавав сервери в оренду для користувачів HackForums. Фірма Gh0sthosting рекламувала себе як місце, де дозволені всі нелегальні сайти.
Згодом Хатчінсу набридли ботнети та постійні скарги клієнтів його фірми. Він закинув їх і почав фокусуватися на поліпшенні своїх шкідливих програм. Хлопець зайнявся вивченням руткітів – додатків, які захоплюють контроль у системі, але залишаються непомітними.
Після публікації коду нової розробки один з учасників HackForums запросив його написати код, який перевіряв, чи може наявний антивірус визначити наявність певної шкідливої програми. За роботу Хатчінс отримав $200 у цифровій валюті Liberty Reserve. Згодом для цього ж клієнта за $800 Хатчінс написав руткіт, який крав введені у форми на сайтах дані – паролі, логіни тощо.
Хатчінс – професійний хакер
До 16 років Хатчінс здобув певну репутацію, і тоді з ним з зв’язалася серйозніша людина, відома під псевдонімом Vinny. Він попрохав створити багатофункціональний руткіт з підтримкою, який можна було б продавати на хакерських форумах. Оплата – за кожну продану копію. Хатчінс назвав творіння UPAS Kit – на честь японського отруйного дерева.
Vinny виглядав для Хатчінса професіоналом – він не розкривав деталі про себе, навіть попри часте спілкування. Також вони ніколи не зберігали записи своїх розмов.
Для своєї безпеки Хатчінс також направляв трафік через кілька проміжних серверів та хакнутих комп’ютерів у Східній Європі. Але він не був таким дисциплінованим в індивідуальному спілкуванні з Vinny і одного разу зізнався, що в його селищі немає якісної марихуани. Vinny відповів, що надішле пакунок, куплений на новому тіньовому маркетплейсі Silk Road.
Хатчінс спершу подумав, що це жарт, але Vinny запитав адресу та дату народження. Хатчінс потім пожалкував, що надав цю інформацію. Проте на своє 17-річчя він отримав пакунок з марихуаною, галюциногенними грибами та екстазі.
На створення UPAS Kit пішло дев’ять місяців, і влітку 2012 його ппочали продавати. На рахунок почали надходити тисячі доларів у криптовалюті Bitcoin. На ці гроші Хатчінс оновив комп’ютер, купив Xbox, нову звукову систему в кімнату. Також він почав займатися трейдингом криптомонет.
До цього часу Хатчінс кинув школу. Інше його хобі – серфінг – він також закинув, коли його тренер пішов на пенсію. Батькам хлопець розповідав про фрилансову роботу програмістом.
З успіхом UPAS Kit Хатчінса попрохали створити нову версію, яка б містила кейлогер для запису всіх натиснутих кнопок та запис екрана. Також потрібна була функція вставки фальшивих текстових полів та іншого контенту на сторінки, які відкривала жертва.
Стало очевидно, що в UPAS Kit 2.0 була чітка мета – красти банківські акаунти. Це порушувало певні рядки придуманого Хатчінсом власного етичного коду. Однак Vinny нагадав, що знає адресу та особистість Хатчінса, і погрожував при проблемах передати інформацію до ФБР.
Новий, майже легальний партнер
Працюючи над UPAS Kit 2.0, Хатчінс почав відновлювати своє публічне життя, почавши відвідувати місцевий коледж. Він здружився з професором, котрий здивувався, що хлопець хоче отримати диплом.
Одна з причин повернення до нормального життя – хлопець помітив, що його любов до програмування зникла. Він змушував себе працювати над шкідливою програмою для Vinny, заглушуючи страх та відчуття провини амфетамінами.
У червні 2014 року Vinny почав продавати новий експлоїт, провівши згодом його ребрендинг – назву UPAS замінили на Kronos. За троян Vinny прохав $7000.
Вимоги покупців щодо апдейтів та необхідність вести легальне денне життя змушувала Хатчінса все більше вживати амфетаміну.
На хакерському форумі TrojanForge Хатчінс зустрів Ренді, який спершу попрохав написати для нього банківській троян. Після відмови Ренді запропонував створити корпоративні навчальні додатки, щоб запустити легальний бізнес. Хатчінсу потрібно було відмити власні нелегальні гроші, і він погодився.
Працювати потрібно було над додатками для користувачів Apple, для чого необхідно мати комп’ютер на MacOS. Хатчінс назвав свою адресу, а Ренді вислав йому новий iMac, а також консоль PlayStation 4, щоб грати разом.
Ренді також поводився відкрито, і вони навіть дзвонили та спілкувалися по відео. Ренді описував свої філантропічні мрії, як то безкоштовні уроки програмування для дітей. Хатчінс відчував, що гроші на це постачала нелегальна активність. Згодом Ренді для Хатчінса почав видаватися таким собі Робіном Гудом.
Співпраця між чоловіками була така, що, дізнавшись про фінансові ігри Хатчінса у Bitcoin, Ренді вислав йому $10 000 для примноження статків. Але у 2015 році стався збій електрики, і в цей же час курс Bitcoin різко впав. Ренді втратив $5000.
Хатчінс зізнався в збитках, і зізнався, що був автором Kronos. Знаючи, що Ренді шукав раніше банківський троян, він запропонував безкоштовну копію. Ренді сказав, що вони розрахувалися.
Це вперше Хатчінс передав іншому свою розробку. Але вже наступного дня пожалкував про це. Він розкрив свій найбільший та найнебезпечніший секрет людині, у якої були проблеми з безпекою.
Хатчінс зрозумів, що його арешт став лише питанням часу.
Початок дорослого життя
У 2015 році Хатчінс отримав диплом коледжу, а також вирішив зав’язати з амфетаміном. Сидячи наступні місяці у своїй кімнаті він грав в ігри, дивився серіали. Іноді також виходив на серфінг.
Робота над троянцем для Vinny все більше відставала від графіку, і після кількох скандалів їхнє партнерство зупинилося. Як і потік грошей від продажу копій програми.
Відновлюючись, Хатчінс відчув, що до нього повертається жага програмування, але в кримінальній активності він розчарувався. Натомість він звернувся до блогу, який закинув у 2013 році.
Сайт називався MalwareTech, містив технічні пости про шкідливі програми і виявився цікавим як «чорним», так і «білим» хакерам. Одного разу Хатчінс навіть опублікував аналіз функцій Kronos. Аудиторія MalwareTech згодом виросла до 10 000 читачів.
Легальне працевлаштування
Роботу в компанії Kryptos Logic Хатчінс отримав завдяки своєму аналізу ботнету Kelihos. Хлопець навчився читати комунікацію ботнета з господарем і міг спостерігати за його роботою. Хатчінс навіть створив публічний сайт-трекер, де відображалися заражені Kelihos комп’ютери.
Директор Kryptos Logic Салім Нейно зв’язався з MalwareTech і попрохав анонімного блогера попрацювати на них. Фірма хотіла створити сервіс трекінгу ботнетів, який би сповіщав жертв про ураження їхнього ПК.
Хатчінсу видали $10 000 на створення трекера Kelihos. Згодом він сотворив трекер ботнету Sality. Після цього Хатчінсу запропонували посаду та зарплатню з шістьма нулями.
У перші місяці роботи Хатчінс створив трекери для ботнетів Necurs, Dridex, Emotet.
Восени 2016 року з’явився новий тип ботнетів – Mirai. Він заражав не комп’ютери, а гаджети інтернету речей – роутери, камери, кавоварки, принтери тощо. Мільйони заражених гаджетів дозволили проводити масивні атаки DDoS – у вересні 2016 року пройшла найбільша така атака того часу.
Хатчінс знайшов код Mirai і на їхній основі створив утиліти, які порушували роботу ботнетів Mirai, перехоплюючи їхні команди та публікуючи в реальному часі новини про атаки.
Атака WannaCry
У 2017 році молодий анастезіолог Генрі (прізвище він не розкриває) в крупному лондонському центрі хірургії та травми Royal London Hospital побачив щось дивне із лікарняними комп’ютерами. Він пробував перевірити свою пошту, але не зміг – система «лежала». Спершу він подумав, що це звичний глюк комп’ютерів, які працювали на 20-річній Windows XP.
Однак лікарняний ІТ-адміністратор повідомив, що локальною мережею шириться вірус. Комп’ютери почали перезавантажуватися, і на екранах з’явилася відома картинка про шифрування даних і вимогу $300 у Bitcoin для повернення доступу до інформації.
Кібердослідники назвали хробака WannaCry тому, що він додавав до зашифрованих файлів розширення .wncry. Для розповсюдження хробак використовував код EternalBlue, який вкрала у Національного агентства безпеки США група хакерів Shadow Brokers і опублікувала його.
Хробак заразив комп’ютери німецької залізниці Deutsche Bahn, російського «Сбербанку», автовиробників Nissan, Honda, університетів Китаю, поліцейських відділів Індії, іспанського оператора Telefonica, служби доставки FedEx, розробника літаків Boeing.
За оцінками, за один день WannaCry знищив дані 250 тисяч комп’ютерів, завдавши збитків від $4 до $8 млрд.
Початок кінця для WannaCry
Того ж дня пообіді Маркус Хатчінс зазирнув в інтернет та побачив, що комп’ютерний світ палає. І уже за кілька хвилин хлопець отримав від друзів копію коду WannaCry.
Аналізуючи хробака, Хатчінс помітив, що перед шифруванням програма звертається до дивних веб-адрес. Хлопець подумав, що так він спілкується зі своїми керівними серверами.
Вставивши одну з таких адрес у веб-сайт, Хатчінс отримав сповіщення, що домен не існує. Він зареєстрував цей домен на своє ім’я, витративши $10,69.
Хатчінс почав отримувати тисячі запитів від заражених WannaCry комп’ютерів у всьому світі. За наступні чотири години Хатчінс створив трекер нового хробака.
WannaCry, отримавши доступ до зареєстрованого Хатчінсом домена, порушив свою роботу. Він продовжив поширюватися, але не наносив шкоди.
Кіберексперти досі не знають, чому автор WannaCry реалізував такий механізм. Це міг бути спосіб уникнення антивірусу, а міг бути запобіжник.
WannaCry залишався небезпечним – якщо сервер з доменом раптом опинився офлайн, хробак почав би знову свою атаку.
І це могло статися – ботнети Mirai почали атаку DDoS на домен-вимикач. На фоні цього французька поліція помилково прийняла два допоміжних сервери, які обробляв DDoS-атаку, за сервери зловмисників та зупинила їх.
За тиждень атаки DDoS фірма Cloudflare, яка спеціалізується на цьому, запропонувала свої послуги. Її ресурси дозволили поглинути увесь трафік DDoS-атаки і не дати домену-вимикачу опинитися офлайн.
$1000 за годину сну й очікування другої хвилі
Пресі вдалося розкрити анонімність Хатчінса – за два дні після початку WannaCry репортер з’явився на порозі дому його батьків. Дочка репортера ходила до школи з Хатчінсом та впізнала його на фото у Facebook, яке мало підпис MalwareTech.
Журналісти чатували Хатчінса, а британські газети друкували статті про випадкового героя. Сам Хатчінс уникав репортерів, перелазячи через паркан позаду будинку.
Щоб знизити настирливість преси, Хатчінс згодився на інтерв’ю агентству Associated Press, Він так хвилювався, що неправильно написав своє ім’я. Агентству довелося потім виправляти статтю.
Увесь цей час хлопець чекав другої хвилі атаки WannaCry. Автори хробака могли легко змінити комунікаційний домен або взагалі прибрати цей код. Однак мутація не з’явилася.
Протягом тижня Хатчінс спав лише по три години. Він був такий виснажений, що його керівник запропонував $1000 за кожну годину сну.
ФБР шукає винного
Лише на конференції Defcon три місяці потому Хатчінс дозволив собі прийняти свій новий статус та насолоджуватися славою. Фанати постійно прохали сфотографуватися з ним.
Коли Хатчінс збирався летіти додому, його затримали агенти ФБР. Хлопець сподівався, що їм потрібна інформація щодо WannaCry чи управління доменом-вимикачем. Він без адвоката відповідав на питання правоохоронців.
Надії розвіялися, коли агенти показали листування Хатчінса з Ренді трирічної давнини. У ній Хатчінс запропонував копію банківського троянця.
Агент ФБР Лі Чарт’єр прямо сказав, що затримання не має відношення до WannaCry. І показав ордер на арешт за комп’ютерне шахрайство та зловживання.
Правоохоронці дозволили Хатчінсу один дзвінок – той зателефонував своєму директору. Останній сповістив друзів-хакерів, які підняли тривогу в соцмережах та ЗМІ.
Хатчінса випустили через день під завдаток $30 000. Без комп’ютера та телефона він не міг переказати викуп за себе. Відомий захисник хакерів Тор Екеланд запустив фонд, який зібрав кошти. Гроші почали надходити, і деякі – з крадених кредитних карток. Це недобре виглядало, зважаючи, у чому звинувачували Хатчінса. Екеланд закрив фонд та повернув усі гроші.
Відомі кіберексперти Тара Вілер та Девіант Оллам, які не зустрічалися з Хатчінсом, дізналися про арешт та проблеми з фондом. Вілер використала частину грошей за скорочення з компанії Symantec, на які хотіла купити будинок, на викуп Хатчінса.
Адвокати Браян Клейн та Марсіа Хоффман, які взяли справу безкоштовно, потім добре попрацювали. Хатчінсу дозволили переміщуватися поза межі його будинку, використовувати комп’ютери та інтернет. Згодом навіть домашній арешт та трекінговий GPS-браслет зняли.
Час розплати
Хатчінс знав, що він винний у тому, в чому його звинувачують. Він знову звернувся до алкоголю та наркотиків. За його словами, вина з’їдала його живцем.
Весною 2018 року, через 9 місяців після арешту, обвинувачення запропонувало угоду. Хатчінс розповідав усе, що знав про особистості хакерів, з якими він співпрацював в юності. В обмін обвинувачення рекомендувало покарання без тюрми.
Хатчінс сумнівався. Він не знав деталі про Vinny – реальної цілі прокурорів. Він також не хотів «стукати» на інших, щоб пом’якшити наслідки своїх дій. Крім того, він би все одно мав кримінальний запис, що могло назавжди заблокувати в’їзд у США. Також суддя його справи був відомий непередбачуваними вироками.
ФБР збільшувало кількість обвинувачень. Адвокати – намагалися розвалити справу. Боротьба тривала до квітня 2019 року, коли Хатчінс прийняв угоду правоохоронців, хоча й з гіршими умовами, ніж початково.
За новою угодою, Хатчінс визнавав себе винним за 2 із 10 звинувачень. Йому загрожувало до 10 років в тюрмі та штраф у 0,5 млн доларів. І покарання цілком залежало від рішення судді.
Хатчінс також опублікував на своєму сайті зізнання. Редаговане за рекомендаціями юристів.
Суддя швидко дав зрозуміти, що бачить Хатчінса не лише як злочинця, але і як експерта в кібербезпеці, який змінився задовго до висунення йому звинувачень. Він також відзначив заслуги щодо WannaCry.
У своєму вироку суддя сказав, що позитивні сторони переважують негативні. Він постановив, що Хатчінс відбув своє ув’язнення. Також хлопця мали контролювати протягом року після звільнення. Ще йому присудили сплатити $200 адміністративних зборів.
За матеріалами: Wired
