همکاری با رابین‌هود
14 فروردين 1401
اعترافات مارکوس هاچینز، هکری که اینترنت را نجات داد (قسمت چهارم)
در قسمت‌های قبل با بخشی از زندگی مارکوس هاچینز، هکر جوانی که توانست یک‌تنه جلوی حمله‌ای که کل اینترنت را هدف قرار داده بود بگیرد، و نحوه توسعه بدافزار توسط او، آشنا شدیم. هاچینز به‌رغم فعالیت‌هایی که در گذشته داشت، علاقه خود را به تبهکاری اینترنتی از دست داد. در این قسمت، به فعالیت‌های او به‌عنوان هکری کلاه‌سفید خواهیم پرداخت و در عین حال با خواهیم دید که دنیای هکرهای حرفه‌ای چگونه کار می‌کند.

shabake-mag.jpg

داستان مارکوس هاچینز را به ترتیب بخوانید:

جبران

زمانی که هاچینز ۱۹ سال داشت، خانواده‌اش دوباره نقل مکان کردند. این‌بار آن‌ها به ساختمانی چهار طبقه در ایلفراکمب (Ilfracombe) انگلیس اسباب‌کشی کردند. این ساختمان در سده ۱۸ میلادی ساخته شده بود. ایلفراکمب، شهری ساحلی با معماری ویکتوریایی است. هاچینز در زیرزمین این منزل مستقر شد. وی در این زیرزمین، سرویس ‌بهداشتی و آشپزخانه اختصاصی داشت. شرایط این منزل به مارکوس کمک کرد تا بیشتر از خانواده و دنیای بیرون جدا شود. هاچینز بیشتر از همیشه تنها بود.

پس از انتشار بدافزار کرونوس در xploit.in این بدافزار به موفقیت نسبی دست پیدا کرد. در این وب‌سایت هکرهای روسی بی‌شماری حضور داشتند. با این حال وینی زبان روسی بلد نبود. از طرف دیگر قیمت گزاف ۷ هزار دلار را برای کرونوس مشخص کرده بود. بدافزار کرونوس نیز همانند تمامی نرم‌افزارهای جدید، اشکالات‌ نرم‌افزاری زیادی داشت. به همین دلیل هکرهای روسی که در این وب‌سایت حضور داشتند، با شک‌‌و‌‌تردید کارهای وینی را دنبال می‌کردند. مشتریان نیز دائم تقاضای آپدیت و ویژگی‌های جدید داشتند. این شرایط، کدنویسی شبانه‌روزی را در سال بعد از انتشار کرونوس به‌دنبال داشت. در این بین مارکوس تلاش می‌کرد تا تحصیلات سال آخرش را به‌پایان برساند. او خودش را غرق کار و تحصیل می‌کرد تا ترسی که در وجودش رخنه کرده بود را از بین ببرد. مارکوس هر بار که صدای آژیر می‌شنید، فکر می‌کرد آمد‌ه‌اند تا او را ببرند. گاهی‌اوقات چندین روز با مطالعه و برنامه‌نویسی خودش را بیدار نگه می‌داشت، سپس مضطرب می‌شد و در نهایت به خوابی طولانی می‌رفت.

هاچینز در این گیرودار، رفاقتی آنلاین با فردی با نام رندی (Randy) برقرار کرد. مارکوس مدتی پس از انتشار بدافزار کرونوس، با رندی در انجمن اینترنتی تروجان‌فُورج (TrojanForge) آشنا شد. رندی از هاچینز درخواست کرد بدافزار بانکی برای او بنویسد. وقتی هاچینز این پیشنهاد را رد کرد، رندی از او درخواست کرد تا در توسعه چند اپلیکیشن تجاری و آموزشی به وی کمک کند. از آن‌جایی که این اپلیکیشن‌ها قانونی بود، هاچینز همکاری در توسعه آن‌ها را روشی برای پول‌شویی درآمدهای غیرقانونی خودش یافت. به همین دلیل با این پیشنهاد موافقت کرد.

رندی ثابت کرد که مشتری سخاوتمندی است. وقتی هاچینز به رندی گفت که رایانه‌ای با سیستم‌عامل مک‌او‌اس (MacOS)، برای توسعه اپلیکیشن‌های اپل ندارد، رندی یک دستگاه رایانه آی‌‌مک (iMac) به‌عنوان هدیه برای هاچینز ارسال کرد. مدتی بعد دوباره دست‌و‌دلبازی رندی گل کرد. وی از هاچینز پرسید که آیا کنسول پلی‌استیشن دارد، پاسخ هاچینز منفی بود. چند روز بعد یک‌ کنسول پلی‌استیشن ۴ درِ منزل هاچینز تحویل داده شد. بر خلاف وینی، رندی کاملاً درباره زندگی شخصی خود بی‌پرده با مارکوس صحبت می‌کرد. به دنبال صمیمی‌ترشدن رابطه رندی و مارکوس، تماس‌های ویدئویی جای پیام‌های متنی را گرفت. رندی در این تماس‌های ویدئویی از هدف‌های انسان‌دوستانه خود برای ایجاد پروژه‌های رایگان آموزش برنامه‌نویسی برای کودکان گفت. این هدف‌ها مارکوس را تحت‌تاثیر قرار داد. هاچینز می‌دانست که بیشتر درآمدش از راه خلاف‌ اینترنتی به‌دست می‌آید. با این حال رندی را مانند رابین‌هود می‌دانست. وی آرزو داشت تا روزی مانند رندی شود. مدتی بعد نیز رندی برملا کرد که در لس‌آنجلس زندگی می‌کند. مارکوس همیشه آرزوی زندگی در این شهر آفتابی را داشت. رفاقت میان مارکوس و رندی به جایی کشید که صحبت‌هایی درباره اجاره منزلی نزدیک به ساحل کالیفرنیای جنوبی میان این دو رفیق ردوبدل شد. آن‌ها برنامه داشتند تا استارتاپی را در این منطقه راه بیندازند.

رندی کاملاً‌ به مارکوس اعتماد کرده بود. وقتی هاچینز ترفند‌های بیت‌کوین خود را با رندی به‌اشتراک گذاشت، رندی بیشتر از ۱۰ هزار دلار رمزارز برای مارکوس فرستاد. هاچینز برنامه‌ای شخصی برای سودآوری بیشتر بیت‌کوین طراحی کرده بود تا جلوی ضرر وی در نوسان‌های شدید بیت‌کوین را بگیرد. این برنامه به نظر رندی جالب توجه آمد. به همین دلیل از مارکوس خواست تا سرمایه‌اش را با همین روش مدیریت کند.

یکی از صبح‌های تابستان ۲۰۱۵، هاچینز با خستگیِ کارِ شب گذشته، از خواب بیدار شد. از قرار معلوم شب قبل برق رفته بود. این اتفاق چیزی حدود ۵ هزار دلار از بیت‌کوین‌های مارکوس را نابود کرد. به دلیل این آشفتگی مالی، ترس وجود هاچینز را در بر گرفت. مارکوس سریعاً رندی را پیدا کرد و او را در جریان ضرر هنگفت خود قرار داد. هاچینز برای جبران ضرری که متحمل شده بود، پیشنهادی به رندی داد. او برملا کرد که بدافزاری با نام کرونوس را توسعه می‌دهد. از آنجایی که رندی در گذشته دنبال بدافزار بانکی بود، مارکوس به او پیشنهاد داد که نسخه‌ای رایگان از این بدافزار را در اختیار رندی قرار دهد. رندی نیز این پیشنهاد را قبول کرد تا با مارکوس بی‌حساب شود.

این اولین باری بود که هاچینز راز توسعه بدافزار کرونوس را با کسی در میان می‌گذاشت. با این حال وقتی روز بعد نگرانی‌های او درباره ضررهایش کاهش پیدا کرد، تازه متوجه شد که عجب دست‌گلی به آب داده است. او در اتاق خوابش نشست و به تمامی اطلاعات شخصی که با رندی در چند ماه گذشته در میان گذاشته بود فکر کرد. در این موقع بود که متوجه شد اطلاعاتش را با کسی مطرح کرده که سازوکار امنیتی او ضعف‌های زیادی دارد. به همین دلیل احتمال داد که رندی دیر یا زود دستگیر شود. از آنجایی که رندی اطلاعات زیادی از هاچینز داشت، دستگیرشدن رندی، وی را به‌خطر می‌نداخت. مارکوس به این نتیجه رسید که جرم‌های اینترنتی او دیر یا زود باعث بازداشتش می‌شود. با توجه به وضعیت فعلی، فکر می‌کرد که این دفعه دیگر کارش ساخته است.

هاچینز در پاییز ۲۰۱۵ از دانشگاه فارغ‌التحصیل شد، اما فشار درس و کار او را به بستر بیماری کشاند. کسالت باعث شد تا کارهای توسعه بدافزار کرونوس به تعویق بیفتد. وقتی وینی پیگیر تاخیرهای ماکروس در انتشار آپدیت‌های جدید شد، هاچینز درس را بهانه کرد. با این حال به دنبال وخامت بیماری هاچینز، وینی او را تنها گذاشت. پرداخت کمیسیون فروش بدافزار کرونوس هم قطع شد. با پایان همکاری هاچینز و وینی، سیاه‌ترین سال‌های زندگی هاچینز به‌عنوان خلافکار اینترنتی خاتمه یافت. هاچینز در چند ماه بعد کاری به غیر از مخفی‌ شدن در اتاقش نداشت. این شرایط زمینه بهبودی کسالت او را فراهم کرد. وی در این روزها به انجام بازی‌های ویدئویی و تماشای پشت‌سرهم سریال برکینگ بد (Breaking Bad)، مشغول بود. هاچینز در این مدت کمتر از منزل بیرون می‌آمد. فقط گاه‌و‌بیگاه برای شنا به ساحل می‌رفت یا با گروهی از جوان‌های ماجراجو روی صخره‌ای بلند می‌ایستادند و برخورد موج‌های ۲۰‌متری به صخره‌ها را تماشا می‌کردند. هاچینز به‌خاطر می‌آورد با تماشای امواج خروشان احساس می‌کرد چقدر کوچک است و قدرت این موج‌ها در یک چشم‌ب‌هم‌زدن وی را نابود خواهد کرد.

چندین ماه طول کشید تا شرایط روانی هاچینز آرام شود. با این حال پس از این‌که حال جسمی و روانی مارکوس بهبود یافت، دوباره راه دنیای هکرها را در پیش گرفت. او علاقه خود به تبهکاری اینترنتی را از دست داده بود. در عوض مشغول نوشتن در بلاگی شد که سال ۲۰۱۳ در فاصله میان ترک‌ تحصیل دبیرستان و ادامه تحصیل دانشگاه راه‌ انداخته بود.

سایتی که مارکوس راه انداخته بود، مَلوِرتِک (MalwareTech) نام داشت. هاچینز در این سایت پست‌های فنی درباره بدافزارها منتشر می‌کرد. هاچینز مطالب این بلاگ را به گونه‌ای می‌نوشت که برای تمامی هکرها جالب باشد. به همین دلیل دیری نپایید که مطالب این بلاگ نظر هکرهای کلاه‌سفید و کلاه‌سیاه را جلب کرد.

مارکوس در یک مرحله بررسی کاملی از وب‌اینجکت، در این بلاگ انجام داد. در پستی دیگر به نقاط‌ ضعف رایانه‌ها در برابر هکرها اشاره کرد. پس از مدتی میزان بازدیدکنندگان همیشگی این بلاگ از ۱۰ هزار نفر عبور کرد. هیچ‌کدام از این کاربران نمی‌دانستند که نویسنده این مطالب، ید طولایی در توسعه بدافزار دارد.

هاچینز در سال‌های پس از خاتمه ‌دادن به توسعه بدافزار کرونوس، به مهندسی معکوس چندین بات‌نت معروف با نام‌های کِلیهوُس (Kelihos) و نِکورز (Necurs) مشغول شد. پس از مدتی پا را از مهندسی معکوس بدافزارها فراتر گذاشت و رایانه‌هایی که کنترل آن‌ها در اختیار هکرها قرار گرفته بود را بررسی کرد. مارکوس متوجه شد بدافزار کلیهوس، برای ارسال فرمان از یک رایانه قربانی به دیگری طراحی شده است. این طراحی با طراحی رایج شبکه مرکزی در بات‌نت‌ها تفاوت داشت. به همین دلیل رهیابی را دشوارتر می‌کرد. هاچینز می‌توانست برنامه‌‌ای برای تقلید رفتار بدافزار کلیهوس بنویسد. وی با این بدافزار تمامی عملکرد بات‌نت‌ها را زیر نظر می‌گرفت.

مارکوس به‌لطف هوش سرشاری که داشت، ابزاری برای رهیابی بات‌نت کلیهوس ساخت. مدتی از این ماجرا نگذشته بود که فردی با نام سلیم نینو (Salim Neino)، مدیرعامل شرکت کوچکی که در حوزه امنیت سایبری فعالیت می‌‌کرد به وب‌سایت ملور‌تِک ایمیل زد. سلیم نینو در این ایمیل از نویسنده ناشناس این وب‌سایت درخواست همکاری کرد. این شرکت به دنبال سرویسی برای رهگیری بات‌نت‌ها می‌گشت. آن‌ها انتظار داشتند این سرویس در صورت تشخیص آی‌‌‌پی سیستمی که در شبکه‌ای از رایانه‌های هک‌ شده مانند کلیهوس قرار گرفته بود، به کاربر هشدار دهد.

سلیم نینو از یکی از همکارانش درخواست کرده بود تا به کلیهوس نفوذ کند، اما این همکار به سلیم گفته بود که مهندسی معکوس کلیهوس وقت زیادی از آن‌ها می‌گیرد. سلیم به هاچینز ۱۰ هزار دلار برای ساخت رهیاب بات‌نت کلیهوس پیشنهاد داد. هاچینز در عرض چند هفته پس از گذشت اولین کار رسمی خود، در کنار توسعه رهیابی برای کلیهوس، رهیابی برای با‌ت‌نت بسیار معروف سالیتی (Sality) نیز توسعه داد. پس از این پروژه، کریپتو لاجیک (Kryptos Logic) به هاچینز شغلی با حقوق سالیانه ۶ رقمی پیشنهاد داد. به دنبال این پیشنهاد، هاچینز با خود فکر کرد که نینو شوخی می‌کند. او به سلیم می‌گفت واقعاً می‌خواهد ماهانه این مقدار پول به او بدهد؟

این پول بیشتر از تمامی درآمدی بود که هاچینز با توسعه بدافزار به‌دست می‌آورد. هاچینز متوجه شد که واقعیت صنعت سایبرسکیوریتی (CyberSecutiry) مدرن را خیلی دیر درک کرده است. تهبکاری‌های اینترنتی برای هکری با استعداد در یک کشور غربی سود خوبی به‌دنبال ندارد.

در چندین ماه اول حضور هاچینز در کریپتو لاجیک (Crypto Logic)، وی به بات‌نت‌های مهمی مانند نِکورز (Necurs)، دریدِکس (Dridex) و ایموتِت (Emotet) نفوذ کرد. همکاران جدید هاچینز در کریپتو لاجیک، توانایی نفوذ به بعضی از بات‌نت‌ها را نداشتند. با این حال هاچینز با ایده‌ای جدید به این بات‌نت‌‌ها نفوذ می‌کرد و همکارانش را انگشت‌به‌دهان باقی می‌گذاشت. هاچینز از اتاق خوابش در ایلفراکمب بارهاوبارها ساختار بات‌نت‌ها را تخریب و دوباره بازسازی می‌کرد. وی با این روش شرایطی برای همکارانش در کریپتو لاجیک فراهم می‌کرد تا به رایانه‌های آلوده‌ بیشتری دسترسی پیدا کنند. به لطف تلاش‌های هاچینز، شرکت کریپتو لاجیک روند گسترش بدافزارها را زیر نظر می‌گرفت و کاربران قربانی را از خطرهای احتمالی مطلع می‌ساخت.

هاچینز در آن زمان یکی از بهترین کاوشگران بات‌نت در سرتاسر دنیا بود. به‌لطف تلاش‌های هاچینز، شرکت کریپتو لاجیک توانست درمدت سه یا چهار ماه، تمامی بات‌نت‌های معروف دنیا را زیر نظر بگیرید. به گفته سلیم نینو، هاچینز توانسته بود شرکت را به سطح دیگری از توانمندی‌ مقابله با بدافزار برساند.

مارکوس تمامی جزئیات کارهای خود را در بلاگ MalwareTech و توئیتر به‌اشتراک می‌گذاشت. این وضعیت وی را به فردی شناخته‌شده در دنیای برملاکنندگان اطلاعات بدافزارها تبدیل کرد. جِیک ویلیامز (Jake Williams)، هکر سابق اِن‌اس‌اِی (NSA)، که در آن زمان با هاچینز در بلاگ ملورتک آشنا شده بود، وی را نخبه‌‌ای در مهندسی معکوس بدافزارها می‌دانست. جالب اینجاست به غیر از همکاران هاچینز در کریپتو لاجیک (Crypto Logic) و چند نفر از دوستان نزدیکش، کسی هویت واقعی نویسنده بلاگ ملورتِک را نمی‌دانست. ویلیامز و صدها دنبال‌کننده دیگرِ هاچینز در توئیتر، وی را با آواتار گربه‌ای با عینک‌آفتابی می‌شناختند.

در پاییز ۲۰۱۶، بات‌نت جدیدی پدیدار شد. این بات‌نت درواقع بدافزاری بود با نام میرای (Mirai) که تجهیزات اینترنت اشیاء (IoT) را آلوده می‌کرد. میرای، با آلوده‌ کردن روترهای وایرلس، ضبط‌کننده‌های دیجیتالی و دوربین‌های امنیتی، این دستگاه‌ها را به لشکری عظیم و بسیار قدرتمند برای استفاده در حمله‌‌های دی‌داس (DDoS) تبدیل می‌کرد. تا قبل از آن زمان، بزرگ‌ترین حمله دی‌داسی که مشاهده شده بود، می‌توانست با صدها گیگابایت ترافیک در ثانیه به هدف ضربه وارد کند. با این حال در این حمله جدید، رایانه‌های قربانی با ترافیکی بیشتر از ۱ ترابیت، در ثانیه هدف قرار می‌‌گرفتند. این سیل ترافیکی، هر دستگاه دیجیتالی که در مسیرش قرار داشت را آفلاین می‌کرد. هکری با نام آنا سِنپای (Anna Senpai)، توسعه‌دهنده بدافزار میرای بود. این هکر کد بدافزار میرا را در انجمن هک‌فروم (HackForums) منتشر کرد تا دیگر هکرها انشعاب‌های خود را از بدافزار میرای درست کنند.

در سپتامبر ۲۰۱۶، حمله‌ای توسط بدافراز میرای (Mirai) به وب‌سایت برایان کِربز (Braian Kerbs) رخ داد. در این حمله بیشتر از ۶۰۰ گیگابایت ترافیک در ثانیه به وب‌سایت این بلاگر امنیتی ارسال شد تا این وب‌سایت سریعاً از دسترس خارج شود. مدتی بعد، شرکت فرانسوی OVH که خدمات هاستینگ در اختیار مشتریان قرار می‌داد نیز با ترافیک تورنت (Torrent) حدود ۱.۱ ترابیت در ثانیه حمله میرای را تجربه کرد. وب‌سایت دین (Dyn) که در زمینه انتشار نام دامین‌ها فعالیت می‌کرد حمله‌ای دیگر از میرای را شاهد بود. این وب‌سایت همانند دفترچه تلفن، نام دامین را به آدرس آی‌‌پی‌ آن ترجمه می‌کرد. به دنبال از کار افتادن وب‌سایت دِین، قسمتی از وب‌سایت‌‌های معتبری مانند آمازون، اسپاتیفای، نت‌فلیکس، پِی‌پال و رددیت، نیز در سرتاسر شمال آمریکا و اروپا از دسترس خارج شد. در همان زمان، حمله‌ میرای دیگری به یکی از تامین‌کننده‌های اصلی تلِکام (Telecom) در کشور لیبریا صورت گرفت. این حمله تقریباً تمامی اینترنت لیبریا را از کار انداخت.

از آنجایی که هاچینز همیشه دنبال بدافزارهای مخرب می‌گشت، جست‌وجو برای پیداکردن سرنخ‌هایی از میرای را آغاز کرد. وی در کنار همکارانش در کریپتو لاجیک، نمونه‌هایی از کدهای میرای را جمع‌آوری کرد. هاچینز توانست به لطف این کدها برنامه‌هایی برای نفوذ به تکه‌های بات‌نت‌های میرای بنویسد. این برنامه‌ها در فرمان‌های میرای تداخل ایجاد می‌کردند و به‌صورت زنده اخبار حمله‌های میرای را در توئیتر انتشار می‌دادند. در ژانویه ۲۰۱۷، حمله‌ای نظیر حمله بات‌نت میرای در لیبریا به بانک لوُیدز (Lloyds) انجام شد. این بانک، بزرگ‌ترین بانک بریتانیاست. حمله‌ای که از آن صحبت می‌‌کنیم وب‌سایت این بانک را در عرض چندین روز بارها از کار انداخت.

به‌لطف رصدکننده‌هایی که هاچینز برای میرای توسعه ‌داده بود، وی توانست سرورهایی را شناسایی کند که فرمان حمله میرای را صادر می‌کردند. هاچینز به اطلاعات تماس هکر بدافزار میرای دست پیدا کرد. وی به سرعت توانست این هکر را در برنامه پیام‌رسان جَبِر (Jabber) با نام کاربری پاپُپ‌رت (Popopret) شناسایی کند. هاچینز از این هکر درخواست کرد تا از حمله‌های میرای دست بردارد. او به پاپپ‌رت گفت که می‌داند وی مستقیماً مسئول حمله هکری به بانک لویدز (Lloyds) نیست. در واقع پاپپ‌رت، اجازه دسترسی به بات‌‌نت میرایی که توسعه‌ می‌داد را فروخته بود. سپس هاچینز پیام‌هایی در توئیتر برای پاپپ‌رت فرستاد. او در این پیام‌ها، پست‌هایی از مشتریان بانک لویدز را برای پاپپ‌رت ارسال کرد. مشتریان بانک در این پیام‌ها از دسترسی خود به حساب‌های بانکیشان گله داشتند. بعضی از این مشتریان در کشورهای خارجی بودند و نمی‌توانستند از حسابشان پول برداشت کنند. هاچینز همچنین به پاپپ‌رت تذکر داد که بانک‌ها در فهرست زیرساخت‌های حیاتی انگلستان قرار دارند. به همین دلیل اگر حمله‌ها ادامه پیدا کند، سرویس‌های اطلاعاتی بریتانیا ترتیب‌دهنده‌های این بات‌نت را تعقیب خواهند کرد.

حمله‌های دی‌داس به بانک خاتمه پیدا کرد. با این حال حدود یک سال بعد هاچینز این داستان را در توئیتر بازگو کرد. وی اشاره کرد با نصیحت‌هایش توانسته هکر حمله‌ به بانک را سرعقل بیاورد. او در توئیت‌هایش اشاره‌هایی به زندگی رمزآلودش داشت. او می‌دانست که هکرها در حالی‌ که پشت صفحه‌کلید نشسته‌‌اند، از درد و غمی که در سرتاسر اینترنت گسترش می‌دهند کاملاً دور هستند. هاچینز در این توئیت‌ها اشاره کرد در طول تجربه کاری خود با افراد بسیار کمی با شخصیت شیطانی مواجه شده است. بیشتر این افراد از نتیجه بلایی که به زندگی مردم می‌آوردند فرسنگ‌ها فاصله داشتند.

ایسوس

نظر شما چیست؟