«Google за нами не угнаться». Лидер хакеров Phoenix — об особенностях российских кибератак

Лидер Phoenix рассказал, почему никто не может защититься от DDoS-атак российских хакеров

«Газета.Ru»
В месяц пророссийские хакеры зарабатывают сотни тысяч рублей, однако доход от хактивизма нерегулярный, поэтому порой после удачного сезона некоторым приходится идти на обычную работу, чтобы платить по кредитам. Об этом «Газете.Ru» в интервью рассказал Chapaevv, лидер пророссийской хакерской группировки Phoenix. Хакер также рассказал о связях с Украиной и объяснил, почему изначально Phoenix была представлена в СМИ «как украинская группировка, примкнувшая к российским хактивистам».

Репрезентация

– Как давно существует Phoenix?

– С мая 2022 года.

– А как же та группировка Phoenix, которую арестовали на Украине в 2021 году и с которой вас связывал KillNet?

– Сложно назвать тот Phoenix «группировкой». Скорее, это был небольшой филиал большого хакерского объединения. В нем работали пять человек, которых курировала группа лиц, в числе коих я находился.

– Что за объединение?

– Не могу сказать.

– Чем занимался украинский «филиал» ?

– В СБУ, конечно, рассказали, что они были великими и ужасными – взламывали iPhone и Android-смартфоны… По факту же они были пешками, дропами (дропы – это категория киберпреступников, которая занимается обналичиванием украденным денежных средств. – «Газета.Ru»).

СБУ сильно приукрасили возможности тех ребят, чтобы придать важность своей операции. За арестованными парнями стояли более серьезные фигуры, которые, насколько я знаю, сейчас на свободе. За пределами Украины.

– Почему тогда новую группировку Phoenix в KillNet презентовали нам «как украинских хакеров, примкнувших к России»?

– В KillNet просто не знали о нюансах, которые я сейчас вам сообщил. Я – создатель текущего Phoenix, я же ранее курировал и тот Phoenix на Украине. Поэтому мне логика KillNet ясна и никаких претензий я не имею.

– К чему было называть новую группу Phoenix? Очень легко запутаться.

– Честно говоря, не думал, что кому-то будет дело до старого Phoenix. Особенно учитывая, что старый Phoenix был довольно маленькой группой.

И потом… Лично для меня Phoenix – символическое название. Я повторно создал хакерскую группировку, которая возродилась так же, как мифическая птица Феникс возрождается из пепла.

– Сейчас в вашей группе есть кто-то, кто живет или жил и «работал» на Украине?

– Да, таких людей достаточно. Они работают в самых разных направлениях наравне с русскими хакерами, но при этом сильнее рискуют своей жизнью и свободой. Более того, с нами работают сотрудники СБУ и даже некоторые инсайдеры из политической тусовки на Украине.

– Почему они решили поддержать Россию?

– Если коротко, то на Украине хватает людей, недовольных текущей властью.

– Так как теперь называть Phoenix? Русские хакеры, украинские, интернациональные?

– В сущности это не имеет большого значения. Меня устроят варианты «российские», «русские», «пророссийские».

DDoS'тавучие атаки

– Правильно я понимаю, что главным оружием русских хакеров сегодня является DDoS (тип атак, которые выводят из строя сайты и онлайн-сервисы с помощью большого числа компьютеров или других гаджетов, выстроенных в цепочку или ботнет. – «Газета.Ru»)?

– Одно из, да.

– С DDoS-атаками из РФ часто не могут справиться даже такие компании, которые пользуются защитными сервисами от Cloudflare и Google. Почему? Что такого невероятного в российских DDoS-атаках?

– Это заслуга наших «черных» хакеров и хактивистов. Мы постоянно разрабатываем новые методы атак, поэтому Cloudflare и Google не могут угнаться за нами в этом поле.

– Насколько корректно говорить, что сегодня РФ генерирует самые мощные DDoS-атаки в мире?

– Вполне. Новейшие методы атак и десятки ботнетов (сеть зараженных устройств, которые по команде хакеров включаются в атаку на тот или иной сайт. – «Газета.Ru») у сотен командиров хакерских группировок с тысячами бойцов делают свое дело.

Русские хакеры были, есть и будут лучшими в мире, как и их атаки.

– Что представляют собой методы атак, о которых ты говоришь?

– Из простых и доступных – HTTP GET-запрос. В рамках этого метода у сервера сайта запрашивается файл, изображение, скрипт или любая другая информация для отображения в браузере. Мы делаем миллионы таких запросов в секунду, что парализует работу инфраструктуры веб-ресурсов.

– Какую роль в мощности российских хакеров играют DDoS-платформы вроде Passion? (новейший сервис, объединяющий несколько ботнетов, на котором можно за деньги заказать DDoS-атаку. На Западе Passion связывают с пророссийскими хактивистами. – «Газета.Ru»)

– Как правило хактивисты не пользуются публичными сервисами. Они дорого обходятся, да и мощности у них не сказочные.

В то же время у некоторых группировок есть персональные ботнеты, при помощи которых они проводят атаки под заказ. Например, такие услуги оказывает KillNet. Phoenix тоже развивает это направление. Некоторые группировки, скажем так, делятся друг с другом мощностям или объединяют их ради общей цели.

Вместе они образуют атаку невероятной мощности, защититься от которой на данный момент, как мне кажется, никто не сможет.

– Phoenix использует арендованные мощности для своих атак?

– Нет – у нас свои ботнеты. И методики у нас тоже «авторские». Наш пул ботов уверенно приближается по силе к уровню Mirai (один из самых известных и крупных ботнетов в мире, который, по некоторым данным, включает в себя 900 тыс. устройств. – «Газета.Ru»).

Вообще, я думаю, скоро мы переплюнем Mirai. Сейчас мы думаем над тем, как объединить несколько наших ботнетов. Если удастся, то мы будем управлять сетью из миллионов зараженных устройств.

– Можете как-нибудь в цифрах обозначить номинальную мощность российских ботнетов? Сколько в них устройств? Какую скорость они развивают?

– Все достаточно индивидуально. У всех свои ботнеты с разными методами атак и разным количеством зараженных устройств. Это могут быть как тысячи, так и миллионы ботов. То же самое касается и мощности атаки. Лично я был свидетелем атак как в 50 Гбит/с, так и в 500 Гбит/с (для сравнения: рекордная мощность, которую когда-либо достигал ботнет Mirai, равен 623 Гбит/с).

– Если завтра у KillNet или Phoenix кто-то закажет атаку на, допустим, «Госуслуги», атака состоится?

– Никогда. Как минимум потому, что владельцами крупнейших ботнетов являются русские – у них на уровне настроек стоит блок на атаки по России или СНГ. Даже если кто-то и решится на такое, он очень сильно поплатится.

Планы на будущее

– Чем ты и члены Phoenix сейчас зарабатывают? Можешь хотя бы намекнуть на то, как вы монетизируете свою деятельность?

– Секретов нет. Работа с DDoS-заказами из-за границы и взлом далеко не бедных иностранных игроков на крипторынке.

– Часто заказы из-за границы приходят?

– Бывают.

Недавно, например, были заказы из Италии и Испании. Просили «ддосить» сайты правительства. Как я понял, там какие-то политические терки – оппозиция выступает против текущей власти.

– Хактивизм и хакерство обеспечивают регулярный доход? Можешь обозначить примерную сумму ЗП хакера в Phoenix?

– Неее… Тут никакой регулярности.

Допустим, в этом месяце я могу выплатить руководящим лицам зарплату в размере пары сотен тысяч рублей, а в следующем иду на обычную работу, чтобы было чем платить по кредитам и поддерживать боеспособность группировки.

– Чем вы займетесь, когда закончится СВО?

– Продолжим работать, как и работали по странам Европы. Возможно, займемся чем-то более легальным и полезным для любимых граждан нашей великой страны.

– В правительстве планируют снять c пророссийских хакеров ответственность за киберпреступления. Что думаешь об этой инициативе?

– Нам это никак не поможет. Речь идет о полной легализации нашей работы, что автоматически вытекает в ограничение свободы действий. Мне кажется, на это никто не пойдет. К тому же пока это просто обещания.

– Если бы в России сделали официальную киберармию, куда нанимали бы IT-специалистов с наступательным опытом вроде тебя, ты бы пошел в нее?

– Если и да, то только на должность командира и на своих условиях в финансовом и правовом плане. И то при очень-очень острой необходимости.

– Как думаешь, какая часть нынешних хактивистов захотела бы стать официальными киберсолдатами РФ?

– Мы в хактивистском комьюнити часто обсуждаем эту тему, поэтому, думаю, я достаточно компетентен, чтобы сказать за всех «нет». Принять помощь от государства и сотрудничать – всегда пожалуйста. Но становиться официальной киберармией… Ничего ценнее свободы для хакера нет.