Marcus Hutchins
Marcus Hutchins | |
|---|---|
| Född | 1994 (ålder 28–29)
Bracknell , England
|
| Andra namn | MalwareTech |
| Ockupation | Datasäkerhetsforskare _ |
| Känd för | Upptäckte WannaCry kill switch |
| Hemsida | |
Marcus Hutchins (född 1994), även känd online som MalwareTech , är en brittisk datasäkerhetsforskare känd för att stoppa WannaCry ransomware-attacken . Han är anställd av cybersäkerhetsföretaget Kryptos Logic. Hutchins kommer från Ilfracombe i Devon .
Tidigt liv
Hutchins är den äldre sonen till Janet Hutchins, en skotsk sjuksköterska, och Desmond Hutchins, en jamaicansk socialarbetare. Runt 2003, när Hutchins var nio år gammal, flyttade föräldrarna familjen från urbana Bracknell , nära London, till landsbygden i Devon . Hutchins hade tidigt visat lämplighet för datorer och lärde sig enkla hackningsfärdigheter tidigt, som att kringgå säkerheten på skoldatorer för att installera programvara för videospel. Dessutom ägnade han tid åt att lära sig att bli surfräddare.
Han blev involverad i ett onlineforum som främjade utveckling av skadlig programvara , mer som ett sätt att visa upp sina färdigheter för varandra snarare än för skändliga syften. När han var omkring 14 år gammal skapade han sitt eget bidrag, en lösenordsstöldare baserad på Internet Explorers Autofyll-funktion, som fick godkännande av forumet. Han tillbringade mycket av sin tid med det här samhället i den mån hans skolarbete började misslyckas. När skolans system äventyrades hävdade skolmyndigheterna att Hutchins var boven. Även om han förnekade all inblandning, avstängde skolmyndigheterna honom permanent från att använda datorerna i skolan, vilket ytterligare fick Hutchins att hoppa över skolan oftare och tillbringa mer tid i forumen för skadlig programvara.
Karriär
UPAS Kit och Kronos
Vid denna tidpunkt hade de ursprungliga forumen för skadlig programvara stängts och Hutchins överfördes till en annan hackergemenskap, HackForums. I detta nya forum förväntades medlemmarna visa mer skicklighet genom att visa innehav av ett botnät . Hutchins, 15 år gammal vid den tiden, skapade framgångsrikt ett botnät på 8 000 datorer för HackForums genom att lura BitTorrent -användare att köra hans falska filer för att ta kontroll över sina maskiner. Från denna exploatering såg Hutchins ekonomiska möjligheter för sina hackingfärdigheter, även om han vid den tidpunkten inte kände att dessa var bundna till någon typ av cyberbrottslighet , som han sa i en intervju 2020. Dessa aktiviteter inkluderade att skapa "spökade" webbhotell för andra på HackForums för "alla olagliga webbplatser" utom barnporr, och skapa anpassad skadlig programvara, ofta baserat på att utvärdera hur andras rootkits fungerade .
Enligt Hutchins i senare intervjuer och i hans överenskommelse, när han var runt 16, efter att ha fått ett rykte i hackningskretsar för sin anpassade skadlig programvara, kontaktades han av en online-enhet som han bara kände som "Vinny", som bad honom att skriva ett välskött, mångfacetterat rootkit som kan säljas på flera hackermarknadsplatser, där Hutchins får hälften av vinsten av varje försäljning. Hutchins gick med på det och i mitten av 2012 hade han skrivit UPAS Kit, uppkallat efter det giftiga upasträdet . Under denna period hade Hutchins en gång i sina samtal med Vinny klagat på bristen på bra ogräs i landet. Vinny frågade efter sin adress, som Hutchins gav, och senare på sin 17-årsdag fick han ett paket fullt med olika rekreationsdroger. Försäljningen av UPAS Kit tjänade Hutchins tusentals dollar genom bitcoin , vilket gjorde att han kunde hoppa av skolan och leva ett bekvämt liv, även om han höll sitt arbete hemligt för sin familj.
Vinny kom snart tillbaka till Hutchins för att be honom skriva UPAS Kit 2.0, specifikt lägga till keylogging och webbinjektering för webbläsarens formulärsidor. Vid denna tidpunkt insåg Hutchins att dessa funktioner troligen var inriktade på finansiella transaktioner på bankwebbplatser, och därför skulle han möjliggöra cyberbrottslighet om han skrev uppdateringen. Hutchins berättade för Vinny att han vägrade skriva en sådan kod, men Vinny höll honom över det faktum att han kände till sitt födelsedatum och adress från sin tidigare gåva av rekreationsdroger och var villig att ge det till FBI om Hutchins inte samarbetade. Hutchins nådde en överenskommelse om att lägga till nyckelloggningen till UPAS Kit 2.0 men utelämnade allt som hade med webbinjektion att göra, vilket tog ytterligare nio månader att slutföra.
Efter detta berättade Vinny för honom att han hade anställt en annan programmerare för att uppdatera UPAS Kit med webbinjektioner och nu ville att Hutchins och den här programmeraren skulle arbeta tillsammans för att kombinera koden till ett enda paket. Även om han var etiskt sliten över beslutet, valde Hutchins att fortsätta arbeta med Vinny för att åtminstone se till att han fick betalt för det arbete han redan gjorde, även om han förhalade så mycket han kunde. Den nya koden var klar i juni 2014, och när Vinny började sälja den till den mörka webben döpte han om UPAS Kit 2.0 till Kronos , baserat på den mytologiska grekiska Titan .
MalwareTech och Kryptos Logic
Hutchins hade gått in på community college och kämpade mellan att slutföra sitt sista år på jobbet och korrigeringarna av Kronos som Vinny krävde, ytterligare komplicerade med ett drogberoende han fick när han arbetade på Kronos. Under den här tiden träffade han en person som han kände som "Randy" online genom hackingforum. Randy, som var baserad i Los Angeles, hade sökt ett bankrootkit som Kronos, vilket Hutchins inte nämnde, men ledde till längre samtal för att få reda på att Randy hade fler filantropiska mål. För att hjälpa Randy erbjöd Hutchins att hjälpa honom med handel med bitcoin. Ett strömavbrott en natt fick dock Hutchins att förlora mer än 5 000 US$ av Randys bitcoin, och i utbyte avslöjade Hutchins sin koppling till Kronos och erbjöd Randy en gratis kopia. Efter att de hade slutfört den affären insåg Hutchins felet han hade gjort när han avslöjade detta för en främling, och började frukta att han skulle bli kontaktad av polisen.
Hutchins tog examen från community college 2015 och slutade med sitt drogberoende cold turkey . Han sköt upp förfrågningar från Vinny om uppdateringar till Kronos och hävdade att han var upptagen med skolarbete, tills snart förfrågningarna upphörde, liksom alla ytterligare betalningar från Vinny. Efter flera månaders rädsla bestämde han sig för att starta en anonymt skriven blogg om djupanalys av hacks som han kallade MalwareTech, baserat på vad han hade lärt sig genom att utvärdera andras rootkits och sitt eget arbete med UPAS Kit och Kronos, även om han inte talade om sitt anslutning till dessa rootkits. När nya rootkits dök upp började Hutchins omvända dessa och skriva detaljerna på MalwareTech, såsom Kelihos och Necurs botnät , och skrev sin egen botnätsspårningstjänst som kunde gå med i botnätet och övervaka vilka operationer som kontrollerna av botnäten gjorde. Hans skrifter väckte intresse hos Kryptos Logics VD Salim Neino, som erbjöd författaren ett jobb.
Hutchins accepterade; medan han fortfarande arbetade från Ilfracombe, skulle han omvända nya botnät och tillhandahålla detaljerad information till Kryptos Logic samtidigt som han skrev på högnivåfunktionaliteten han hade upptäckt till MalwareTech, medan Kryptos Logic skulle övervaka botnäten för pågående cybersäkerhetshot. Genom detta förhållande växte Hutchins rykte via sin MalwareTech-identitet, och blev kallad en "reversing savant" av en före detta NSA- hacker, även om bara ett fåtal medarbetare på Kryptos kände till hans sanna identitet. Hutchins och Kryptos Logic var avgörande för att stoppa en utlöpare av Mirai botnet/ DDoS-attacken ( Distributed Denial of Service ) 2016 som hade drabbat Lloyds Bank , eftersom Hutchins hade kunnat vädja till hackaren bakom den, när han väl hade spårat honom , med sina egna erfarenheter för att övertyga honom om att stoppa botnätet.
Vill gråta
WannaCry ransomware- attacken hade startat runt den 12 maj 2017 ; med hjälp av en exploatering i Microsoft Windows Server Message Block spreds det snabbt från dess ursprungliga injektionspunkt, som tros vara i Nordkorea, till över 230 000 datorer i 150 länder under dagen. Datorer som var infekterade var till synes låsta från användning och kunde endast låsas upp om användaren skickade en mängd Bitcoin till ett visst konto.
Hutchins hade blivit medveten om WannaCry på eftermiddagen den 12 maj, och även om han hade varit på semester började han omvända koden från sitt sovrum. Han upptäckte att skadlig programvara var knuten till ett udda utseende domännamn , vilket tyder på att skadlig programvara skulle vara en del av en kommando-och-kontrollstruktur som är gemensam för botnät, men till hans förvåning registrerades inte domännamnet. Han registrerade snabbt domänen och satte upp servrar hos Kryptos Logic inom den för att fungera som honeypots , så att de kunde spåra de infekterade datorerna. Medan WannaCry-masken fortsatte att spridas under de närmaste timmarna, fann säkerhetsforskare att eftersom Hutchins hade registrerat domännamnet när han gjorde det, skulle WannaCry inte köra vidare, vilket i praktiken blev maskens killswitch . Hutchins och Kryptos, tillsammans med Storbritanniens National Cyber Security Center , tillbringade de kommande dagarna med att underhålla honeypot-servrarna från ytterligare DDoS-attacker, några startade om av pågående Mirai-botnät för att se till att killswitchen förblev aktiv medan Microsoft och andra säkerhetsarbetare skyndade sig att patcha utnyttjandet i servermeddelandeblocket och utfärda det till slutanvändare. En separat insats från franska cybersäkerhetsforskare hittade en metod för att låsa upp och dekryptera drabbade datorer utan att behöva betala lösensumman.
Hutchins arbete, som MalwareTech, för att stoppa WannaCry, fick mycket beröm, men detta ledde till att pressen klurade ut Hutchins identitet bakom MalwareTech under dagarna som följde. Hutchins försökte undvika pressen inklusive de mer invasiva tabloiderna som hade publicerat hans namn och adress knutna till MalwareTech-namnet, men gick med på en enda Associated Press- intervju under hans riktiga namn, och försökte dämpa den "hjälte"-uppfattning han hade varit given. I det här reportaget höll han sin tidigare historia tyst och sa helt enkelt att han fick sitt jobb med Kryptos Logic baserat på sina mjukvarukunskaper och MalwareTech-blogghobbyer som han utvecklade under skolan. Han fick en typ av kändisstatus inom cybersäkerhetsvärlden för sina handlingar mot WannaCry, och planer gjordes för honom att delta i 2017 DEF CON cybersäkerhetskonferens i Las Vegas i augusti.
Gripa
Den 3 augusti 2017 arresterades Hutchins av FBI när han förberedde sig för att återvända till England från DEF CON på sex hackningsrelaterade federala anklagelser i den amerikanska distriktsdomstolen i Eastern District of Wisconsin för att ha skapat och spridit Kronos 2014 och 2015. Baserat på dokument som erhållits av Vice genom Freedom of Information Act- förfrågningar, hade FBI knutit Hutchins till Kronos efter att de hade beslagtagit AlphaBays tillgångar i juli 2017, där de hittade bevis för minst en försäljning av Kronos. FBI hade erhållit kopior av hans konversationer med Randy från ett annat mörk webbserverbeslag före AlphaBay för att bevisa sin koppling till programvaran, vilket han erkände under förhör.
Hutchins hölls i ett fängelse i Las Vegas över natten efter att ha ringt Neino om hans svåra situation. Neino larmade sina egna medarbetare, vilket startade en kedja av varningar i hela cybersäkerhetsgemenskapen om Hutchins situation, även om många felaktigt trodde att arresteringen berodde på WannaCry-attackerna. Ett stort antal cybersäkerhetsarbetare och hackare samlade till hans hjälp för att hjälpa Hutchins borgen, men eftersom några av bidragen inkluderade stulna kreditkort och bitcoin väckte det ytterligare misstankar om Hutchins aktiviteter; Till slut Tarah Wheeler och hennes man Deviant Ollam stå för borgen och hjälpa till att hitta Hutchins en plats i Los Angeles att bo på eftersom han var förhindrad att lämna landet.
Vid sin förhandling erkände han sig oskyldig till anklagelserna och sattes i husarrest i Los Angeles, först med strikta utegångsförbud och GPS-övervakning , men dessa hävdes efter några månader. Hutchins hade avsett att hans "oskyldiga" skulle användas som en del av en yrkandeförhandling med FBI, snarare än att förneka all inblandning i Kronos, även om vissa i hackergemenskapen tog detta som hans förnekande och kämpade högljutt för Hutchins frigivning på detta påstående.
I början av 2018 började FBI förhandla med Hutchins eftersom de önskade information han hade om Vinny och flera andra hackare som han kände, och erbjöd sig att reducera hans straff till noll fängelse. Hutchins kunde inte ge någon betydande information om Vinny och ville inte avslöja information om de andra hackarna och vägrade erbjudandet. FBI lade till fyra anklagelser till hans åtal i juni 2018, vilket Hutchins fick höra av hans advokater var ett svar på att de vägrade deras erbjudande.
Den 19 april 2019 erkände Hutchins sig skyldig till två av de tio anklagelserna, konspirerat för att begå bedrägeri, samt distribution, försäljning, marknadsföring och reklam för en enhet som används för att avlyssna elektronisk kommunikation. Hans uttalande inkluderade citatet "Jag ångrar dessa handlingar och tar fullt ansvar för mina misstag. Efter att ha vuxit upp har jag sedan dess använt samma färdigheter som jag missbrukade för flera år sedan i konstruktiva syften." Hutchins riskerar upp till fem års fängelse och $250 000 i böter för de två anklagelserna. Den 26 juli 2019 dömde domaren Joseph Peter Stadtmueller Hutchins till avtjänad tid och ett års övervakad frigivning, och erkände att Hutchins hade "vänt hörnet" från att använda sina färdigheter i kriminella syften till fördelaktiga ändamål långt innan han hade ställts inför rätta.
Enligt en Wired -profil från 2020 uppgav Hutchins att även om han föredrog att stanna i Los Angeles, förväntade han sig att han efter året av övervakad frigivning skulle deporteras tillbaka till Storbritannien, eftersom han länge hade stannat kvar på sitt resevisum .