Seyyid
Seyyid
خواندن ۱۹ دقیقه·۲ سال پیش

مصاحبه با Matveev یکی از access broker های باج افزار Babuk : پول تو باج افزاره!

آوریل گذشته، یه گروه باج افزاری تهدید کرد که اگه اداره پلیس متروپولیتن واشنگتن دی سی، باج درخواستی رو پرداخت نکنه، اسامی خبرچینای پلیس و سایر اطلاعات حساس رو افشا میکنه.

این حمله گستاخانه کار یه گروه ، معروف به Babuk بود که در اوایل سال 2021 به دلیل انتشار پایگاه های داده سرقت شده در وب سایت خود از قربانیانی که باج نمیدادند، شهرت پیدا کردن. تنها چند روز پس از اخاذی از اداره پلیس متروپولیتن، Babuk اعلام کرد که برنامه وابسته به باج افزار خودش می بنده و به جای اون بر سرقت داده ها و اخاذی تمرکز میکنه.

اوایل سال جاری، Brian Krebs ، روزنامه‌نگار امنیت سایبری جزئیاتی در مورد یه فرد پشت این عملیات به نام Mikhail Matveev کشف کرد که با تعدادی از گروه‌ها و با هویت‌های مختلف از جمله «Wazawaka» مرتبط بود. به گفته کربس، Matveev فرد متعادلی نبود و ویدیوهای سلفی عجیب و غریب منتشر می‌کرد و یک حساب توییتر برای اشتراک‌گذاری کدهای اکسپلویت ایجاد کرده بود.

آقای Matveev با Recorded Future و آقای Dmitry Smilyanets مصاحبه ای در مورد تعامل خود با سایر هکرها، جزئیات مربوط به حملات باج افزاری که در اون شرکت داشته ، و چگونگی انتخاب نام Babuk صحبت داشته که اصل مصاحبه به زبان روسی هستش که توسط Recorded Future’s Insikt به انگلیسی ترجمه شده و اینجا هم به زبان فارسی منتشرش میکنیم. البته میخواستم این مطلب رو تو نشریه بزارم که دیدم قدیمی میشه.

قبل از پرداختن به مصاحبه نکته ای که وجود داره اینکه Record این ادعاها رو نمیتونه تایید کنه و از طرفی قربانی های این باند باج افزاری هم حاضر به مصاحبه نشدند. همچنین با توجه به اینکه بررسی حمله به اداره پلیس همچنان ادامه داره اونا هم نمیتونن درموردش صحبت کنن.

Mikhail Matveev
Mikhail Matveev


آقای Dmitry : در طول سال گذشته، محققان امنیتی شما رو با نام های مختلفی معرفی کردن: Babuk و BorisElcin و Wazawaka و unc1756 و Orange، و حتی KAJIT. آیا واقعا همه اینا متعلق به شماست؟ یا اشتباهی رخ داده ؟

آقای Matveev : بله همه این اسامی متعلق به منه بجز Kajit . من از اثبات این موضوع در انجمن ها و برای روزنامه نگاران و محققان امنیتی خسته شده ام .


آقای Dmitry : شما پس از حمله باج افزاری در آوریل گذشته به اداره پلیس متروپولیتن در واشنگتن دی سی، معروف شدید. شما از داده‌های به سرقت رفته از سرورهای این اداره برای اخاذی استفاده کردید، از جمله اطلاعات پایگاه‌داده . اما بعد وبلاگ ناپدید شد و Babuk از هم پاشید و کد منبع لو رفت. چی شد؟

آقای Matveev : اندکی قبل از وقایع مربوط به اداره پلیس متروپولیتن، شخصی بود که در انجمن برای من پیامی ارسال کرد. نام مستعار او را نمی گویم، اما همه به خوبی می فهمند که در مورد چه کسی صحبت می کنیم. او به من گفت: "Boris، من یه محصول فوق العاده باحال دارم." او چند build از اون رو برای من فرستاد که اونارو تست کنم . همه چیز خوب کار میکرد. ما شروع به توسعه این محصول کردیم و یه شرکت رو هم باهاش رمزگذاری کردیم.

ما اونو باج افزار Babuk نامیدیم. همه چیز خیلی خوب پیش میرفت. باج که پرداخت میکردن، همه چیز رو رمزگشایی میکردیم. پس از این، ما می خواستیم یه برنامه وابسته (affiliate program) ایجاد کنیم و من یه برنامه نویس برای پنل [مدیریت وابسته به باج افزار] پیدا کردم. سپس یکی از رفقا نزد ما [یکی از افراد وابسته] اومد و گفت که به اداره پلیس دسترسی داره. من این حمله رو انجام ندادم. اما اون این حمله رو بطور کامل انجام داد. اونا اداره پلیس رو رمزگذاری کردن و همه چیز رو دانلود کردن.

مذاکرات مطلقاً هیچ نتیجه ای نداشت. افراد وابسته باج خاصی می‌خواستن، و در نهایت، همانطور که به روسی می‌گوییم، وقتی نوبت به آپلود داده‌ها می‌رسید، «شلوارشون خیس کردن و فرار کردن». اونا باج پیشنهادی 100000 دلاری توسط MPD قبول نکردن. اما برداشت من این بود: "اگر پول رو قبول نکنید، من این داده ها رو در وبلاگ قرار میدم." که وابستگان وحشت زده از من خواستند که این کار رو نکنم. من به اونا گفتم که اطلاعات سرقت شده متعلق به برنامه وابسته Babuk هستش. خوب، اونا شروع به تهدید من کردند که من پیدا میکنن. من فقط این برنامه وابسته رو مسدود کردم و شروع به آپلود داده ها در وبلاگ کردم.

از آنجایی که دامنه Tor متعلق به من بود، افراد وابسته سعی کردند وبلاگ جدیدی برای Babuk ایجاد کنند. اما من به اونا اجازه ندادم این کار رو بکنن و برنامه وابسته از بین رفت. هک دپارتمان پلیس نقطه پایانی در فروپاشی این برنامه وابسته بود، اگرچه موقعیت‌های مختلفی وجود داشت که میتونست منجر به بسته شدن این برنامه بشه. به عنوان مثال، یک باگ بزرگ در رمزگشا برای هایپروایزرهای ESXi وجود داشت (VMware ESXi یک هایپروایزر کلاس سازمانی و type-1 است که توسط VMware برای استقرار و سرویس‌دهی به رایانه‌های مجازی توسعه یافته است.) که به سادگی خروجی دیسک ها را به صفر تبدیل میکرد و ما حداقل داده های دو شرکت را از بین بردیم. ما برای رمزگشا از اونا پول گرفتیم، اما اونا نتونستن اطلاعات خودشون رمزگشایی کنن. در اصل، ما از اونا کلاهبرداری کردیم.


آقای Dmitry : بعدا انجمن RAMP بوجود اومد [ RAMP یه انجمن زیرزمینی مجرمانه هستش که اپراتورهای باج افزار و افراد وابسته محصولات خودشون رو در اون تبلیغ می کنند]. چرا اونو ایجاد کردید و چرا اونو به دیگران انتقال دادید؟

آقای Matveev : من RAMP رو برای استفاده از دامنه Babuk onion domain ایجاد کردم. خوشبختانه Babuk حجم ترافیک زیادی داشت. و بنابراین ایده ایجاد انجمن RAMP متولد شد. وقتی انجمن محبوب شد، متوجه شدم که نمی‌خوام درگیر اون بشم، زیرا مطلقاً هیچ سودی به همراه نداشت. فقط هزینه هایی را متحمل شد. حملات انکار سرویس (DDoS) توزیع شده ثابت. بازنویسی موتور از ابتدا و هزینه زیادی برای اون خرج کردیم.

بعدا برخی چیزهای کلی از اونجا شروع شد و مثلا همه باید تأیید می شدند. با خودم فکر کردم خدایا چرا خودم را برای این ثبت نام درگیر کردم؟ تو این شرایط در انجمن بود که با Kajit آشنا شدم. من به Kajit گفتم: " ناظم باش، همه را تایید کن، و من مقداری پول نقد به تو میدم." اینگونه بود که انجمن در واقع به دست Kajit افتاد. بعدش، مشکلاتی در زندگی من اتفاق افتاد و اصلاً برای انجمن وقت نداشتم، بنابراین انجمن را به Kajit دادم. سپس یک سری اتفاقات عجیب و غریب رخ داد که برنامه های وابسته شروع به نوشتن برای من کردند. گفتند: «اى حيوان چه مى كنى؟ اسکرین شات های پنل های ما لو رفته.” من از این وضعیت شرمنده بودم. من به انجمن رفتم و از طرف Boris یک پیام خصوصی برای Kajit فرستادم. در آن لحظه، ما به خوبی با پشتیبانی LockBit ارتباط داشتیم. او برای من یک فرد نرمال به نظر می رسید و من اون در این گفتگو با Kajit آوردم. Kajit گفت که او انجمن رو مسدود نمیکنه و انجمن رو با کسی به اشتراک نمیزاره. مدیر انجمن XSS به Kajit پیشنهاد داد که انجمن رو به شخص دیگری منتقل کنه و تا آنجا که من می دونم، Stallman اونو دریافت کرد. انجمن RAMP هنوز وجود داره، اما من اونجا نمیرم، و ارتباط زیادی با Stallman ندارم.


آقای Dmitry : هر چند وقت یکبار افراد از برنامه های وابسته مختلف در یک شبکه یکسان برای اخاذی از قربانیان رقابت می کنند؟ آیا شما هم چنین موقعیت هایی داشته اید؟

آقای Matveev : این اغلب اتفاق می افته. به خصوص زمانی که چندین نفر یه اکسپلویت مشترک داشته باشند، یا اگه در مورد اعتبارهای دسترسی اولیه استخراج شده توسط یک Stealer مشترک، ارتباط داشته باشن، در نتیجه به یه ترافیک یکسان دسترسی دارن. من برخی از کدهای منبع، به اصطلاح PoC، رو از GitHub میگرفتم و اونارو اصلاح میکردم. اگر به خاطر داشته باشید، یه CVE معروف برای Fortinet VPN وجود داشت. ما اونرو با یه برنامه نویس از انجمن پیدا کردیم. بر اساس لیست آدرس‌های IP، تقریباً 48000 نقطه ورود به دست آوردیم. آن موقع خیلی تعجب کردم، واقعا شوکه شدم. اما ما حتی 3 درصد از این لیست را هم بررسی نکردیم. زمان کافی نداشتیم.

هنگامی که رقبای ما شروع به استفاده از این آسیب‌پذیری کردن، اهداف مشترکی وجود داشت. من اغلب وارد شبکه‌هایی که قبلاً توسط شخص دیگری رمز شده نمیشم و به اونا دست نمیزنم، زیرا وظیفه من رمزگذاری برای بار دوم نیست، اما برخی از بچه‌ها چنین شبکه‌هایی رو هم میزنن. اونا وارد میشن و می بینند که رمزگذاری شده و برای اینکه کس دیگه ای به اونا دسترسی نداشته باشه، دوباره اونارو رمزگذاری میکنن. مواردی وجود داشت که من و بچه ها فقط در طول حرکت در شبکه از کنار هم عبور میکردیم، با هم تماس میگرفتیم و به نوعی بحث میکردیم که چیکار کنیم. ما اساساً همیشه توافق میکردیم.

حتی پس از اون اتفاق ما به طور مشترک چند پروژه دیگر رو انجام دادیم. در تابستان 2022، این همیشه اتفاق می افتد، زیرا همه تشنه متریال بودند. چگونه می توانیم به دسترسی اولیه برسیم؟ در واقع، گزینه های زیادی وجود ندارد. آسیب پذیری هایی مانند RCE در محصولات مختلف دستگاه های VPN وجود داشت، همه چیزهایی که می توانند به شبکه دسترسی داشته باشند یا ورود به شبکه از طریق دسترسی stealerها. اما اساساً اکنون همه دسترسی به ترافیک دارن و ترافیک منحصر به فرد کمی وجود داره و کسانی که اونارو دارن، فقط برای خودشون استفاده میکنن یا در حال حاضر با برخی تیم ها کار می کنند، بنابراین کاملاً طبیعیه که تضاد منافع در شبکه ها وجود داشته باشه و این حتی بیشتر هم میشه.


آقای Dmitry : در مورد برخی از حملاتی که برای شما جالب بود بگویید. کدام سریعتر بود؟ از اولین نفوذ به شبکه تا دریافت پرداخت چقدر طول کشید؟

آقای Matveev : من چندین حمله از این دست رو داشتم... بله، حملات بسیار جالبی وجود داشت. قبل از صحبت در مورد حملات، میخوام اونارو خلاصه کنم. شبکه های کوچک، شبکه های متوسط ​​و شبکه های بسیار بزرگ وجود داره. و من به شما میگم، کار با شبکه یک سازمان با درآمد 1 میلیارد دلاری بسیار آسان تر از شبکه ای از سازمانیه که درآمد 9 میلیون دلاری داره. من به شما میگم چرا. رایانه‌های بسیار بیشتری وجود داره که راحت‌تر از شبکه‌های کوچیکه محدوده، راحت‌تر پنهان میشید و به راحتی می‌تونید اونارو پیمایش کنید. شما باید خیلی سریع حرکت کنید. و زمانی که کارم را شروع کردم، با BlueKeep بود - یه آسیب پذیری در Microsoft Remote Desktop. من روزانه پنج شبکه کوچیک رو هک می‌کردم، چون باید فوراً وارد آن می‌شدم و این کار را انجام می‌دادم. اما، هر چه پیشرفت کردم، زمانی که برای هک ها صرف کردم بیشتر شد.

طولانی ترین هک من ... احتمالا همه در مورد شرکت Capcom شنیده اند. من از طریق یک آسیب پذیری Fortinet به اونجا نفوذ کردم. در واقع، وقتی وارد شبکه اونا شدم، کمی تعجب کردم که همه چیز به زبان ژاپنی بود. هیچ سلسله مراتبی وجود نداشت، هیچ تقسیم بندی به بخش ها وجود نداشت . من یک مدیر دامنه (domain admin) که مدت طولانی بود استفاده نشده بود رو پیدا کردم. از اونجا نام Babuk بوجود اومد. Capcom یک ادمین Babak یا bambook داشت و وقتی این ادمین پیدا کردم، متوجه شدم که هیچ کس از اون استفاده نمی کنه، با اینکه اون از نوع سازمانی بود.

به طور کلی، من حمله به Capcom رو در مقاله Boris Yeltsin ، "آیا فکر می کنید من از شما پیشی نخواهم گرفت" (Do you think I won’t outplay you) بخوبی توضیح داده ام. اما نکات جالبی بود که از قلم افتاده که دوست دارم در این مصاحبه به اونا بپردازم. اون روزها، من با یک فردی با عنوان "Unknown" صحبت کردم که به من گفت به گروه اونا برم و اگه Capcom رو به اونها بدم ، اون من با افراد خاصی مرتبط می کنه. و همه چیز در زندگی من "چیکی بمبونی" (chiki bombon) خواهد بود [این ترجمه تحت اللفظی است - معلوم نیست منظور او چیست]. اما خدا رو شکر همه چیز خراب شد، چون، احتمالا، الان اینجا نبودم و این مصاحبه رو با شما نمیکردم. محصول اونا در اون زمان وحشتناک بود - در سطح GandCrab. اونا نمی‌خواستند کاری در این مورد انجام بدن و اون شخصاً به من گفت: "به هر حال اونا به ما پول میدن چون می ترسند." خب، در اون روزا، این طور بود. اگه به یاد داشته باشید، lalartu رو، چنین شخصیتی، که به سادگی، بدون جستجوی پشتیبان، بدون جستجوی هیچ چیزی، یه نسخه از باج افزار رو در تمام شبکه ها راه اندازی کرد و کلی پول جمع کرد. من خودم گزارش ها و پنل های اون رو دیدم و تعجب کردم که چگونه یه فرد میتونه این کار رو انجام بده. سپس قربانی ها عملا به همه، به خصوص به REvil باج پرداخت میکردن. درآمدهای هنگفتی داشتند.

خب، به Unknown توضیح دادم: «اینجا عزیزم. شما چند سوراخ، چند باگ در محصولتون دارید. بله، من اونجارو رمزگذاری نکردم، به نوعی خودم رو اونجا خراب کردم.» که قول داد همه چیز رو درست کنه. من مدت زیادی منتظر ماندم، احتمالاً یک ماه و نیم از تصاحب domain controller تا رمزکردن گذشته بود. این طولانی ترین حمله بود. اینجا، در واقع، قبل از اینکه بخواهم Capcom را رمز کنم، دوباره به او نوشتم: "خب، همه چیز کار می کنه؟" اون گفت: "بله، بله، همه چیز کار می کنه." و من Build رو ساختم و همانطور که یادم میاد روی یه شبکه کوچک تست کردم. شبکه مرتبط با شهرداری بود و حتی اونا یک پنی پرداخت کردند، اما من اون رو دوست نداشتم. من در مورد نارضایتی خودم برای Unknown نوشتم.

اون گفت همه چیز درست میشه، اونو اجرا کن. در همون زمان، من از نزدیک با یکی از وابستگان برنامه Ragnar ارتباط برقرار کردم. او در خارج از کشور زندگی می کرد. به هر حال، شاید اون تو زندان بود چون قطعاً در خارج از کشور بود. خب، همه ما به سرعت با هم ارتباط برقرار کردیم و توافق کردیم، و همه چیز به سرعت در Capcom انجام شد. آه، صبح روز بعد، Unknown به من پیام داد، لعنتی. گفتم داداش، متاسفم، توهین نمی‌کنم، به شما هشدار دادم. اون ازم ناراحت شد، من مسدود کرد و از اونجا مثله یه بچه ای که اسباب‌بازیش رو برمی‌دارید دور شد. بچه ها به من گفتند که اون می خواد من تو زندگیه واقعی پیدا کنه. Unknown دوست داشت این کار رو انجام بده، اون دوست داشت سخت بازی کنه. اونا سر و صدای زیادی به راه انداختند، احتمالاً مثل من الان، در زمانی که لزومی به ایجاد چنین سر و صدایی نبود.

سریع ترین حمله در زندگی من به محض دریافت آسیب پذیری ProxyLogon اتفاق افتاد. در اون زمان، من یه برنامه نویس خوب داشتم که در حال نهایی کردن اکسپلویت بود. یکی از شبکه های جالب یک شرکت لجستیک در هلند بود. انبار بزرگ. انبار بسیار بزرگ. من در سفر بودم که به سرور نفوذ کردم. در اونجا، من بلافاصله توکن های مدیریت دامنه را به دست آوردم. خب، این بچه ها اصلا نمی ترسیدند و نگران چیزی نبودند. به یاد دارم که ساعت 20:00 به وقت مسکو به اونجا نفوذ کردم و حدود ساعت 4:00 صبح به وقت مسکو همه جا رمز شده بود. از ساعت 6 صبح مدیر انبار با وحشت برای ما پیام فرستاد که بهش گفتم داداش منتظر سرپرست (supervisor) باش.

بنابراین، بیایید قدم به قدم پیش بریم. با نگاهی به شبکه، همه چیز ساده و واضح به نظر می رسید. اونا یه administrator’s domain برای ما داشتن. رمز عبور برای همه چیز یکسان بود، در هایپروایزرها، روی سرور پشتیبان در گروه کاری. پس از تجزیه و تحلیل شبکه، یک سیستم پشتیبان WIM پیدا کردم. من می‌تونستم تمام رمزهای عبور رو از اون دریافت کنم و در نتیجه همه پشتیبان‌گیری‌ها را دریافت کردم، اگرچه پشتیبان‌گیری‌های آنها بسیار بد بود. اونا فقط از NAS [network-attached storage] پشتیبانگیری کرده بودند. رفتم NAS و فرمتش کردم. به ESXi رفتم، رمزگذاری کردم، پس از حدود یک ساعت، ادمینشون برای ما پیام فرستاد.

ادمین درست در نیمه شب نوشت: "من می خوام مشکل را حل کنم." گفتم مشکل حل نمیشه، چون رئیس نیست. صبح مجبور شدم به شهر دیگری پرواز کنم. یادم میاد که در فرودگاه نشسته بودم، ادمین به من نوشت: 2 میلیون دلار. انتقال 2 میلیون دلار به من. من تا به حال چنین مبلغی رو تو کیفم نداشتم. با تعجب و خوشحالی سوار هواپیما شدم و متوجه شدم که لعنتی یک لپ تاپ 2 میلیون دلاری دارم. خب من رمزگشا رو بهشون دادم و وقتی رسیدم چت رو باز کردم. لعنت به اون ، چیزی درست نیست، اونا نوشته بودند: شما VMDK را نابود کردید ( VMDK یک فرمت فایل است که فضاهایی رو برای درایوهای هارد دیسک مجازی برای استفاده در ماشین های مجازی مانند VMware Workstation یا VirtualBox ارائه میدهد.) من سعی کردم مشکل بفهمم و نمونه های VMDK را خواستم. حجم اونا صفر کیلوبایت بود. برای برنامه نویسمان نوشتم که خب همه چی خرابه ، کسی که «سرطان داشت». اون گفت: خب، نمیدونم و یه چیزی به مشکل خورده. و خواست که پول رو برگردونم. خب چاره ای نداشتیم جز اینکه جلوی اونا بایستیم.. ما برای این پول از اونا کلاهبرداری کردیم. من هنوز خودم بخاطر این موضوع سرزنش می کنم. این سریع ترین حمله ای بود که تا به حال انجام دادم.


آقای Dmitry : چگونه به شبکه ها دسترسی دارید؟

آقای Matveev :من همه چیز را از GitHub گرفتم. همانطور که می گویند، ساخته شده از چرت و پرته. اولین اکسپلویت جالب Fortinet بود و سپس یک آسیب پذیری بسیار قدیمی در شیرپوینت. سپس SonicWall بود. به طور کلی، من همیشه سعی کرده ام دسترسی اولیه رو از RCE [اجرای کد از راه دور] دریافت کنم. من همچنین اطلاعات ورود به سیستم ها رو از RedLine هم خریدم. اما بهترین نقطه ورود توسط RCE بوده.

متأسفانه دایرکتوری های ویندوز به گونه ای چیده شدن که با قرار گرفتن در داخل دایرکتوری ها، شبکه مانند دومینو باز میشه. در واقع، هیچ چیز پیچیده ای نیست، ویندوز به شما کمک میکنه. من هرگز چیزی نخریده ام. یک بار دیگر تکرار می کنم. همه چیز از چرت و پرت ساخته شده بود. همه چیز همینطور به دست میاد. همه چیزهایی که در رسانه ها توضیح داده می شود اینه که ما یه گروه باج افزار فوق العاده هستیم، افراد فوق مگا باحال، که تعداد زیادی از اونا وجود دارن. نه، کلا همه بچه ها معمولی هستند، بیشترشون به تنهایی کار می کنند.


آقای Dmitry : چگونه از مدافعان سایبری جلوتر می مانید؟ یا آنقدر کند هستند که مهم نیستن؟

آقای Matveev : اینجا همه چیز خیلی ساده است. متخصصان امنیت سایبری، هیچ یک از اونا هرگز هدف واقعی نبوده اند. مثل تیراندازی در یک محدوده با اسلحه . به نظر میرسه که شما شلیک می کنید و به هدف می زنید، اما اگر یک مسلسل به شما بدن و به میدان نبرد پرتتون کنن، عوامل زیادی نیز وجود داره که مانع از زدن به هدف میشه - مثله ترس درونی و احساسات دیگر.

اینا انسانهای زنده هستند. بنابراین، از اونجاییکه اونا هرگز در شرایط جنگی نبوده اند، هرگز این شبکه ها رو در شرایط جنگی آزمایش نکردن. به همین دلیل ما یک قدم جلوتر هستیم. آنها متفاوت فکر می کنند. آنها از دید تئوری فکر می کنند. از نظر تئوری که تیم های کامل و گروههایAPT به برخی شبکه ها حمله می کنند. بنابراین من این رو میگم: اگر همه گروه های باج افزار به طور ناگهانی متخصص امنیت سایبری بشن و کسانی که اکنون متخصص امنیت سایبری هستند شروع به نفوذ در شبکه ها کنند، حملات باج افزاری تموم میشه.

آقای Dmitry : صنعت باج افزار را در سه سال آینده چگونه می بینید؟ آیا باج افزار بهترین مدل کسب درآمد برای مجرمان سایبری باقی خواهد ماند یا اونا به سمت چیز دیگری حرکت خواهند کرد؟

آقای Matveev : مثل اینکه کارتینگ (carding) قبلاً رایج بود و پول زیادی توش بود، اما اکنون دیگه مرده. باج افزار هم به زودی خواهد مرد - نه سه سال دیگر، بلکه زودتر. به معنای واقعی کلمه، همه چیز در طول شش ماه گذشته تغییر کرده . از آغاز عملیات ویژه در اوکراین، تقریباً همه از پرداخت پول خودداری میکنن. من اغلب با افرادی روبرو می شدم که در چت به من می نوشتند: «تو یه اشغالگر روس هستی. به 10 هزار دلار راضی باش و ما بیشتر به شما نمیدیم. حداقل اونو بپذیر.» تبدیل [یا بازگشت سرمایه] در شش ماه گذشته کاملاً کاهش یافته. به طور کلی کار کردن سخت شده.

اگر بمیره، دیگه مرده. شما باید چیز جدیدی بیارید. اما باج افزار بدتر از هروئینه. من اونو امتحان نکرده‌ام، اما افرادی رو دیدم که از اون استفاده می‌کنند، و اینرو به شما میگم: باج‌افزار بدتر از اعتیاد به مواد مخدر. هیچ جا مانند باج افزار پول توش نیست. من حتی اونو با فروشندگان مواد مخدر از hydra [بزرگترین بازار دارک وب جهان، که امسال تعطیل شد] مقایسه کردم. اونا کمتر از ما درآمد دارن.

اما در حال حاضر، باج افزار همچنان پیشرو در کسب درآمد . هیچ طرح دیگری در اینترنت وجود نداره که بتونید درآمد بیشتری داشته باشید. یا من هنوز از اون اطلاعی ندارم.

آقای Dmitry : جنگ در اوکراین چگونه بر صحنه باج افزار و به طور کلی جرایم سایبری تأثیر گذاشته ؟

آقای Matveev : من اونو جنگ در اوکراین نمیگم، اونو یک عملیات نظامی ویژه می نامم. امیدوارم متوجه شده باشید. تاثیر زیادی داشت. من دوستان زیادی از اوکراین داشتم. از کل لیست تماس من از ساکنان اوکراین فقط یک یا دو نفر در حال حاضر با من ارتباط برقرار می کنند. بقیه همه رفته اند. به من می گویند اشغالگر.

وحشتناکه، صنعت دوباره سازماندهی شده. من نمی دونستمم که آیا عملیات ویژه ای آغاز میشه یا نه، اما تا اونجاییکه همه ما می دونیم، روسیه بی سر و صدا شروع به همکاری با ایالات متحده در مورد جرایم سایبری کرد. بهم ریختم و بعدش خیلی ترسیدم، زیاد مشروب می خوردم. من قانون اساسی رو دوباره خوندم و فهمیدم که اونا من در روسیه ول میکنن، اما ترسناک بود [ روسیه قرارداد استرداد با ایالات متحده ندارد]. من پول رو فراموش کرده بودم و سپس عملیات ویژه شروع شد. من خوشحال بودم لعنتی اگرچه می دانید صحبت در مورد اون احمقانه هستش چون مصاحبه من توسط شهروندان اوکراینی نیز خونده میشه و ممکنه پدر یک نفر یا فرزندش فوت کرده باشه. من بدون مجازاتی شروع به شادی کردم. اما، اگر برای عملیات ویژه نبود، من رفتاری را که الان دارم انجام نمیدادم - حتی یه کمی از رفتارمم شرمنده ام.

آقای Dmitry : آیا به شما پیشنهاد کار برای برخی سرویسهای دولتی داده شده ؟ اگر چنینه، کدوم؟

آقای Matveev : احتمالاً می خواهید رازهایی را بشنوید، اما مطلقاً هیچ رازی وجود نداره. حتی تعجب کردم که در کل تاریخ حرفه‌ای من از سال 2011 تاکنون کسی به سراغ من نیومده. نه FSB [سرویس امنیت فدرال روسیه] و نه [وزارت امور داخلی]. من فقط یک زندگی معمولی داشته ام.

من حتی وقتی در انجمن ها میخوندم که FSB به سراغ فلانی رفته و اونارو مجبور به کار کرده رو هم نمی فهمم. به نظر من همه اونا دروغ میگن، و خودشون به FSB رفتند و درخواست کار کردند - اما من نمی دونم این سرویس ها چگونه کار می کنن. ساختار FSB بسیار محرمانه است. بر خلاف آمریکایی‌ها، FSB در وب‌سایت خودش تصاویری رو قرار نمیده که بگه، ببینید، من در حال تماشای Most Wanted Cyber هستم. برای من روشن نیست که آمریکایی ها میخوان به چه چیزی برسن. من اصلاً در مورد کار سرویس FSB چیزی نمی دونم. این یه چیز تاریک برای منه. من حتی ممکنه خوشحال باشم که با اونا ارتباط برقرار کنم، اما نه، این ضروری نیست.


آقای Dmitry : یک رازی به من بگو بین FSB و FBI، چه کسی شما را بیشتر می ترساند؟

آقای Matveev : چه چیزی من را بیشتر نگران میکنه؟ اگر این دو ساختار شروع به همکاری با هم بکنن ، در این صورت من حداقل سه حبس ابد خواهم داشتم.



ما را در تلگرام دنبال کنید

یه قهوه من مهمون کن

ویدیوی دنیای توسعه دهندگان زیرودی ، مشاهده در : آپارات - یوتیوب - تلگرام

دریافت نشریه تخصصی امنیت سایبری ONHEX : شماره اول | شماره دوم

Mikhail MatveevDmitry SmilyanetsMetropolitan Police DepartmentاکسپلویتBabuk
علاقمند به باگ بانتی ، توسعه اکسپلویت و ابزارهای امنیتی و دنیای آبی
شاید از این پست‌ها خوشتان بیاید