3 августа 2017 года стало известно, что правоохранительные органы США арестовали известного британского ИБ-специалиста Маркуса Хатчинса (Marcus Hutchins), более известного под псевдонимом MalwareTech. Хатчинса, который весной текущего года остановил распространение шифровальщика WannaCry, задержали после визита на конференции Black Hat и DEF CON, обвинив в создании и распространении банковского трояна Kronos в 2014-2015 годы.
Помимо Хатчинса в судебных документах фигурирует еще один подозреваемый, чье имя не раскрывается. Обвинение утверждает, что MalwareTech и его сообщник рекламировали и продавали своего банкера на подпольных форумах и торговых площадках, включая закрытый недавно даркнет-маркет AlphaBay.
Новость об аресте MalwareTech стала настоящим шоком для мирового ИБ-сообщества. Коллеги Хатчинса писали, что правоохранительные органы «серьезно облажались» и уверяли, что исследователь не мог заниматься продажей и разработкой банкера, ведь он много лет борется именно с такими угрозами.
В пятницу, 4 августа 2017 года, Хатчинс предстал перед судом, где сообщил, что не признает своей вины по всем предъявленным обвинениям. Суд согласился отпустить специалиста, не имеющего криминального прошлого, под залог в размере $30 000. Хотя друзья и родственники MalwareTech, которых поддерживают специалисты со всего мира, без труда смогли собрать нужную сумму, заседание окончилось в 15:30, и внести залог до окончания работы суда (16:00) юристы попросту не успели.
В итоге MalwareTech проведет выходные в камере и будет отпущен на свободу только в понедельник, 7 августа, после внесения залога. После освобождения ему будет запрещено пользоваться интернетом и выходить на связь со своим неизвестным «сообщником». Также MalwareTech, разумеется, не сможет покинуть США и будет обязан носить специальный GPS-маячок.
После завершения слушания адвокат Хатчинса, Адриан Лобо (Adrian Lobo) пообщалась с прессой, ожидавшей возле зала суда (запись можно увидеть ниже). Стало известно, что сторона обвинения пыталась настаивать на отказе в выходе под залог на основании того, что недавно Хатчинс посещал тир, где без надлежащей лицензии стрелял из оружия. Адвокат назвала эти заявления прокурора «бредом».
Интересно, что сторона обвинения также заявляет о том, что во время допросов, еще без адвоката, Хатчинс признался в том, что занимался разработкой малвари, но адвокат опровергает эти заявления и уверяет, что ее клиент не имеет к трояну Kronos никакого отношения.
Malware Tech attorney
Posted by Christy Wilcox on Friday, 4 August 2017
Сетевая общественность уже строит собственные предположения и теории. Дело в том, что MalwareTech мог писать нечто вредоносное в исследовательских целях, и его слова могли быть истолкованы неверно. К примеру, в 2014 году, еще до появления Kronos, Хатчинс, уже тогда работавший антивирусным аналитиком, опубликовал пост в своем блоге, озаглавленный «Пишем малварь для развлечения, а не для получения прибыли (потому что это было бы незаконно)». В статье исследователь подробно описывал процесс создания буткита для Windows XP, причем нарочито безопасного.
«Прежде чем вы броситесь звонить вашему дружелюбному соседу-агенту ФБР, я хотел бы кое-что прояснить, — писал MalwareTech. — Данный буткит написан как proof-of-concept, использовать его в качестве оружия будет крайне трудно, и опасной версии, которая может попасть в руки преступников, не существует».
Позже, в 2015 году, когда "на рынке" уже появился банкер Kronos, Хатчинс с удивлением обнаружил, что авторы малвари использовали его код (не из упомянутого выше поста), о чем специалист сообщил в твиттере.
Just found the hooking engine I made for my blog in a malware sample. This is why we can't have nice things, fuckers.
— MalwareTech (@MalwareTechBlog) February 7, 2015