Под маской Killmilk
Хактивисткая группировка Killnet приобрела большую известность в 2022 году. После начала СВО она открыто встала на сторону России и совершила ряд громких DDoS-атак на большие цели вроде ФНС США, банковских систем стран Европейского Союза SWIFT и IBAN, американской оружейной компании Lockheed Martin и не только.
При этом о личности ее лидера — хакера Killmilk — долгое время было известно мало. В публичном пространстве он сформировал образ большого патриота РФ и противника Украины, а также влиятельной личности в русскоязычном киберпреступном комьюнити.
По данным «Газеты.Ru», настоящее имя KillMilk — Николай Николаевич Серафимов. Будущий хакер родился 16 мая 1993 года. Женат, пара имеет во владении по меньшей мере два автомобиля: BMW 520i и Porsche Panamera. На первом ездит жена, а на втором — сам Серафимов.
Эту информацию нам подтвердили хактивисты Abbadon и NET-WORKER, основатель проекта Dark Femida Петр Врублевский, а также источник «Газеты.Ru», связанный с правоохранительными органами.
Предположительно хакер Killmilk, он же Серафимов Николай Николаевич
Хактивист Abbadon
Хактивист Abbadon также сообщил «Газете.Ru», что Серафимов ранее был судим за распространение, незаконные производство, сбыт или пересылку наркотических средств, психотропных веществ или их аналогов (ст. 228.1 УК РФ). Отбывал наказание в Республике Башкортостан, в ИК-2 города Салават. «Газете.Ru» эти данные подтвердить не удалось.
Сам Killmilk не опроверг и не подтвердил информацию о своей личности. Однако попросил корреспондента «Газеты.Ru» раскрыть источник. Мотивировал этот интерес желанием обеспечить безопасность своей семье. После отказа хакер прекратил общение с корреспондентом издания и удалил переписку.
Некоторые опрошенные «Газетой.Ru» бывшие соратники Killmilk описывают Николая Серафимова как человека с даром убеждения и хорошими навыками социальной инженерии. То есть хактивист умеет собирать вокруг себя людей и мотивировать их делать то, что ему нужно.
«Еще Killmilk хорош как брендмейкер — он умеет создавать информационные продукты и потом их продавать. Ну, как блогеры-инфоцыгане, понимаете? При этом как технический специалист он очень слаб. Killmilk имеет некоторые навыки в DDoS, но они в основном ограничиваются использованием чужих ботнетов (группа устройств, настроенных вредоносным ПО на проведение DDoS-атак. — прим. ред.) в своих целях. Остальное: взломы, закрепление, развитие атак… Все это за него делают другие люди», — рассказал «Газете.Ru» один из них.
Скелеты в шкафу
Хотя в глазах обывателей Killmilk имеет имидж положительного героя, в киберпреступном сообществе у него сложилась неоднозначная репутация. У Серафимова много противников, обвиняющих его в разных проступках, которые, как они считают, бросают тень на все русскоязычное хактивистское сообщество.
Так, например, в августе 2022 года Killmilk заскамил (то есть обманул) администратора даркнет-форума RuTor на 1 млн руб. и обещал перевести половину этой суммы «детским приютам Российской Федерации», а также предоставить доказательства благотворительной акции. С тех пор подтверждений перевода денег в детские приюты так и не появилось.
В диалоге с «Газетой.Ru» представитель Killnet пообещал в ближайшее время предоставить доказательства благотворительной акции, но так этого и не сделал. Сам факт обмана администратора RuTor он оправдал тем, что данный форум якобы курируется украинскими спецслужбами.
«Правильно сделали. Это же политика. Отобрали у них миллион, который пошел бы на убийство наших солдат. Это вынимание денег из экономики Украины, как минимум», — сказал представитель Killnet.
Сомнительным оказался и проект «Dark-школа», который Killmilk запустил весной 2023 года. «Dark-школа» должна была представлять собой девять курсов обучения хакерскому мастерству. В частности, абитуриентам обещали уроки кардинга (кражи и использования данных чужих банковских карт. — прим. ред.), разведки данных по открытым источникам, социальной инженерии (мошенничеству и обману. — прим. ред.), DDoS-атак, использования шпионского ПО и не только. Курсы продавались на русском, хинди, английском и испанском языках за $250.
Хактивист NET-WORKER рассказал «Газете.Ru», что курсы приобрели порядка 150 человек. Однако довольны контентом оказались далеко не все: «студенты» получали материалы раз в несколько недель. Практической ценности они не представляли, поскольку в большинстве случаев, содержащаяся в них информация была устаревшей и доступной бесплатно. Как минимум один покупатель пытался вернуть деньги за «Dark школу», но безуспешно.
«Проблема «Dark школы» в том, что изначально ее задумал другой член Killnet — не Killmilk. Но рекламировалась и продвигалась она от лица Killmilk. Начиналось обучение хорошо. Потом ответственного за школу члена группировки арестовали и с проблемой пришлось разбираться Killmilk. Получилось, как получилось», — добавил в разговоре с «Газетой.Ru» хактивист Abbadon, еще один противник Killmilk, который позиционирует себя как эксперта разведки по открытым данным (OSINT).
В число проступков Killmilk входят и кибератаки на инфраструктуру РФ, которые он проводил до начала СВО. Изначально Killmilk начал проявлять активность в конце 2021 года. Происходило это на форуме RuTor. Первый проект Killmilk назывался Universal Dark Service и был ориентирован на проведение DDoS-атак. Проект Universal Dark Service прославился как минимум тем, что атаковал сайты ФСИН и сотрудничал с проектом «Гулагу.нет». На волне успеха Killmilk начал оказывать DDoS как сервис, то есть проводить атаки на указанные цели за деньги.
Кроме того, Killmilk намекал в своем Telegram-канале на проведение DDoS-атак на российскую компанию в сфере информационной безопасности Zecurion. Сайт компании перестал работать после того, как эксперт этой фирмы нелестно отозвался о деятельности Killnet в одном из комментариев СМИ.
Из слов NET-WORKER также следует, что KillMilk периодически обманывает собственных клиентов. Происходит это из-за того, что хакер убеждает их работать по постоплате: сначала дело — потом деньги. Как минимум один коллега KillMilk рассказал «Газете.Ru», что глава Killnet должен ему $2 тыс. за заказной взлом.
Хактивисты против
С конца октября 2023 года в Telegram-каналах, посвященных хактивизму, авторитет Killmilk оспаривают многие его коллеги. Уже сформировался целый альянс выступающих против Killmilk и пытающихся разрушить его репутацию. Публично против Killnet и Killmilk высказались такие объединения и хактивисты-одиночки, как Dark Femida (позиционирует себя как СМИ про киберпреступность), Abbadon, NET-WORKER, ForceDDoS, CyberArmy_coordinator, Leader_russ, Stumer_Patriot, Legit_hubb, BTC и не только.
Из слов некоторых из них следует, что фактически недовольных деятельностью Killnet гораздо больше, но они опасаются выступить против него открыто.
«От Kilmilk устали многие. В кулуарах против него выступает значительная часть пророссийских группировок. Но они боятся с ним «закусываться» публично. В первую очередь, боятся деанонимизации — Kilmilk любит раскрывать личности своих конкурентов или шантажировать их этой информацией», – сказал «Газете.Ru» хактивист NET-WORKER.
По его же данным, под угрозой деанонимизации из хактивизма в 2023 году вышел хакер Chapaev, который возглавлял группировку Phoenix.
Противники Killmilk считают своей главной задачей уничтожение репутации хакера. Для этого они не только припоминают Killnet различные промашки, но и активно собирают и публикуют информацию о личности главаря группировки. Они считают, что огласка этой информации приведет к дестабилизации отношений внутри Killnet и, возможно, уходу Серафимова из хактивистской деятельности.
По словам руководителя департамента информационно-аналитических исследований компании T.Hunter Игоря Бедерова, деанонимизация для хакера неприятна в первую очередь тем, что совершенные под анонимным юзернеймом киберпреступления будут сопоставлены с его настоящей личностью. К тому же рассекречивание имени может подставить хакера под удар со стороны неприятелей в киберкриминальном сообществе.
«Деанонимизация хакера резко повышает риск привлечения его к ответственности. Как в правовом поле, так и во внеправовом», — сказал он.
В свою очередь хакер и основатель компании в сфере информационной безопасности XPanamas Павел Ситников считает, что для серьезных специалистов раскрытие личности не является приговором. В первую очередь, по его словам, «деаноном» молодые хакеры пугают молодых же и неопытных конкурентов.
«Настоящие хакеры работают чисто и ведут дела так, что после деанона им сложно что-либо предъявить», — сказал Ситников.
Ширма благородства
Игорь Бедеров из T.Hunter предполагает, что одной из причин, по которым сейчас на Killmilk ведется активная информационная атака, могут быть беспечные и непрофессиональные действия хакера в качестве лидера Killnet, привлекшие внимание конкурентов. Куражась в киберпространстве и считая себя значимой фигурой, Killmilk мог нажить себе влиятельных врагов.
«Отзывы о нем были достаточно резкие. Причем со стороны профессиональных хакеров вся группа критиковалась за непрофессионализм. Со стороны околохакерской тусовки отмечалась скандальность и неэтичное отношение по отношению к участникам», — сказал Бедеров.
Между тем Ситников «почти уверен», что Killmilk стал жертвой «кураторских разборок» на фоне возможного формирования в России официальной киберармии. Эта тема стала особенно актуальной после того, как в 1 ноября 2023 года глава Минцифры РФ Максут Шадаев поддержал идею создания кибервойск в составе Минобороны. Под «кураторами» Ситников подразумевает силовые структуры, которые координируют деятельность некоторых хакерских и хактивистских группировок.
«Эта разборка связана с дележкой бюджета на киберармию. Бюджета, которого, к слову, не существует — зря стараются. Самое плохое в этой ситуации, что пострадать могут обычные люди, которые подались в хактивизм из патриотических чувств», — поделился мнением хакер.
Эксперт по вопросам международной политики в киберпространстве, консультант Российского совета по международным делам Олег Шакиров сомневается, что причиной разборок между хакерами могла стать перспектива формирования киберармии. По его словам, разговоры о ее создании в России ведутся давно, и ведутся исключительно в рамках политической игры чиновников.
«Пока нет оснований считать эти комментарии [о киберармии] предвестником создания какой-либо новой структуры. В большинстве стран кибератаки, которыми занимаются хактивисты, незаконны. Нигде нет каких-либо исключений, которые снимали бы с гражданских лиц ответственность за такие действия при условии патриотической мотивации», — сказал он.