Skip to content

Szele Tamás: A Killnet halála?

Szerafimov hackernek lehet, hogy gyenge volt, de szélhámosnak annál jobb. Még az is lehet, hogy a mostani szerepe is színjáték.

Table of Contents

Forrong az orosz kormánypárti hackervilág, ugyanis egyre nagyobb bajba kerül a DDoS-támadásairól hírhedett Killnet, sőt, már a vezetőjének a személyazonossága is kiderült. Az viszont nem derül ki a források alapján, hogy volt-e egyáltalán bothálózata vagy legalább némi szakértelme a hackercsoportnak, vagy csupán szélhámoskodtak?

Két forrás áll rendelkezésünkre, a két szembenálló oldalról: az egyik az orosz kormánypárti Gazeta.ru* friss, a másik a szintén orosz, de ellenzéki The Insider** szeptember 5-i írása. Érdekes szembeállítani a két szempontot és talán jobban is járunk, ha a Gazeta friss hírét kibővítjük a The Insider oknyomozó riportjának néhány részletével.

Azt írja tehát a Gazeta, hogy újabb konfliktus bontakozott ki az oroszbarát hacker közösségben. Több mint egy tucat hacker és hacktivista nyilvánosan szembefordult a Killnet nevű orosz csoporttal és annak Killmilk becenév alatt ismert vezetőjével. Orosz infrastruktúra elleni támadásokkal, csalással és a hacker-etika többszörös megsértésével vádolják.

A Killnet hacktivista csoport 2022-ben vált nagyon ismertté. Az Ukrajna elleni invázió kezdete után nyíltan Oroszország oldalára álltak, és számos nagy horderejű DDoS-támadást hajtottak végre olyan komoly célpontok ellen, mint az amerikai szövetségi adóhivatal, az Európai Unió SWIFT és IBAN banki rendszerei, az amerikai Lockheed Martin fegyvergyártó vállalat és még sok más.

De mit mond erről a The Insider? Azt, hogy:

„Az egyik leghangosabb ígéretet a Killnet 2023 júniusában tette. Annak érdekében, hogy „bankpánikot okozzanak az európai tyúkólban”, azt ígérték, hogy megbénítják a bankrendszert. Ennek során olyan különböző fogalmakat neveztek meg célpontként, mint az IBAN (nemzetközi bankszámlaszám), SEPA (eurózóna pénzátutalási rendszere), WISE (határokon átnyúló átutalásokra szakosodott brit cég), SWIFT (nemzetközi rendszer a bankok közötti információátvitelre) és WIRE (hogy a hackerek mire gondoltak, nem tudni, de angolul minden nem készpénzes fizetést wire transfernek neveznek). Az orosz média által gyorsan terjesztett hangzatos fenyegetések ellenére a következő hónapokban semmi sem történt az európai bankrendszerrel, sem az átutalási rendszerekkel, még kevésbé a bankszámlák nyilvántartására szolgáló IBAN-szabvánnyal.”

Ugyanakkor vezetőjének, a Killmilk nevű hackernek a kilétéről sokáig keveset lehetett tudni. A köztudatban az Oroszországi Föderáció ultrapatrióta hívének és Ukrajna ellenfelének, valamint az orosz nyelvű kiberbűnözői közösség befolyásos személyiségének képét alakította ki magáról.

A Gazeta.Ru szerint KillMilk valódi neve Nyikolaj Nyikolajevics Szerafimov. A leendő hacker 1993. május 16-án született. Házas, a családnak legalább két autója van: egy BMW 520i és egy Porsche Panamera. Az elsőt a felesége, a másodikat pedig maga Szerafimov vezeti.

Ezt az információt megerősítették az Abbadon és a NET-WORKER hacktivistái, a Dark Femida projekt alapítója, Peter Vrublevszkij, valamint a Gazeta.Ru egy bűnüldöző szervekkel kapcsolatban álló forrása.

Az Abbadon azt is elmondta a Gazeta.Ru-nak, hogy Serafimovot korábban már elítélték kábítószerek, pszichotróp anyagok vagy ezek megfelelőinek terjesztése, illegális előállítása, értékesítése vagy továbbítása miatt (az Oroszországi Föderáció büntető törvénykönyvének 228.1. cikke alapján). Büntetését a Baskír Köztársaságban, a Szalavat–2 büntetőtelepen töltötte le.

Később sem hagyott fel a drogkereskedelemmel a The Insider szerint:

„Valószínűleg azonban a bevételük egyik fő forrása a Solaris nevű drogpiactérrel való kapcsolat volt. A KillMilk a Russia Today propagandaközpontnak adott interjúban nyilatkozott az ezzel a piactérrel való kapcsolatáról. „A figyelmüknek köszönhetően a Killnet továbbra is teljes gőzzel működik” – mondta egy októberi interjúban. „Segítség érkezett – onnan, ahonnan nem számítottunk rá! A SOLARIS feketepiaci vezetése támogatja a Killnet tevékenységét, és erős támpontot ad nekünk a harcunk folytatásához és a KILLNET csapatának fejlesztéséhez!” – tette hozzá a csatornáján (a posztot azóta törölték). Néhány hónappal az interjú után az együttműködésről szóló információt maga Solaris erősítette meg a fórumán. A TRM Labs nevű oknyomozó cég legalább egy 50 000 dolláros átutalást talált a Solaris tárcáiról a Killnet tárcáira.

Honnan jött tehát a Solaris kereskedési platformja, és miért segítene neki a Killnet? 2022 áprilisának elején a német bűnüldöző hatóságok bejelentették a Hydra, a legnagyobb online drogpiac felszámolását. Mielőtt bezárták volna, körülbelül 19 000 illegális árut árusító üzlet működött ott. Különböző oldalak, köztük a Rutor, az akkori második legnagyobb, elkezdték magukhoz csalogatni a vásárlókat. Míg korábban főként hamis dokumentumokat, fegyvereket és illegális szolgáltatásokat árult, most a Rutor elkezdte átcsábítani magához a kábítószerüzleteket. Ezzel egy időben a korábban ismeretlen Solaris piactér, valamint a Kraken, az OMG és más oldalak is csatlakoztak a piaci újraelosztáshoz. Ezek közül néhányat a Hydra korábbi alkalmazottai hoztak létre és moderáltak. Az oldalak között harc folyt a piac újrafelosztásáért.”

Maga Killmilk nem tagadta és nem is erősítette meg a személyazonosságára vonatkozó információkat. Azonban megkérte a „Gazeta.Ru” tudósítóját, hogy nevezze meg a forrását. Ezt az érdeklődést az a szándék motiválta, hogy biztosítsa családja biztonságát. A visszautasítás után a hacker abbahagyta a kommunikációt a kiadvány tudósítójával, és törölte a levelezést.

A „Gazeta.Ru” által megkérdezett néhány korábbi Killnet-munkatárs úgy jellemzi Nyikolaj Szerafimovot, mint kiváló rábeszélő tehetséggel és jó social engineering-képességgel rendelkező embert. Vagyis a hacktivista tudja, hogyan gyűjtse maga köré az embereket és motiválja őket arra, hogy megtegyék a kedvéért, amire neki szüksége van. Mint egyikük elmondta:

„Killmilk jó márkaépítő is – tudja, hogyan kell információs termékeket létrehozni, majd eladni azokat. Ettől függetlenül technikai képességei nagyon gyengék. Killmilknek vannak némi ismeretei a DDoS-ról, de ezek többnyire mások botnetjeinek (rosszindulatú szoftverek által DDoS-támadások végrehajtására konfigurált eszközök csoportja) használatára korlátozódnak, melyeket a saját céljaira fordít. A többi: hackelés, javítás, támadások kifejlesztése... Mindezt mások végzik el helyette.”

Bár Killmilk az orosz nacionalisták szemében pozitív hős képét mutatja, a kiberbűnözői közösségben vegyes a megítélése. Szerafimovnak sok ellensége van, akik különböző vétségekkel vádolják, amelyek szerintük beárnyékolják az egész orosz nyelvű hacktivista közösséget.

Killmilk például 2022 augusztusában 1 millió rubelt csalt ki a RuTor darknet-fórum adminisztrátorától, és azt ígérte, hogy az összeg felét átutalja „oroszországi gyermekárvaházaknak”, valamint bizonyítékot mutat be egy jótékonysági akcióról. Azóta sem érkezett semmiféle megerősítés az árvaházaknak történő pénzátutalásról.

A Gazeta.ru-val folytatott párbeszédben a Killnet képviselője megígérte, hogy a közeljövőben bizonyítékot szolgáltat a jótékonysági akcióról, de ezt nem tette meg. A RuTor-adminisztrátor megtévesztésének tényét azzal indokolta, hogy ezt a fórumot állítólag az ukrán különleges szolgálatok felügyelik.

„Helyesen cselekedtünk. Ez a politika. Elvettünk tőlük egy milliót, amit a katonáink megölésére fordítottak volna. Ezzel legalábbis pénzt vontunk ki Ukrajna gazdaságából” – mondta a Killnet szóvivője.

A „Sötét Iskola” projekt, amelyet a Killmilk 2023 tavaszán indított el, szintén kétesélyes volt. A „Dark-school” elvileg kilenc kurzusból állt volna, amelyeken hacker-ismereteket tanítanának. A jelentkezőknek különösen a carding (mások bankkártyaadatainak ellopása és felhasználása), a nyílt forráskódú adatbányászat, a social engineering, a DDoS-támadások, a kémprogramok használata és egyebek terén ígértek leckéket. A tanfolyamokat 250 dollárért árulták orosz, hindi, angol és spanyol nyelven.

Egy NET-WORKER hacktivista a Gazeta.Ru-nak elmondta, hogy körülbelül 150 ember vásárolta meg a tanfolyamokat. A tartalommal azonban nem mindenki volt elégedett: a „diákok” néhány hetente egyszer kapták meg az anyagokat. Gyakorlati értékük nem volt, mivel a legtöbb esetben a bennük foglalt információk elavultak és ingyenesen elérhetőek voltak. Legalább egy ügyfél megpróbálta visszakérni a „Sötét Iskola” árát, de nem járt sikerrel.

„A Sötét Iskolával az a probléma, hogy eredetileg egy másik Killnet-tag – nem Killmilk – találta ki. De Killmilk nevében reklámozták és népszerűsítették. Az iskola jól indult. Aztán az iskoláért felelős tagot letartóztatták, és Killmilknek kellett foglalkoznia a problémával. Úgy alakult, ahogy alakult” – tette hozzá Abbadon hacktivista, Killmilk másik ellenfele, aki nyílt forrású hírszerzési (OSINT) szakértőként határozza meg magát.

Killmilk vétkei közé tartoznak az Orosz Föderáció infrastruktúrája elleni kibertámadások, amelyeket a háború előtt hajtott végre. Killmilk 2021 végén vált aktívvá. A RuTor fórumon zajlott Killmilk első projektje, mely az Universal Dark Service nevet viselte, és DDoS-támadásokra összpontosított. Az Universal Dark Service projekt a Szövetségi Büntetés-végrehajtási Szolgálat weboldalainak támadásáról és a „Gulagu.net” projekttel való együttműködéséről vált híressé. A siker hullámait meglovagolva Killmilk elkezdett DDoS szolgáltatást nyújtani, azaz pénzért meghatározott célpontok elleni támadásokat végrehajtani.

Ezen túlmenően a Killmilk a Telegram-csatornáján utalt arra, hogy DDoS-támadásokat fog végrehajtani a Zecurion orosz információbiztonsági vállalat ellen. A cég honlapja offline állapotba került, miután a cég egyik szakértője egy médiakommentárban nem túl hízelgő megjegyzéseket tett a Killnet tevékenységéről.

A NET-WORKER azt is állítja, hogy a KillMilk rendszeresen megtéveszti saját ügyfeleit. Ez azért történik, mert a hacker meggyőzi őket, hogy postpaid alapon dolgozzanak: előbb az üzlet – aztán a pénz. A Killmilk legalábbis egyik munkatársa azt mondta a „Gazeta.Ru”-nak, hogy a Killnet vezetője 2000 dollárral tartozik neki egy egyedi hackelésért.

2023. október vége óta a hacktivizmusnak szentelt Telegram-csatornákon számos kollégája megkérdőjelezi Killmilk tekintélyét. Már egy egész szövetség alakult azokból, akik Killmilkkel szemben állnak és megpróbálják lerombolni a hírnevét. Olyan egyesületek és egyes hacktivisták, mint a Dark Femida (amely magát kiberbűnözés elleni médiumknak nevezi), Abbadon, NET-WORKER, ForceDDoS, CyberArmy_Coordinator, Leader_Russ, Stumer_Patriot, Legit_Hubb, BTC és mások szólaltak fel nyilvánosan a Killnet és Killmilk ellen.

Néhányuk szavaiból úgy tűnik, hogy valójában sokkal többen vannak azok, akik elégedetlenek a Killnet tevékenységével, de félnek nyíltan szembeszállni vele.

„Sok hackernek elege van Killmilkből. Az oldalvonalon az oroszbarát csoportok jelentős része ellene fordul. De félnek nyilvánosan konfliktusba keveredni vele. Először is félnek a deanonimizálástól – Killmilk szereti felfedni a versenytársai kilétét, vagy megzsarolni őket ezekkel az információkkal” – mondta a Gazeta.Ru-nak egy NET-WORKER hacktivista. Saját tudomása szerint a Phoenix csoportot vezető Csapajev hacker 2023-ban a deanonimizálás fenyegetése miatt hagyta ott a hacktivizmust.

Killmilk ellenfelei fő feladatuknak a hacker hírnevének lerombolását tekintik. Ennek érdekében nemcsak Killnet különböző baklövéseit idézik fel, hanem aktívan gyűjtik és közzéteszik a főkolompos kilétére vonatkozó információkat. Úgy vélik, hogy ezen információk nyilvánosságra hozatala destabilizálja a Killneten belüli kapcsolatokat, és esetleg Szerafimov visszavonulásához vezethet a hacktivista tevékenységektől.

Igor Bederov, a T.Hunter információs és elemző kutatási osztályának vezetője szerint a deanonimizálás elsősorban azért kellemetlen a hacker számára, mert az anonim felhasználónév alatt elkövetett kiberbűncselekményeket felróják majd a valódi személynek. Ezen túlmenően a név titkosításának feloldása kiteheti a hackert a kiberbűnözői közösségben lévő ellenségei támadásának. Szerinte:

„A hacker megnevezése drámaian megnöveli az igazságszolgáltatás elé állításának kockázatát. Mind a jogi, mind a jogon kívüli területen.”

Pavel Szitnyikov hacker és az XPanamas információbiztonsági cég alapítója viszont úgy véli, hogy komoly szakemberek számára a személyazonosság felfedése nem ítélet.

„Az igazi hackerek tisztán dolgoznak és úgy végzik a munkájukat, hogy a deanonimitás után nehéz őket bármivel is megvádolni” – mondta Szitnyikov.

Igor Bederov, a T.Hunter munkatársa szerint az egyik oka annak, hogy a Killmilk most aktív információs támadás alatt áll, az lehet, hogy a hacker a Killnet vezetőjeként gondatlanul és szakszerűtlenül járt el, ami felkeltette a versenytársak figyelmét. Azzal, hogy a kibertérben garázdálkodott, és jelentős személyiségnek tartotta magát, Killmilk erős ellenségeket szerezhetett magának.

„A vele kapcsolatos visszajelzések elég durvák voltak. A profi hackerek oldaláról pedig az egész csoportot kritizálták a szakmaiatlanság miatt. A hacker-közeli közönség oldaláról pedig botrányos és etikátlan hozzáállást tapasztaltak a résztvevőktől” – mondta Bederov.

Eközben Szitnyikov „szinte biztos” abban, hogy Killmilk „kuratóriumi civakodás” áldozata lett az oroszországi hivatalos kiberhadsereg esetleges megalakulásának fényében. Ez a téma különösen aktuálissá vált, miután az orosz védelmi minisztérium vezetője, Makszut Sadajev támogatta a védelmi minisztériumon belüli kiberhadseregek létrehozásának ötletét 2023. november 1-jén. A „kurátorok” alatt Szitnyikov azokat a végrehajtó szerveket érti, amelyek koordinálják egyes hacker- és hacktivista csoportok tevékenységét.

„Ez a leszámolás a kiberhadsereg költségvetésének felosztásával kapcsolatos. Egy olyan költségvetéssel, amely egyébként nem létezik – hiába is próbálkoznak pénzhez jutni belőle. A legrosszabb ebben a helyzetben az, hogy az egyszerű emberek, akik hazafias érzésekből szálltak be a hacktivizmusba, megsínylik a torzsalkodást” – osztotta meg véleményét a hacker.

Oleg Sakirov, a kibertér nemzetközi politikájának szakértője, az Orosz Nemzetközi Ügyek Tanácsának tanácsadója kételkedik abban, hogy a hackereket a kiberhadsereg megalakításának kilátása motiválhatta. Szerinte Oroszországban már régóta folynak a létrehozásról szóló tárgyalások, amelyeket kizárólag a tisztviselők politikai játszmájának részeként folytatnak.

„Egyelőre nincs okunk arra, hogy ezeket a megjegyzéseket (a kiberhadseregről) bármilyen új struktúra létrehozása előfutárának tekintsük. A legtöbb országban a hacktivisták által elkövetett kibertámadások illegálisak. Sehol sincsenek olyan kivételek, amelyek felmentenék a civileket a felelősség alól az ilyen akciókért, feltéve, hogy azok hazafias indíttatásúak” – mondta. (Ne feledjük, hogy a Gazeta erősen kormánypárti).

Tegyük hozzá, létezett olyan elmélet is, mely szerint a Killnet tulajdonképpen lopta az eredményeit, olyan hackeléseket tulajdonított a saját tevékenységének, amelyeket a valódi elkövetőik – például a GRU hackercsoportjai – nem vállalhattak nyilvánosan. Ez indokolhatná Szerafimov kikapcsolását, de az is lehet, hogy ez a kisstílűből nagystílűvé avanzsált bűnöző egyszerű parasztáldozat, nála fontosabb és tehetségesebb hackerek helyett dobták oda a nyilvánosságnak.

Meg azért, mert nagyon elszemtelenedett.

Szerafimov hackernek lehet, hogy gyenge volt, de szélhámosnak annál jobb. Még az is lehet, hogy a mostani szerepe is színjáték.

*«От него устали, но боятся»: что известно о лидере хакерской группировки Killnet

**Атака клоунов. Кто на самом деле стоит за «киберармией России» Killnet

Latest

2024-117: Zero-Day Vulnerabilities in Palo Alto Networks PAN-OS

2024-117: Zero-Day Vulnerabilities in Palo Alto Networks PAN-OS

Palo Alto Networks released security updates for two actively exploited zero-day vulnerabilities in Palo Alto Networks PAN-OS. If exploited, these vulnerabilities could allow a remote unauthenticated attacker to gain administrator privileges, or a PAN-OS administrator to perform actions on the firewall with root privileges. It recommended applying the updates and

Members Public
Modern zsarolóvírusok

Modern zsarolóvírusok

A Magyar Védelmi Beszerzési Ügnynökséget az INC Ransom csoport támadta és zsarolta meg 2024. októberében. Az elmúlt időszakban megszaporodtak azok a magyarországi zsarolóvírus támadások, amelyek során az INC és a vele csaknem 71%-ban azonos Lynx zsarolóvírusokat használták a támadók.

Members Public