Лидер Phoenix рассказал, почему никто не может защититься от DDoS-атак российских хакеров
В месяц пророссийские хакеры зарабатывают сотни тысяч рублей, однако доход от хактивизма нерегулярный, поэтому порой после удачного сезона некоторым приходится идти на обычную работу, чтобы платить по кредитам. Об этом «Газете.Ru» в интервью рассказал Chapaevv, лидер пророссийской хакерской группировки Phoenix. Хакер также рассказал о связях с Украиной и объяснил, почему изначально Phoenix была представлена в СМИ «как украинская группировка, примкнувшая к российским хактивистам».
Репрезентация
– Как давно существует Phoenix?
– С мая 2022 года.
– А как же та группировка Phoenix, которую арестовали на Украине в 2021 году и с которой вас связывал KillNet?
– Сложно назвать тот Phoenix «группировкой». Скорее, это был небольшой филиал большого хакерского объединения. В нем работали пять человек, которых курировала группа лиц, в числе коих я находился.
– Что за объединение?
– Не могу сказать.
– Чем занимался украинский «филиал» ?
– В СБУ, конечно, рассказали, что они были великими и ужасными – взламывали iPhone и Android-смартфоны… По факту же они были пешками, дропами (дропы – это категория киберпреступников, которая занимается обналичиванием украденным денежных средств. – «Газета.Ru»).
СБУ сильно приукрасили возможности тех ребят, чтобы придать важность своей операции. За арестованными парнями стояли более серьезные фигуры, которые, насколько я знаю, сейчас на свободе. За пределами Украины.
– Почему тогда новую группировку Phoenix в KillNet презентовали нам «как украинских хакеров, примкнувших к России»?
– В KillNet просто не знали о нюансах, которые я сейчас вам сообщил. Я – создатель текущего Phoenix, я же ранее курировал и тот Phoenix на Украине. Поэтому мне логика KillNet ясна и никаких претензий я не имею.
– К чему было называть новую группу Phoenix? Очень легко запутаться.
– Честно говоря, не думал, что кому-то будет дело до старого Phoenix. Особенно учитывая, что старый Phoenix был довольно маленькой группой.
И потом… Лично для меня Phoenix – символическое название. Я повторно создал хакерскую группировку, которая возродилась так же, как мифическая птица Феникс возрождается из пепла.
– Сейчас в вашей группе есть кто-то, кто живет или жил и «работал» на Украине?
– Да, таких людей достаточно. Они работают в самых разных направлениях наравне с русскими хакерами, но при этом сильнее рискуют своей жизнью и свободой. Более того, с нами работают сотрудники СБУ и даже некоторые инсайдеры из политической тусовки на Украине.
– Почему они решили поддержать Россию?
– Если коротко, то на Украине хватает людей, недовольных текущей властью.
– Так как теперь называть Phoenix? Русские хакеры, украинские, интернациональные?
– В сущности это не имеет большого значения. Меня устроят варианты «российские», «русские», «пророссийские».
DDoS’тавучие атаки
– Правильно я понимаю, что главным оружием русских хакеров сегодня является DDoS (тип атак, которые выводят из строя сайты и онлайн-сервисы с помощью большого числа компьютеров или других гаджетов, выстроенных в цепочку или ботнет. – «Газета.Ru»)?
– Одно из, да.
– С DDoS-атаками из РФ часто не могут справиться даже такие компании, которые пользуются защитными сервисами от Cloudflare и Google. Почему? Что такого невероятного в российских DDoS-атаках?
– Это заслуга наших «черных» хакеров и хактивистов. Мы постоянно разрабатываем новые методы атак, поэтому Cloudflare и Google не могут угнаться за нами в этом поле.
– Насколько корректно говорить, что сегодня РФ генерирует самые мощные DDoS-атаки в мире?
– Вполне. Новейшие методы атак и десятки ботнетов (сеть зараженных устройств, которые по команде хакеров включаются в атаку на тот или иной сайт. – «Газета.Ru») у сотен командиров хакерских группировок с тысячами бойцов делают свое дело.
Русские хакеры были, есть и будут лучшими в мире, как и их атаки.
– Что представляют собой методы атак, о которых ты говоришь?
– Из простых и доступных – HTTP GET-запрос. В рамках этого метода у сервера сайта запрашивается файл, изображение, скрипт или любая другая информация для отображения в браузере. Мы делаем миллионы таких запросов в секунду, что парализует работу инфраструктуры веб-ресурсов.
– Какую роль в мощности российских хакеров играют DDoS-платформы вроде Passion? (новейший сервис, объединяющий несколько ботнетов, на котором можно за деньги заказать DDoS-атаку. На Западе Passion связывают с пророссийскими хактивистами. – «Газета.Ru»)
– Как правило хактивисты не пользуются публичными сервисами. Они дорого обходятся, да и мощности у них не сказочные.
В то же время у некоторых группировок есть персональные ботнеты, при помощи которых они проводят атаки под заказ. Например, такие услуги оказывает KillNet. Phoenix тоже развивает это направление. Некоторые группировки, скажем так, делятся друг с другом мощностям или объединяют их ради общей цели.
Вместе они образуют атаку невероятной мощности, защититься от которой на данный момент, как мне кажется, никто не сможет.
– Phoenix использует арендованные мощности для своих атак?
– Нет – у нас свои ботнеты. И методики у нас тоже «авторские». Наш пул ботов уверенно приближается по силе к уровню Mirai (один из самых известных и крупных ботнетов в мире, который, по некоторым данным, включает в себя 900 тыс. устройств. – «Газета.Ru»).
Вообще, я думаю, скоро мы переплюнем Mirai. Сейчас мы думаем над тем, как объединить несколько наших ботнетов. Если удастся, то мы будем управлять сетью из миллионов зараженных устройств.
– Можете как-нибудь в цифрах обозначить номинальную мощность российских ботнетов? Сколько в них устройств? Какую скорость они развивают?
– Все достаточно индивидуально. У всех свои ботнеты с разными методами атак и разным количеством зараженных устройств. Это могут быть как тысячи, так и миллионы ботов. То же самое касается и мощности атаки. Лично я был свидетелем атак как в 50 Гбит/с, так и в 500 Гбит/с (для сравнения: рекордная мощность, которую когда-либо достигал ботнет Mirai, равен 623 Гбит/с).
– Если завтра у KillNet или Phoenix кто-то закажет атаку на, допустим, «Госуслуги», атака состоится?
– Никогда. Как минимум потому, что владельцами крупнейших ботнетов являются русские – у них на уровне настроек стоит блок на атаки по России или СНГ. Даже если кто-то и решится на такое, он очень сильно поплатится.
Планы на будущее
– Чем ты и члены Phoenix сейчас зарабатывают? Можешь хотя бы намекнуть на то, как вы монетизируете свою деятельность?
– Секретов нет. Работа с DDoS-заказами из-за границы и взлом далеко не бедных иностранных игроков на крипторынке.
– Часто заказы из-за границы приходят?
– Бывают.
Недавно, например, были заказы из Италии и Испании. Просили «ддосить» сайты правительства. Как я понял, там какие-то политические терки – оппозиция выступает против текущей власти.
– Хактивизм и хакерство обеспечивают регулярный доход? Можешь обозначить примерную сумму ЗП хакера в Phoenix?
– Неее… Тут никакой регулярности.
Допустим, в этом месяце я могу выплатить руководящим лицам зарплату в размере пары сотен тысяч рублей, а в следующем иду на обычную работу, чтобы было чем платить по кредитам и поддерживать боеспособность группировки.
– Чем вы займетесь, когда закончится СВО?
– Продолжим работать, как и работали по странам Европы. Возможно, займемся чем-то более легальным и полезным для любимых граждан нашей великой страны.
– В правительстве планируют снять c пророссийских хакеров ответственность за киберпреступления. Что думаешь об этой инициативе?
– Нам это никак не поможет. Речь идет о полной легализации нашей работы, что автоматически вытекает в ограничение свободы действий. Мне кажется, на это никто не пойдет. К тому же пока это просто обещания.
– Если бы в России сделали официальную киберармию, куда нанимали бы IT-специалистов с наступательным опытом вроде тебя, ты бы пошел в нее?
– Если и да, то только на должность командира и на своих условиях в финансовом и правовом плане. И то при очень-очень острой необходимости.
– Как думаешь, какая часть нынешних хактивистов захотела бы стать официальными киберсолдатами РФ?
– Мы в хактивистском комьюнити часто обсуждаем эту тему, поэтому, думаю, я достаточно компетентен, чтобы сказать за всех «нет». Принять помощь от государства и сотрудничать – всегда пожалуйста. Но становиться официальной киберармией… Ничего ценнее свободы для хакера нет.