Amikor a WannaCry zsarolóvírus 2017 tavaszán letarolta a világot, senki sem gondolta, hogy végül egy egykori kiberbűnöző vet majd véget a tombolásának. Marcus Hutchins története remek tanulságokkal szolgálhat mindazoknak, akik fekete-fehér szűrőn át szemlélik a világot.
2017 bizonyos szempontból nagyon hasonlóan indult, mint 2020: a világ akkor is egy vírustól rettegett, habár a szóban forgó vész nem az emberek életét, hanem a számítógépeiket fenyegette. A WannaCry névre keresztelt kártevő windowsos PC-ket fertőzött meg, zárolta a tárolt fájlokat, majd a feloldásukért cserébe 300-tól 600 dollárig terjedő „váltságdíjat” követelt. A támadások azokon a rendszereken jártak sikerrel, melyeken még nem került telepítésre a Microsoft 2017. áprilisi biztonsági frissítése.
Az észak-koreai eredetű vírus mindössze néhány nap leforgása alatt több mint 300.000 gépet fertőzött meg, 98%-uk a 2009-ben kiadott Windows 7-et használta. A károsultak között volt az Egyesült Királyság egészségügyi szolgálata (s vele egy sor kórház), a Deutsche Bahn, a spanyol Telefónica kommunikációs cég, valamint a Renault és a Honda is. A WannaCry 150 országban bukkant fel 4-8 milliárd dolláros kárt okozva, mire a negyedik napon az akkor mindössze 22 éves Marcus Hutchins fel nem fedezte a kódjába rejtett „kikapcsológombot”.
Az ilfracombe-i srácot az internet megmentőjeként ünnepelték, ám néhány hónappal később bombaként robbant a hír: az FBI letartóztatta kiberbűnözés vádjával. Hutchins meggyanúsítása óriási felháborodást keltett, rövidesen még gyűjtés is indult 30.000 dolláros óvadékának összekalapozásáért. A világ egy ártatlanul bebörtönzött fiatalember miatt méltatlankodott, nem is sejtve, hogy Hutchins múltja távolról sem makulátlan: részben ő állt az egyik legveszélyesebb banki kártevő, a Kronos mögött. Netflix-sorozatért kiáltó történetét a Wired nemrég remek cikkben dolgozta fel, a továbbiakban ezt igyekszünk összefoglalni.
Szárba szökkenő tehetség
Ha valamilyen területen rendkívüli teljesítmény nyújtó emberekről van szó, szinte mindig visszatérő elem, hogy az illető már gyerekkorában is kitűnt képességeivel, s ez alól a WannaCry-sztori főhőse sem kivétel. Marcus Hutchins 1994 júniusában született egy skóciai felmenőkkel bíró ápolónő és egy jamaikai származású szociális munkás gyermekeként. Már 6 évesen rabul ejtette a számítógépek világa: rendszeresen szétszedte a családi Dell PC-t, nem sokkal később pedig már a Basic programozási nyelvben kódolt.
Az iskolában osztálytársai még a szövegszerkesztők alapjaival küszködtek, mikor ő már képes volt a gépekre telepített korlátozások kikerülésére, kedve szerint telepítve kedvenc programjait. Az első saját PC-jét 13 évesen kapta, s egy kezdetleges fórumon rövidesen megismerkedett a hackerkedés alapjaival. Egy olyan csoport tagja lett, akik az akkoriban (a 2000-es évek második felében járunk) iszonyú népszerű chatplatformon, az MSN-en követtek el kisebb-nagyobb csínyeket. Hutchins itt azzal szerzett nevet magának, hogy írt egy kártevőt, amely a szolgáltatáson keresztül megfertőzte a felhasználó gépét, majd ellopta annak Internet Explorerben tárolt jelszavait.
Forrás: DevonLive
A srácot elmondása szerint nem a károkozás motiválta, egyszerűen csak a program létrehozásában rejlő kihívás vonzotta. A hackerkedésbe belehabarodó Hutchins a kezdeti sikerein felbuzdulva egyre több időt szentelt a kódolásnak, egész éjszakákat átpötyögve, hogy aztán félórányi alvás után mit sem sejtő szülei eltaszigálják az iskolába. Tanulmányai alaposan megszenvedték az új hobbiját, de ő ezt egyáltalán nem bánta. Időközben átszokott a HackForums nevű portálra, melynek tagjai azon versenyeztek, hogy ki képes több gépet megfertőzni, amiket aztán túlterheléses (DDoS) támadásoknál használhattak fel. Hutchins 15 évesen már több mint 8000 PC-t hajtott így az uralma alá, többnyire torrenteken keresztül terjesztett fertőzött fájlokkal. Ezen a ponton még mindig csak egy érdeklődő fiatal volt, akit elsősorban a kihívás és a közösségen belüli hírnév hajtott, ám rövidesen sokkal veszélyesebb vizeken találta magát.
Csodagyerekből bűnöző
Az ifjú hacker egy idő után már oly magabiztossá vált, hogy saját üzletet indított. Kibérelt néhány szervert, amelyeken webhelyszolgáltatásokat nyújtott a HackForums tagjainak. Az ügyfelek lényegében arra használhatták az általa biztosított tárhelyet, amire csak akarták: adathalász oldalakat működtethettek, vagy illegális szoftvereket terjeszthettek róla. Egy fennmaradt bejegyzés szerint Hutchins csak a gyermekpornográfiát tiltotta kimondottan. Az egykori hacker erről a korszakról úgy nyilatkozott a Wirednek, hogy az akkoriban elkövetett húzásait tinédzserfejjel nem érezte „valódi” kiberbűnnek. A vörös vonalat ugyanis a banki adatokkal való visszaélések jelentették számára, ezért nem is alkotott ilyen jellegű kártevőket.
A webhelyszolgáltatás nyűgjeibe nagyjából egy év alatt beleunt, s ezek után minden energiáját saját malware-ek megalkotására fordította. Mesterévé vált a rosszindulatú fájlok elrejtésének, munkáit pedig rendszeresen posztolta a HackForums felületén. Erre figyelt fel az első fizető ügyfele, aki 200 dollárt ajánlott neki egy olyan programért, ami képes ellenőrizni, hogy az egyes antivírusok számára látható-e egy adott kártevő. A sikeresen teljesített feladat után elterjedt a srác híre, így ezt követően több ügyfélnek is dolgozott. Ezek sorában bukkant fel egy Vinny álnevű illető, s ezzel kezdetét vette a fiú évekig tartó kálváriája.
Ez a megbízó egy minden addiginál komolyabb projektre invitálta: egy többfunkciós, folyamatos támogatással bíró rootkitet (lényegében rendszerszintű irányitást biztosító szoftvert) akart, amit akár több ezer dollárért is eladhatott az erre szolgáló felületeken. Hutchins elfogadta a kihívást, és még úgy is belement a dologba, hogy előre egyetlen fillért sem kapott, mivel Vinny csak utólagos, 50%-os részesedést ígért neki. Az UPAS Kit nevű program elkészítése végül 9 hónapjába telt, s az elhúzódó közös munka során túlzottan bizalmaskodóvá váló tinihacker elkövetett egy nagy hibát: felfedte életkorát és postacímét a megbízó előtt.
Vinny azzal csalta tőrbe, hogy felajánlotta a környékén kapható vacak marihuánára panaszkodó Hutchinsnek, hogy a 17. születésnapjára küld egy minőségi csomagot az akkor induló Silk Road nevű online feketepiacon keresztül. Ehhez csak a dátumot és a küldemény címét kérte, amit az információk érzékeny mivoltába hirtelen bele sem gondoló Hutchins készséggel el is árult neki. Utólag ugyan kapcsolt, hogy ezzel nagyon sebezhetővé vált, de innen már nem volt visszaút. Az UPAS Kitet végül 2012 nyarán kezdték árusítani, a befolyt összegből pedig ifjú megalkotója is szépen profitált: lecserélte PC-jét, valamint Xboxot és vadonatúj hangrendszert vásárolt szobájába.
Ekkorra már teljesen abbahagyta az iskolát: szülei egyszerűen nem tudták rákényszeríteni az órák látogatására. Tanulás helyett BitCoinnal kezdett kereskedni, olyan algoritmusokat írva, melyek megakadályozták, hogy nagyot bukjon a kriptovaluta sokszor vadul ingadozó árfolyamán. A szekér egész szépen futott, s Vinny rövidesen felkérte az UPAS Kit 2.0 megírására. Hutchinsnek viszont nem tetszett, hogy a titokzatos megbízó olyan modulokat (úgynevezett webinjecteket) akart az új változatba, melyek alkalmasak lettek volna a bankok által használt kétlépcsős azonosítás során küldött kódok kicsalására.
Hutchins nemet mondott a felkérésre, mert az már egyértelműen sértette sajátos morális kódját: elmondása szerint nem akart ártatlan embereket megfosztani a félretett pénzüktől. Vinny még egy burkolt fenyegetéssel is bepróbálkozott (emlékeztette, hogy ismeri a lakhelyét és a kilétét), ám a srác nem engedett. Végül abban egyeztek meg, hogy Hutchins elkészíti a programot, de a banki adatok ellopását lehetővé tevő elemek nélkül. A munka újabb 9 hónapot vett igénybe, mely alatt az ifjú hacker saját akaratából ismét visszatért a tanuláshoz. Az iskola melletti éjszakai kódolásokhoz Hutchinsnak viszont már kevés volt a kávé: egyre nagyobb mennyiségben fogyasztott amfetaminokat a vállára nehezedő rengeteg feladat és az őt sürgető Vinny miatt.
A mélypont akkor jött el számára, mikor végre befejezte az UPAS Kit új verzióját: megbízója ekkor közölte, hogy egy másik specialista közben elkészítette az általa megtagadott kiegészítéseket, amit csak be kellett építeni a programba. Hutchins utólag elismeri, hogy ezen a ponton faképnél kellett volna hagynia a megrendelőt, ám az sikeresen meggyőzte a maradásról. Vinny azzal érvelt, hogy a kiugrással 9 hónap kemény munkája veszne kárba, hiszen a jutalékos díjazás miatt a programozónak egy fillér sem járt volna. Hutchins ráadásul azzal is tisztában volt, hogy lebukás esetén már ígyis-úgyis az ő nyakába varrnák a balhét, így nem lelkesen, de beleegyezett a folytatásba.
Ezt követően egy perc nyugta sem volt. A végleges programot 2014 nyarán kezdték terjeszteni, az akkor 20 éves (továbbra is szüleinél lakó) fiatalember pedig állandó rettegésben élte az életét attól tartva, hogy a hatóságok rátalálnak. Közben az ügyfelek sem voltak maradéktalanul elégedettek az UPAS Kit 2.0 korai változatával, így Vinny átkeresztelte a szoftvert, ami innentől Kronos néven futott tovább.
Jó úton
A program megjelenése nem hozta el a munkatempó lassulását. A Kronos vásárlói rengeteg hibajavítást és változtatást követeltek, melyeket Hutchins csak a drogfogyasztás fokozásával tudott teljesíteni. Ezekben az időkben napokig dolgozott alvás nélkül, s amikor már nem bírta tovább, akár 24 órára is képes volt kidőlni. A szűkös határidők, a következményektől való rettegés és az iskolai feladatok teljesen kikészítették a fiatalembert, ami nem segítette elő, hogy bölcs döntéseket hozzon.
A TrojanForge nevű fórumon ekkor kötött barátságot egy Randy álnéven regisztrált illetővel, aki kapcsolatuk kezdetén megpróbálta rávenni, hogy készítsen neki egy bankfiókok feltörésére alkalmas kártevőt. Hutchins ezt visszautasította, és nem is fogott gyanút a felkérés hallatán, még annak ellenére sem, hogy a Kronosban vállalt szerepéről Vinnyn kívül senki sem tudott. Randy viszont a nemleges válasz ellenére sem tűnt el. Újabb, immáron legális projektekbe vonta be a programozót: oktatási és vállalati appokon dolgozhatott, ami kapóra jött Hutchinsnek a hackerkedésből szerzett jövedelmei tisztára mosásánál.
Kapcsolatuk rövidesen barátira fordult. Randy többször is kisegítette a fiatalembert, például iMacet küldött neki, amikor az kellett a munkájához, illetve még egy PS4-et is, hogy közösen játszhassanak. Egy idő után már videóhívásokat is folytattak, beszélgetéseik során Randy cseppet sem titokzatoskodott, és rengeteget beszélt arról, hogy a (feltehetően kiberbűnözésből szerzett) jövedelmeit jótékony célokra szeretné használni. Ezzel elnyerte Hutchins szimpátiáját, aki egyfajta Robin Hood-figurát látott az idegenben, ezért egy alkalommal még azt is vállalta, hogy a BitCoin-kereskedő szoftverével megfialtatja Randy 10.000 dollárját.
A sors azonban úgy hozta, hogy egy éjszakai áramszünet következtében leálltak az árfolyamot figyelő gépek, ami miatt a kezelt összegből egy pillanat alatt elillant 5000 dollár. A szerencsétlen baleset kétségbeesett tettre sarkalta Hutchinst: azonnal bevallotta Randynek, hogy készített egy banki csalásokat lehetővé tevő szoftvert, amiből kártérítésként felajánlott egy példányt az újdonsült barátjának. Csak másnap reggel döbbent rá, hogy a vallomás és a bizalmas beszélgetéseik során megosztott személyes információi könnyen bajba keverhetik, ha Randyt esetleg elkapják a hatóságok. Ezek után már végképp biztos volt abban, hogy előbb-utóbb rá is sor kerül.
2015 tavaszán a 20 éves Hutchins a stresszes körülményei ellenére is elvégezte a főiskolát, ami arra az elhatározásra sarkallta, hogy feladja az amfetaminhasználatot. A drogok elhagyása kínzó tünetekkel járt, melyeket a hacker utólag csak úgy jellemez, hogy olyan volt, mintha napokig tartó pánikrohama lett volna. Végül azonban külső segítség nélkül sikerült megszabadulnia a szerektől, s velük együtt Vinnytől is. Hutchins ugyanis az amfetaminokkal való küzdelme miatt olyannyira elhanyagolta a Kronoson végzett munkát, hogy partnere egy idő után ráunt a dologra, s néhány veszekedést követően felszívódott.
Hónapokba telt, mire Hutchins teljesen összeszedte magát, s mikor egyenesbe jött, már szemernyi kedvet sem érzett a kártevő szoftverek írásához. Ehelyett MalwareTech nevű blogján kezdett szakmai cikkeket közölni a témában, melynek egy idő után már tízezer rendszeres olvasója volt. Kimerítő technikai analízisei egyedülállónak számítottak, és senki sem sejtette, hogy szerzőjük miként tett szert átfogó tudására.
A másik hobbijává az vált, hogy fertőzött számítógépekből álló hálózatok, azaz botnetek kódját fejtette vissza, majd szándékosan beépülve tárta fel, hogy mire használják őket működtetőik. Ezek egyike a Kelihos volt, amit a Los Angeles-i székhelyű kiberbiztonsági cég, a Kryptos Logic egy ideje már szeretett volna „feltörni”, ám ők nem jártak sikerrel. Hutchins tehetségét látva a vállalkozást vezető Salim Neino felvette a kapcsolatot az anonim bloggerrel, és munkát ajánlott neki.
Miután két saját botnet-követőt is készített a Kryptos számára (egyet a Kelihoshoz, egyet pedig a még nagyobb Salityhez), Neino állandó alkalmazottként szerződtette a zseniális programozót, méghozzá hatszámjegyű éves fizetést biztosítva. Ez jóval több pénzt hozott Hutchinsnak, mint az egész kiberbűnözői karrierje, aki csak ekkor értette meg igazán, hogy a jófiúk oldalán játszani nem csak nyugodtabb, de kifizetődőbb is. Az új munkatárs segítségével a Kryptosnak mindössze néhány hónap alatt sikerült feltárnia a világ összes nagyobb botnet-hálózatát.
Hutchins pályafutásának egy emlékezetes esete a Mirai nevű malware 2017-es megfékezéséhez fűződik. Ez a különösen veszélyes kártevő IoT-eszközöket (routerek, biztonsági kamerák, stb.) használt fel addig soha nem látott erősségű túlterheléses támadások indításához. A Mirai egy idő után már az Amazon, a Netflix és a Reddit működésében is fennakadásokat okozott, de az ország első számú telekomcégének megtámadásával csaknem egész Libériát is sikerült lekapcsolnia az internetről. Hutchins egy saját készítésű követő segítségével azonosította a botnet támadásait irányító szerver működtetőjét, akit a lelkiismeretére hatva egész egyszerűen rábeszélt a hálózat lelövésére.
A WannaCry hőse
Hutchins így bizonyos körökben már ismert kiberbiztonsági szakembernek számított, mikor a WannaCry vírus 2017 májusában terjedni kezdett. A londoni kórházak rendszerének május 12-i összeomlásakor a programozó épp vakációjáról tért haza, s a pusztítást látva azonnal munkába állt. Egy szimulált számítógépet fertőzött meg a zsarolóvírussal, s feltűnt neki, hogy a fájlok zárolása előtt a szoftver egy véletlenszerűnek tűnő címre, a iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com-ra küld lekérdezést.
Legnagyobb meglepetésére a domain szabadnak bizonyult, így 10,69 dollárért (kb. 3500 Ft) megvásárolta azt, majd a fertőzött számítógépekről érkező jeleket a Kryptos szervereire terelte. Innen a kérések már nem érkeztek vissza, így nem is történt meg a titkosítás. A sinkholing nevű módszerrel tehát nem a vírus terjedése állt meg: egyszerűen csak hatástalanná vált a kártevő. Hutchins az eredményeit Twitterén tette közzé, s rövidesen még egy térképet is készített a fertőzés mértékének alakulásáról. A WannaCry-t megállító 22 éves programozó sztorija egy csapásra a híroldalak címlapján landolt, a srác nemzetközileg ismert hőssé vált.
Három hónappal később barátaival Las Vegasba utazott, hogy részt vegyen a Defcon nevű hackerkonferencián. A rendezvényre azonban végül el sem jutott, részben azért, hogy elkerülje a rajongókkal való kimerítő szelfizést. Ehelyett kibéreltek egy villát a város legnagyobb privát úszómedencéjével, s vagy másfél héten át buliztak, sportkocsikkal száguldoztak, de még egy lőtérre is ellátogattak. Visszaemlékezései szerint Hutchins nagyjából csak ezekben a napokban engedte el magát annyira, hogy már nem rettegett folyamatosan korábbi stiklijei következményeitől.
Ezért is érte felkészületlenül, amikor az angliai hazaútja előtt a Las Vegas-i reptéren az FBI letartóztatta, és egy kihallgatószobába terelte. Csak akkor esett le neki, hogy miről is van szó, mikor az őt faggató ügynök egy kinyomtatott beszélgetést húzott elő, amelyben néhány évvel korábban elismerte „Randynek”, hogy banki csalásokra alkalmas szoftvert hozott létre. Mint kiderült, a Kronos azóta egész “szép” karriert futott be, Hutchins pedig végig a hatóságok célkeresztjében volt. A csőbe húzott hackert ezt követően átszállították egy börtönbe, ahonnan csak egyetlen telefonhívást bonyolíthatott.
Az elszámolás
Hutchins a kryptosos főnökét, Salim Neinót hívta fel, aki azonnal elkezdte a szervezkedést. A letartóztatás híre futótűzként terjedt, nem kis felháborodást keltve az interneten. Prominens megmondóemberek tucatjai fejezték ki tiltakozásukat, a véleményalkotók többsége még csak nem is feltételezte, hogy a WannaCry hősét jogosan tartják fogva (néhányan viszont azzal vádolták, hogy ő maga állt a zsarolóvírus mögött). A programozó végül 30.000 dolláros óvadék ellenében szabadulhatott a börtönből, melyet egy vadidegen házaspár tett le érte, akik felkarolták az ügyét.
Hutchins ezután házi őrizetbe került, s hosszadalmas jogi hercehurca vette kezdetét. Az ekkor már 23 éves srácot azonban nem csak az őt ért vádak alapján kiszabható büntetés mértéke (10 év börtön, 500.000 dolláros bírság) aggasztotta, hanem a bűntudat is. Elmondása szerint ugyanis rendkívül nyomasztotta, hogy a fél internet az ártatlanságán háborgott, miközben ő pontosan tudta, hogy valóban elkövette a számlájára írt tetteket. Ez a félreértés abból adódott, hogy védői javaslatára előzetesen ártatlannak vallotta magát, mivel csak így védekezhetett szabadlábon. Szerette volna nyilvános bocsánatkérésben tisztázni a helyzetet, ám az ügyvédei ezt megtiltották neki az ítélet meghozatala előtt.
Csaknem két évbe telt, mire eljött számára a feloldozás. A 2019 nyarán zajló tárgyalás során ugyanis a 77 éves bíró a teljes munkásságát tette mérlegre, s ennek fényében úgy határozott: a tinédzserként elkövetett stiklik nem írják felül azt, amit később tett a kiberbiztonság terén. Az ítélet szerint bűnösnek találták a Kronos és az UPAS Kit elkészítésében, ám a kétévnyi házi őrizeten túl nem kellett börtönbe vonulnia: megúszta egy év felügyelettel és a 200 dolláros eljárási díj megfizetésével.
A nyilvánosságnak szánt vallomása végül az a részletes portré lett, melyet a Wired újságírója készített róla, s melynek alapján ez a cikk is született. Az anyaghoz Hutchins 12 órányi interjút biztosított. Elmondása szerint már nem az motiválja, hogy bocsánatot nyerjen, mert rájött, hogy csak akkor tudna megnyugodni, ha visszamehetne az időben, és felvilágosíthatná a letartóztatása miatt tiltakozókat a teljes igazságról. „Nem akarok a WannaCry-srác, vagy a Kronos-srác lenni. Egyszerűen csak olyasvalaki szeretnék lenni, aki segíteni tud a dolgok jobbá tételében.”-mondja.
Forrás: Wired
Borítókép: Chris Ratcliffe/Bloomberg/Getty Images
