не особо сработало — сайт возрождался прежде… Его DDoS атаки перестали быть эффективными. DarkMarket перешел к дорогому широкополосному хостеру, и создал выделенные сервера для почты и баз данных. Внезапно, этот сайт оказался крепким орешком.
Затем, до Макса дошли весьма интригующие слухи про DarkMarket.
История включала в себя Silo, канадского хакера, известного своей удивительной способностью жонглировать дюжиной личин в сообществе, непринужденно меняя стиль под каждую из них. Вторым знаменитым навыком Silo было то, что он был одержим взломом других кардеров. Он постоянно публиковал ПО со скрытым кодом, позволявшее шпионить за коллегами.
Эти две черты сыграли Silo на руку, когда он зарегистрировался на DarkMarket под новой личиной и опубликовал ПО для взлома на оценку. Будучи верным себе, Silo спрятал в программе функцию, отправляющую пользовательские файлы на один из его серверов.
Взглянув на результаты, он обнаружил небольшой кэш пустых шаблонов Ворда, включавший форму жалобы на вирус. Шаблоны содержали логотип организации, известной, как Национальный альянс киберкриминалистики в Питтсбурге. Макс проверил их. Федералы. Кто-то из DarkMarket работал на правительство.
Готовый к расследованию, Макс снова воспользовался бэкдором. На этот раз он шел на разведку. Он вошел в консоль от рута, вывел недавнюю историю входа. Затем он вывел весь этот список в отдельное окно и начал проверять публичные записи о регистрации для каждого IP, использованного администрацией. Дойдя до Мастера Сплинтера, он остановился. Представившийся поляком спамер входил с адреса, принадлежавшего корпорации в США под названием Pembrooke Associates.
Он проверил записи о регистрации на Whois.net для сайта компании Pembetal.com. Их почтовый ящик находился в Варрендейле, Пеннсильвания, в двадцати милях от Питтсбург. Еще там был номер телефона.
Еще один щелчок мыши, еще одно окно браузера с обратным телефонным справочником на Anywho.com Он ввел номер телефона и получил настоящий адрес: 2000, Технологический проезд, Питтсбург, Пеннсильвания.
Это был тот самый адрес, который относился у Национальному альянсу киберкриминалистики. Мастер Сплинтер был федералом.
Глава 28. «Суд кардеров»
Кейт Муларски был изможден.
Сначала он переговорил с агентом в филиале Секретной службы на другом конце города. «Мне кажется тебе грозят некоторые неприятности». Один из бесчисленных информаторов слышал, что Iceman обнаружил неопровержимые доказательства, что Мастер Сплинтр был либо стукачом, шпионом корпоративной безопасности, либо федеральным агентом. Iceman временно объединился со своим бывшим врагом Silo и готовил подробную презентацию для руководства Carders Market и Dark Market‘а. Iceman и Silo явно хотели засудить Мастера Сплинтра.
Все началось с кода Silo. Известность Мастера Сплинтра как спамера и программиста сделала его специалистом в области обзоров вредоносного кода DarkMarket‘а. Это было одним из преимуществ его тайной операции: Муларски сможет оценить последние версии секретного атакующего кода и передать их CERT, который, в свою очередь, отправит их всем антивирусным компаниям. Вредоносный код можно будет обнаружить еще до того, как он окажется на черном рынке.
В этот раз Муларски поручил код в качестве тренировочного задания одному из студентов CMU проходящих стажировку в NCFTA. Согласно стандартной процедуре студент запустил программу в изолированном режиме на виртуальной машине - своего рода программная чаша Петри, которую после можно вычистить. Но он забыл о флешке в USB-порте. На нее были загружены пустая отчетная форма о вредоносной программе с логотипом NCFTA и основные цели исследования. Прежде чем студент осознал, что произошло, документ оказался в руках Silo.
Шесть администраторов и модераторов DarkMarket получили копию кода Silo. Теперь канадцы знали, что один из них был федеральным агентом.
Silo был темной лошадкой. В реальной жизни он был Ллойдом Лиске, менеджером в автомагазине Ванкувера и фальсификатором кредитных карт, разоренным через несколько месяцев после операции Firewall. Когда он был приговорен к восемнадцати месяцам домашнего ареста, Лиске изменил свою фамилию с Buckell и прозвище с Canucka и вновь появился на сцене кардеров.
Теперь канадец был неприкасаем. В кругах правоохранительных органов было хорошо известно, что Silo был осведомителем полицейского департамента Ванкувера. Вот почему он всегда взламывал других хакеров: троянский конь, проникший в NCFTA, не собирался разоблачать операции правоохранительных органов, Silo просто пытался собрать сведения на членов DarkMarket‘а для полиции.
Silo не был слишком верен ФБР, но скорее всего не собирался из кожи вот лезть, чтобы раскрыть тайную операцию бюро. К несчастью, Iceman узнал о разведке и организовал рейд по сбору информации на DarkMarket. Именно в этот момент неосторожность Муларски сделала свое дело. Он как обычно зашел в DarkMarket с помощью оболочки KIRE, скрывающей его местоположение. Но JiLsi как требовательный начальник постоянно напрягал Мастера Сплинтра задачами по обслуживанию - например, загрузкой новых рекламных баннеров - задачи, требующие немедленного выполнения. Иногда в это время KIRE бездействовал, и он по ссылке заходил напрямую. Iceman поймал его.
Даже тогда, он должен был быть в относительной безопасности. Офис по оказанию широкополосных услуг был создан под видом фиктивной корпорации, с телефоном, звонившим по непрослушиваемому VoIP в комнату связи. Телефонная линия не должна была засечься. Так или иначе, этого не произошло, и Iceman получил адрес и определил, что он принадлежит NCFTA.
Муларски быстро отправился в комнату связи, провел картой доступа, и заперся внутри. Он установил канал для безопасной связи с Вашингтоном. Агент не приукрасил свой отчет руководству. Несмотря на его работу над получением тайной власти для контроля DarkMarket‘а, при поддержке от главного Управления Юстиции и должностных лиц бюро, Iceman собирался разнести их в пух и прах всего через три недели после начала работы.
Макс боролся над предотвращением обнаружения - он знал, что после его атаки DarkMarket‘а, все его данные будут использованы против него. Он рассматривал вариант закрытия Carders Market до разоблачения Мастера Сплинтра, как возможность избежать того, что бы это все было воспринято просто еще одним залпом в войне кардеров. Вместо этого, он решил отправить своего нового лейтенанта, Th3C0rrupted0ne, чтобы представить свою позицию.
Суд задерживала «Carder IM» Silo - бесплатная, якобы зашифрованная программа для обмена бесплатными сообщениями, которую канадский хакер предложил в качестве альтернативы AIM и ICQ, поддерживающий показ объявлений для поставщиков дампов. Matrix001 обнаружился со стороны DarkMarket‘а - JiLsi был занят с последствиями от нападения Макса на Mazafaka. Также присутствовали Silo с другими двумя канадцами. Silo открыл заседание, раздав архив RAR с доказательствами, собранными им и Iceman‘ом.
Когда некоторые из кардеров открыли файл, их антивирусы обезумели. У Silo оставил бэкдор в доказательствах; не самое многообещающее начало встречи на высшем уровне.
C0rrupted и Silo продолжали представлять доказательства: шаблоны документов Silo показало, что
