Друг Великобритании и враг США: главное о деле программиста Маркуса Хатчинса

Национальный герой, приостановивший распространение шифровальщика WannaCry, оказался фигурантом дела о другом опасном вирусе.

3 августа уроженца Великобритании Маркуса Хатчинса (Marcus Hutchins) арестовали в США. По данным властей, в 2014-2015 годах он участвовал в создании трояна Kronos, атаковавшего банковскую систему. Этому обвинению наотрез отказались верить родственники и друзья программиста, ведь ещё недавно он сумел остановить вирус-вымогатель WannaCry. Тем временем юристы считают, что специалисту по кибербезопасности грозит до 40 лет тюрьмы.

​Ещё в начале весны 22-летнего Хатчинса знали только в хакерском сообществе под именем MalwareTech. Он активно вёл Твиттер (почти 100 тысяч читателей) и блог, где рассказывал о технологиях ботнетов, криптовалюте и принципах работы современных вирусов.

Хатчинс — самоучка, его потенциал около года назад заметил руководитель исследовательской организации по кибербезопасности Kryptos Logic Салим Неино (Salim Neino). Он пригласил юношу на должность штатного специалиста, благодаря чему Хатчинс в итоге и сумел остановить вирус-вымогатель WannaCry.

По рассказам самого программиста, он любит водку, хороший кофе и слушает поп-певицу Тейлор Свифт во время работы. До ареста он жил с родителями, в его комнате постоянно лежали коробки из-под пиццы, а в свободное время он играл в видеоигры.

По первому впечатлению трудно представить, что этот человек — хакер и взломщик, каким его, судя по всему, видят американские власти. На его аватарке в Твиттере изображён кот в очках, среди фотографий — недавно купленная обувь, арендованные спортивные машины.

Американские власти считают Хатчинса виновным в создании трояна Kronos, действовавшего в 2014-2015 годах. Заражённый вирусом компьютер перенаправлял пользователя на фишинговую страницу, замаскированную под сайт банка, которая тайно сохраняла всё вводимые на клавиатуре данные, пин-коды, логины и пароли от учётных записей, а затем передавал хакерам.

​По неподтверждённым данным, кроме Хатчинса спецслужбы США задержали ещё одного человека, виновного в создании Kronos. Его имя неизвестно. Следствие считает, что 22-летний специалист Kryptos Logic помогал в разработке, рекламе вируса на форумах, в том числе русскоязычных, и продавал его за 7 тысяч долларов. За эту сумму покупатель получал полный доступ к функциям вирусной программы и обновлениям.

Также власти представили ролик, который якобы записал партнер Хатчинса по созданию Kronos. Видео поясняет, как правильно использовать вирус.

Через пару часов после этого ролика, опубликованного в 2014 году, Хатчинс поинтересовался, «есть ли у кого-нибудь образец Kronos».

Формально в США нет закона, запрещающего создание вредоносной программы или её продажи. Под уголовную ответственность попадёт лишь тот, кто продаёт вирусную программу, зная, что её будут использовать в преступных целях. Профессор права в Университете Джорджа Вашингтона Орин Керр считает, что американским властям будет трудно доказать, что Хатчинс продавал вирус, зная, что им воспользуются в корыстных целях.

У такого мнения есть контраргумент. Исследователи Kronos выяснили, что публикации на форумах о продаже вируса сопровождались пояснением. В нём оговаривалось, что программа подойдёт для «успешных банковских действий» и пояснялось, как именно Kronos крадёт логи.

Неизвестно, действительно ли Хатчинс продавал вирус, и если продавал, то сопровождал ли свои публикации описанием принципов работы. Если да, то это может негативно сказаться на защите программиста, если дело дойдёт до суда.

Вирус-вымогатель WannaCry атаковал компьютеры в 150 странах мира в мае 2017 года. Он подорвал работу компании FedEx, заводов Renault и Nissan, испанского телекоммуникационного гиганта Telefonica, 48 больниц Великобритании, а также силовых структур России, государственных и IT-организаций. Суммарный ущерб от вируса оценили в миллиард долларов, а его авторы получили от жертв больше 116 тысяч долларов.

Когда атака только началась, Хатчинс вместе со специалистами Kryptos Logic начал искать способы обезвредить вирус. Вместе с коллегой из калифорнийской компании Proofpoint Дэриеном Хассом (Darien Huss) он обнаружил, что коде вируса зашит домен с бессмысленным названием iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Хатчинс предположил, что этот код имеет какое-то отношение к механизму остановки вируса, заложенному его разработчиками. Ради эксперимента он зарегистрировал одноимённый домен, после чего распространение вируса приостановилось. Пока злоумышленники переписывали код вредоносной программы, чтобы возобновить атаку, задетые вирусом организации успели загрузить патч, блокирующий работу WannaCry.

Хатчинс победил вирус не в одиночку. Вместе с ним работало много специалистов, перебирающих варианты победы над WannaCry. Однако именно британскому программисту присудили славу, так как именно он успешно перебил работу вредоносной программы. Великобритания серьёзно пострадала от действий злоумышленников, поэтому к вкладу Хатчинса там отнеслись особенно тепло.

Агенты Центра правительственной связи, обеспечивающего информационную защиту страны, предложили программисту сотрудничество. Компания HackerOne, известная по краудсорсинговой площадке для борьбе с уязвимостями, перевела на счёт программиста 10 тысяч долларов с благодарностью за то, что он «сделал интернет безопаснее». Программист поблагодарил организацию за щедрую награду, но пообещал отдать деньги на благотворительность.

«То, что я делаю, я делаю не ради денег или славы. Я лучше отдам эти деньги тем, кто в них нуждается», — пояснил свои мотивы Хатчинс. Позже он объявил, что на средства купит учебники по информационной безопасности и передаст студентам учреждений, которые не могут позволить себе эти книги.

Официально известно только об одной награде, которую принял программист. Служба доставки еды Just Eat предложила ему годовой абонемент на пиццу — тут Хатчинс устоять не смог.

Несколько дней спустя в сети появились его фото в компании друзей в номере отеля. На снимках можно было увидеть алкоголь, коробки из-под пиццы и газировку. Судя по этому, для киберспециалиста победа над WannaCry была лишь поводом для празднования с друзьями. Он сам отмечал, что в его заслуге нет ничего особенного, ведь вскоре хакеры перепишут код вредоносной программы и попробуют атаку снова.

У внезапной популярности нашлись и серьёзные минусы. После его победы над WannaCry местные журналисты раскрыли настоящее имя специалиста по кибербезопасности, адрес проживания, номер телефона, имена родителей и братьев. Представители таблоидной прессы, по словам программиста, окружали его дом, докучали звонками в дверь и просили дать интервью.

В какой-то момент он смирился и поговорил с журналистами из нескольких изданий, но, как сам признавался, слава быстро ему наскучила.

Власти США (по неофициальным данным это были агенты ФБР) задержали Хатчинса в Лас-Вегасе 3 августа. Он приехал туда на конференцию хакеров Black Hat и Def Con, но решил задержаться в городе. По данным Outline, программист веселился всю ночь, снял самый дорогой бассейн в городе, стоимостью 1900 долларов за ночь. До этого он на целый день арендовал спортивные машины и пострелял из пулемёта в тире.

Специалиста по кибербезопасности задержали за несколько часов до вылета в Великобританию. Его нынешнее местоположение неизвестно, местные власти игнорируют просьбы друзей и родственников программиста сообщить детали его ареста.

В разговоре с Motherboard представители британских властей пояснили, что следят за судьбой Хатчинса, но не раскрыли детали следствия. Коллеги и друзья Хатчинса категорически отказались верить в его вину в создании вируса Kronos. Специалисты по кибербезопасности из разных фирм сходятся во мнении, что программист не интересовался незаконным бизнесом.

Они подтвердили, что ранее специалист сотрудничал со спецслужбами, в том числе и американскими. С друзьями молодой человек всегда вёл себя дружелюбно и никогда не стремился к деньгам, часто помогая людям по техническим вопросам безвозмездно.

По данным The Telegraph, Хатчинсу грозит до 40 лет лишения свободы в случае, если его вина в продаже вируса, который использовали хакеры для взломов, будет доказана. Специалисты указывают, что программист вряд ли получит максимальное наказание, но отмечают, что такой исход событий возможен. Издание отмечает, что в пятницу 4 августа британский IT-специалист предстанет перед судом.

Если он признает вину в продаже вируса, его могут приговорить к небольшому тюремному сроку или к надзорному освобождению. Если он откажется признать вину, то его переведут в штат Висконсин, где начнётся разбирательство по его делу.

Оно может занять от трёх месяцев до трёх лет. Американский адвокат Тор Эклэнд (Tor Ekeland), специализирующийся на защите обвиняемых в киберпреступлениях, отнёсся скептически к обвинениям против программиста. Он пояснил, что нет никаких весомых доказательств вины специалиста и подчеркнул, что ему не следует признавать вину.

#кибербезопасность #хакеры #разборы #wannacry