Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

RHC intervista il fondatore di VX-UNDERGOUND per il Quinto Anniversario della Nascita della Community!

Alessio Stefan : 20 Maggio 2024 07:30

Ogni nerd o appassionato di tecnologia non può negare l’influenza degli anni ’80 sull’informatica moderna: Commodore Amiga, Nintendo, Apple II, ora i computer sono alla portata di tutti coloro che possono finalmente beneficiare di questa straordinaria innovazione.

In questi anni, ciò che ha effettivamente cambiato la visione del mondo è stata la nascita delle prime connessioni a Internet. Non solo la tecnologia ha iniziato a diffondersi, ma anche l’informazione, che prima era un lento stillicidio, ora attraversa i confini come un incendio digitale.

Non sorprende che la cultura hacker abbia ricevuto un enorme impulso in questo periodo. Il Jargon File è stato condiviso pubblicamente per la prima volta e i progetti Open Source hanno iniziato a crescere senza limiti. In breve, nuove sottoculture sono riemerse dal fango brillando di luce propria.

Ma non è questo che ci interessa in questo articolo, anziché la leggerezza, scopriremo cosa è successo nel profondo dell’era neo-internet. Questa è la storia di VX-UNDERGROUND, la più grande raccolta di campioni di malware, documenti, rapporti APT (e molto altro) che si possa trovare su Internet.

Sinfonia della disobbedienza – Svelare il proibito

Una delle versioni embrionali dell’Internet moderno erano le BBS (Bulletin Board System) che consentivano a diversi utenti di connettersi attraverso il terminale, la più famosa delle quali era FidoNet. Su questi server gli utenti potevano messaggiare (in gruppo o individualmente), caricare e scaricare file.

È qui che sono nati i Virus Exchanges (VX). Luoghi sicuri dove condividere liberamente nuove idee, concetti e tecniche di codice. Nascosti da occhi giudicanti, i membri possono dare sfogo alla loro ardente passione e migliorare le abilità di codifica insegnando l’uno all’altro.

Un gruppo di hacker creò la propria e-zine contenente articoli, codice e notizie. Le e-zine venivano condivise saltando da una BBS all’altra, ma non c’era un luogo dove risiedere staticamente. È difficile ora immaginare quanto fossero obsolete quelle reti, ma la lentezza delle connessioni, l’assenza di browser e la scarsa trovabilità di quelle stanze nascoste bloccano il potenziale flusso di informazioni.

Le persone avevano bisogno di una biblioteca centrale per cercare frammenti, esempio o documenti su argomenti specifici: questa è l’idea che ha portato all’apertura di VX-HEAVEN.

Aperto alla fine degli anni ’90, VX-HEAVEN era la sacra bibbia per gli amanti del malware. Tutto era raggruppato da una collezione in continua crescita gestita da un hacker ucraino chiamato herm1t. . “I virus non fanno male, l’ignoranza sì!”, questo è lo spirito del suo progetto, informazioni per tutti, anche su tabù come i malware.

VX-HEAVEN è diventato virale nella scena molto rapidamente, nuovi contributi e l’emergere di criminali digitali hanno permesso al sito di diventare sempre più grande. La comunità hacker è esplosa negli anni ’00 e VX-HEAVEN è stato uno dei migliori contributori.

Ma non tutti sono in grado di comprendere questa cultura, soprattutto quando si parla di malware, perché per altri la scrittura di malware non è un’arte o il risultato di un artigiano esperto, ma un uomo nero che deve essere evitato a tutti i costi.

Nel 2012 Ukrainan le forze dell’ordine hanno sequestratoil server VX-HEAVEN, la chiesa è stata profanata e chiusa. Questa volta hanno vinto il bigottismo e la paura dettata dall’ignoranza, evidenziando quanto sia difficile far capire agli altri la bellezza della conoscenza che gli hacker vedono in queste cose. Scrivere malware non è un male, imparare nuovi trucchi non è un crimine e condividere è un dovere.

Si può chiudere un sito web ma non i valori che vi stanno dietro, ecco perché il cielo ha riaperto i cancelli dopo la breve pausa forzata. Gli esperti di sicurezza di tutto il mondo e gli accademici lo hanno voluto indietro, esprimendo la loro opposizione alle azioni della polizia. Nel 2013 VX-HEAVEN è risorto dagli hashish dichiarando di essere “BACK AND LOADED”, dopo lo scandalo.

Finalmente gli hacker possono tornare indietro e contribuire a preservare la conoscenza nel tempo ma non per troppo tempo, nel 2014 le porte del paradiso si sono chiuse definitivamente. Generazioni di hacker sono cresciute con il progetto di herm1t, la cultura dovrebbe essere orgogliosa e grata della sua tenacia, ora abbiamo petabyte di informazioni in giro per internet se vogliamo imparare a conoscere il malware ma sarebbe diverso se un posto come VX-HEAVEN non fosse mai esistito.

Vi consigliamo di leggere questa intervista a herm1t per capire cosa gli è successo dopo il 2014, perché è un esempio di come l’hacking possa essere usato per buone cause e di come sia riuscito a sdoganare i giusti valori della cultura, la stessa che sposa anche la community di Red Hot Cyber.

Echi nelle catacombe – Da cenere a fuoco

C’era un adolescente che era un assiduo frequentatore di VX e VX-HEAVEN, era spinto dalla fame di conoscenza e il sito herm1t sembrava un buffet gratuito per i suoi occhi. Sotto lo pseudonimo di Smelly passava le sue giornate a studiare ciò che gli altri condividevano e ad affinare le sue competenze in materia di codifica e malware.

Mentre cresceva ha perso il VX-HEAVEN per un po’ di tempo ma nel 2017, spinto dalla noia di fare da solo il suo hobby preferito, ha deciso di tornare da dove viene ma purtroppo ha scoperto che il paradiso era perso ma questa volta per sempre. Non riuscendo ad accettarlo, ha passato del tempo a cercarlo online ma alla fine ha dovuto affrontare la realtà. 

Smelly non era nessuno nella scena, un lupo solitario che aveva perso il suo branco ma non la sua natura.

Sotto il suggerimento di una persona di nome Phait (incontrata in una chat IRC) che gli disse “Beh, se ti manca così tanto, perchè non ne crei uno tuo?”, iniziò a lavorarci. C’era un vuoto in Internet e, anche se non era molto appassionato di sviluppo web, acquistò il dominio vx-underground: tutto era pronto per una nuova era.

Nel maggio 2019 (esattamente 5 anni fa) dal ricordo di VX-HEAVEN, un nuovo successore è pronto a riempire il vuoto creato su Internet. VX-UNDERGROUND non è solo una seconda versione del predecessore, ma è la nuova generazione della cultura hacker.

Ovviamente non era popolare all’inizio, è necessario costruire il proprio prestigio per diventare un bene prezioso. Dopo la creazione dell’account Twitter ufficiale (agosto 2019) si sono creati i primi ponti che hanno permesso di costruire le relazioni necessarie. Le prime persone a raggiungere Smelly sono stati i membri del gruppo di hacker chiamato ThugCrowd. Il gruppo è stato prezioso per Smelly, diffondendo la voce che un nuovo progetto VX-HEAVEN era pronto e aveva bisogno di ciò che ogni biblioteca vive: lettori e collaboratori.

Purtroppo, anche con il futuro promettente della nuova libreria, le cose non sono cambiate al di fuori della comunità delle minacce informatiche. Le mentalità profane pensano ancora che condividere le conoscenze sui malware sia sinonimo di attività criminali, non riescono a vedere qual è la bellezza di “hackerare le cose” con le abilità di codifica. Questo è il motivo per cui nell’agosto 2019 è stato vietato da diversi host web, gli stessi che condividono servizi di gioco d’azzardo o blog neonazisti. Non hanno dato libertà a chi vuole preservare la conoscenza.

VX-UNDERGROUND non è un’azienda e ospitare campioni di malware non è così semplice se ci si affida a terze parti, ma riuscì a trovare dei servizi di hosting robusti, ospitando e proteggendo VXUG dalle minacce esterne. Il culto ha finalmente una chiesa dove tutti sono benvenuti!

Ora Smelly può concentrarsi solo sul suo obiettivo: “più documenti, più campioni, più codice”. Non è più solo, è riuscito a fondare un proprio gruppo che è cresciuto allo stesso ritmo del suo progetto. Nessuno può impedirgli di diventare ciò che è ora, il centro della nebulosa, una raccolta centralizzata di risorse ad accesso libero. Ora VX-UNDERGROUND registra TeraByte di TeraByte di traffico mensile, milioni di visite su Twitter e migliaia di visitatori al giorno. Nonostante il suo nome, molte persone possono trovare VXUG e beneficiare dalle informazioni immagazzinate, dagli hacker principianti agli accademici più esperti.

Il VXUG non è solo la più grande raccolta di campioni di malware e di documenti, ma anche un punto di riferimento per ciò che è accaduto nella scena del crimine digitale, Smelly ha intervistato diversi membri di APT (tra cui LockbitSupp!).

Inoltre, è stato reso omaggio alle sue origini mettendo a disposizione un archivio di VX-HEAVEN per conservare la sua memoria e far sì che tutti possano conoscere la radice di tutto.

Il Culto delle Underground

VXUG non è solo il successore di VX-HEAVEN, ma l’evoluzione di ciò che herm1t ha iniziato. Con un ecosistema vivo fatto da una comunità che non ha mai vissuto i vecchi tempi, ma che ha bisogno esattamente di ciò che le generazioni di hacker di allora hanno sempre creduto: La libertà di informazione.

Il gruppo interno che lavora alla libreria ha esperienza nei settori dell’antivirus, delle università, del red teaming e dell’intelligence delle minacce, non solo come codificatori di malware. Questo rende la libreria preziosa per tutti coloro che operano nel campo della sicurezza, sia per i difensori che per gli attaccanti, che possono comprendere diversi argomenti come gli interni di Windows, i costruttori, le falle, gli ICS e molto altro ancora. 

La neutralità è ciò che caratterizza il collettivo, non aiuta gruppi malintenzionati o le forze dell’ordine, si limita a pubblicare la conoscenza. Spetta agli altri decidere come usarla, nessuno dovrebbe incolpare il VXUG di aiutare APT o simili nelle loro azioni. La biblioteca è riuscita a creare uno scenario che può essere perfettamente compreso dalle opere d’arte create da volontari per loro e potete vederne alcuni esempi anche in questo articolo. Nonostante lo “stato d’animo oscuro” è evidente l’umorismo nella (maggior parte) dei loro post su Twitter, che ricorda il gruppo LulzSec che ha dato il via al “prendere l’umorismo seriamente e la serietà con umorismo”.

VXUG ha una lunga esperienza nel campo delle minacce informatiche e ha pubblicato Black Mass (2022), un manuale sulle minacce informatiche; non ci è voluto molto prima che Black Mass II venisse rilasciato nel 2023. VXUG sta fornendo capacità di muoversi al di fuori della copia digitale e di fornire anche artefatti fisici.

Ci sono alcuni fatti interessanti che evidenziano l’influenza di VX-UNDERGROUND nella scena. I primi sono sicuramente gli artefatti Ransomware di una variante di Phobos del 2023. Questo malware cripta i file e li salva con estensione .VXUG lasciandosi dietro una nota di riscatto che replica il tema di VX-UNDERGROUND.

Non è chiara la motivazione di questo framing, ma il tributo ha segnato una linea della storia dell’hack-library. Un altro fatto divertente è piuttosto recente: per qualche motivo la casella di posta elettronica del VXUG è stata inondata da email compromesse che scherzavano su questo argomento.

Piccola nota a riguardo, le e-mail provengono da paesi meno sviluppati che possono essere acquistate per pochi soldi e a volte sono gratuite, ma è divertente che le persone lo usino per informare VX-UNDERGROUND. Senza uno scopo preciso, solo per farsi due risate.

Call to Action – Supporto alla Causa

Tutti possono partecipare allo sviluppo di VX-Underground. Condividete la biblioteca, le conoscenze apprese e le vostre scoperte. Questa “biblioteca dei sogni” è sempre aperta a nuovi documenti, campioni o tecniche che potete trovare/creare. Ogni singola risorsa è importante e sarà conservata all’interno della biblioteca digitale di Alexandria e aiuterà gli altri a imparare gratuitamente. 

Le donazioni sono sempre aperte e si cercano regolarmente sponsor. Questi sono tutti i modi disponibili per aiutare il VXUG a mantenere la conoscenza libera e viva, non possiamo permettere che si perda di nuovo questa bellezza:

  1. Se non lo avete ancora fatto, scoprite i contenuti di VX-UNDERGROUND
  2. Seguite il profilo Twitter ufficiale
  3. Visitate il Github account
  4. Se sei un artista (o ne conosci uno), dona un artwork, che verrà pubblicata sulla loro galleria.
  5. Acquista alcuni swag interessanti sul loro merch store, dove puoi anche trovare una versione HDD della loro collezione di malware.
  6. Donorbox platform per sostenere direttamente il progetto con un abbonamento mensile
  7. Compra Black Mass e Black Mass II (sono disponibili sia l’opzione fisica che quella digitale)
  8. Scrivi allo [email protected] se hai qualcosa nuovo da proporre o condividere
  9. CONDIVIDI CON GLI ALTRI!!

Il Grimorio non scritto – Voci dal sottosuolo

L’attitudine e la perseveranza di Smelly lo rende molto impegnato e pieno di lavoro, soprattutto nell’ultimo periodo in cui samples, attacchi e nuove tecniche spuntano più velocemente che mai. Gli abbiamo posto alcune domande su VXUG e sul suo scopo, e lui è stato incredibilmente gentile nel rispondere, dimostrando la sua voglia di condivisione e disponibilità.

RHC : “Ciao Smelly, grazie per averci raggiunto per celebrare questo tuo nuovo traguardo. Innanzitutto auguri al tuo nuovo progetto, come definiresti VXUG a qualcuno lontano da questa realtà?”

Smelly_vx : “VX-UNDERGROUND è un sito dove appassionati di malware collezionano e assemblano una enorme libreria digitale per aiutare gli altri ad imparare”

RHC : “Quale è la missione principale di VX-UNDERGROUND e come giustifichi le vostre attività?”

Smelly_vx : “La nostra missione è di rimanere un centro per tutto ciò che riguarda il mondo del malware, non ci sono piani segreti – l’obiettivo è di continuare la collezione e mantenerla aggiornata”

RHC : “Come ti assicuri che le informazioni e software che distribuite non vengano usate per attività illegali?”

Smelly_vx : “Non lo assicuriamo. Qualsiasi cosa può essere abusata in maniera manevola, applicazioni legittime vengono abusate sempre”

RHC : “Di quale progetto o pubblicazione sei più orgoglioso e perché?”

Smelly_vx : “Black Mass Volume 1 e Volume 2 (i nostri libri, gratuiti in formato PDF, disponibili in copia fisica su Amazon)” e la nostra collezione di APT sample”

RHC : “Quale è la tua visione sullo stato corrente della cybersecurity a livello globale?”

Smelly_vx : “Le minacce stanno crescendo esponenzialmente, siamo nel mezzo di un Big Bang della cybersecurity o meglio stiamo assistendo all’espansione (metaforica) dell’universo della sicurezza informatica. Ci sono tools, accademie, certificazioni e criminali che stanno facendo sempre più soldi”

RHC : “Collabori con qualche ricercatore o organizzazioni di cybersecurity? Se sì, come influenzano il tuo lavoro?”

Smelly_vx : “A volte, qualche piccola azienda ci sponsorizza o dona soldi per aiutarci con le spese o giveaway. Ricercatori ci tengono aggiornati su nuovi paper, codice, sample, etc… Ci aiutano a rimanere concentrati e aggiornati”

RHC : “Quali sono le sfide più grandi che devi affrontare per mantere il sito di VXUG attivo e aggiornato?”

Smelly_vx : “Il costante flusso di informazioni. Ogni singolo giorno ci sono nuovi sample, papers e security breach. Si muove tutto velocemente ed è difficile stare up-to-date con tutto. È caotico.”

RHC : “Come vedi il futuro della ricerca e diffusione delle minaccie informatiche nei prossimi anni?”

Smelly_vx : “È difficile rispondere. Nel futuro vedremo sempre più informazioni disponibili alle persone per imparare. Stiamo vedendo sempre più libri pubblicati riguardo ai malware. Noi speriamo anche di vedere più persone condividere ma questo mondo è un gran money-maker e forse non sarà cosi comune.”

RHC : “Che consiglio daresti ai giovani ricercatori interessati nella cybersecurity e, più specificatamente, allo studio dei malware?”

Smelly_vx : “Just do it. Abbiamo scritto un piccolo paper a riguardo”

RHC : “Sei ancora in contatto con herm1t? Cosa ne pensa di VXUG?”

Smelly_vx : “Si, abbiamo parlato di sfuggita con herm1t ma è un uomo molto impegnato. I suoi giorni di VXHeaven sono alle sue spalle. Ci ha dato la sua benedizione ma in questi giorni fa parte dell’Ukrainan Cyber Army ed è sempre coinvolto in cose particolarmente intense”

RHC : “Cosa è cambiato di più nella scena hacking/malware da quando hai iniziato a frequentare VXHeaven ad oggi?”

Smelly_vx : “Gli infectors sono meno comuni, multi-staged malware sono il nuovo meta. I framework C2 sono lo standard per un sacco di operazioni Red Team. La ’scena’ in sè è sparpagliata, invece di essere inattivi su chat IRC stanno facendo shit posting e doom scrolling sui social media”

RHC : “I Malware sono ancora visti come boogie-man? Perchè e come cambiare questa visione distorta?”

Smelly_vx : “Si, è ancora un tema taboo, stiamo però notando un cambiamento di percezione dal pubblico. Forze dell’ordine e governi possono odiarlo ma stiamo assistendo a sempre più interesse, discussioni e la visione come metodo per imparare, non solo per causare danno”

RHC : “Come ti sei sentito quando gli stessi servizi che hanno negato di hostare VXUG erano gli stessi che accettavano Neo-Nazi e scommesse?”

Smelly_vx : “È ridicolo. Stiamo però notando più e più hosts che accettano malware (per motivi di ricerca). In pochi anni la percezione è cambiata molto”

RHC : “Convinci i nostri lettori a supportare VXUG con una sola frase”

Smelly_vx :Malware is cool and badass

RHC : “Tralasciando herm1t, ci sono altri hacker/specialisti nell’ambito security che ti motivano o che consideri dei tuoi ‘mentori’?”

Smelly_vx : “Personalmente sono un grandissimo fan di Grzegorz Tworek e di Hexacorn. La loro ricerca sui component system ed il loro abuso è incredibile, di altissimo livello. Mi ispirano a continuare ad esplorare”

RHC : “Non posso evitare questa domanda, cosa ne pensi della ‘serie TV’ di LockBit e delle recenti evoluzioni?”

Smelly_vx : “Ho visto i comportamenti e la salute mentale di LockBit diventare sempre più erratica. Indipendentemente da quanto lui lo neghi è sotto un immenso stress e sta avendo un periodo difficile nell’affrontare la pressione data dalle forze dell’ordine”

RHC : “Ti piacerebbe dirci come è composto il tuo team, i ruoli che coprono e come gestite il sito?”

Smelly_vx : “Io sono l’admin e fondatore. Mi assicuro che tutti facciano il loro lavoro e tutto funzoni correttamente. Io colleziono malware builders, papers, Threat Intel posts e/o condivisioni di informazioni, leaks dei codici sorgenti, ricerca, gestione del merch, Twitter ed e-mail. Duchy gestisce l’architettura e fa si che il sito non vada offline. GuessThePwd sviluppa e gestisce il codice del sito e il nostro VXDB. f0wl si occupa dei APT paper e collezione dei sample. Petik gestisce le collezioni di malware di massa (VirusShare, VirusSign, Bazaar, ecc…). Bradley ragruppa le famiglie di malware, gli archivi TheOldNewThing ed aiuta col merch. b0t lavora a BlackMass e revisiona le ricerche. Helen assite b0t con BlackMass e con vari compiti quando necessario. Disrel ci aiuta quando ne abbiamo bisogno”

RHC : “Mai stato in Italia? Cosa ti piace della nostra nazione?”

Smelly_vx : “No, mai stato in Italia. Non ho mai lasciato gli Stati Uniti. Sono un agorafobico e non mi piace viaggiare”

RHC : “Smelly grazie mille, ti auguriamo il meglio per il futuro del tuo progetto!”

(Ringrazio Pietro Melillo per il suo aiuto nello stilare le domande)

Conclusioni – Redenzione dei caduti

L’intera storia di VX-UNDERGROUND è un pezzo di cultura dell’hacking e della sua storia. Il collettivo ha dimostrato che per realizzare i propri obiettivi è necessario seguire ciò che diceva Smelly “Just do something. Stop Talking”. 

L’intera storia di VX-UNDERGROUND è un pezzo di cultura dell’hacking e del suo Dall’essere un signor nessuno ai fondatori di un culto Ereditare ciò che le generazioni passate si sono lasciate alle spalle, come ha sempre detto è “nessuno di speciale” e in un certo senso è vero. Non fraintendete, senza di lui non saremmo qui a guardare la storia del suo progetto, ma non aveva nulla di speciale che tutti gli altri hobbisti dell’hacking non avessero. 

È partito dall’essere un hobbista a comunicare con gli APT più recenti ed influenti. Non aveva nessuno che lo supportasse ed è finito ad avere un intero team a supportarlo. Non aveva competenze di sviluppo web e nessuno voleva ospitarlo, ma ora ha trovato il suo rifugio. Da nessuna relazione ad una fitta rete di specialisti, appassionati e sostenitori. Dalla perdita del paradiso della conoscenza alla creazione del proprio.

Questa è la cultura hacker a tutto tondo, sconfiggere la noia creando cose nuove e condividendole con gli altri. Tutti possono dare una mano, non abbiate paura della conoscenza, lasciatela fluire, solo che da essa possono nascere cose buone. Il denaro non è l’obiettivo, anzi, aiutare la comunità a crescere può solo essere vantaggioso e contestare il bigottismo che continua a essere presente ancora oggi.

I malware non sono l’uomo nero e l’hacking non è per i criminali. La lezione che traiamo da questa storia è che non solo non è impossibile reagire quando altri cercano di mettere a tacere la comunità, ma dovrebbe essere una responsabilità di tutti coloro che ne fanno parte. 

Herm1t ha ispirato Smelly e ora Smelly sta facendo lo stesso con le nuove generazioni. In futuro potremo aver necessità di essere chiamati a muoverci, quindi per favore non lasciate che il sogno muoia.

L’intero team editoriale di Red Hot Cyber augura buon compleanno a VXUG e una lunga vita alla più grande libreria di malware esistente. 

Alessio Stefan
Studente magistrale di AI & Cybersecurity e CTF player con la passione per l’ethical hacking che lo accompagna sin da giovane età. Trascorre le sue giornate immerso nello studio e scoperta di nuovi metodi di attacco con la giusta dose di pratica. Convinto che l’hacking sia una cultura ne applica i principi non solo nel mondo digitale ma anche alla vita quotidiana nell’attesa di trasformare la sua dedizione in carriera.