← На главную

Атаки в легальном трафике: ICQ-боты и скрытый контроль

13.05.2026 18:25 · hackernews

Команда Cult of the Dead Cow в 1998 году на конференции DEF CON представила Back Orifice — удаленный инструмент, позволявший управлять Windows 95/98: просматривать файлы, записывать нажатия клавиш и перенаправлять порты. Весило приложение меньше 100 КБ и работало в тишине. Через год вышла версия BO2000 с открытым исходным кодом и шифрованием, а чуть раньше уже циркулировал NetBus, созданный Карлом-Фредриком Нейктером, который отличался удобным графическим интерфейсом. Именно NetBus стал поводом для уголовного дела в Швеции, где с его помощью выложили детскую порнографию на компьютер профессора. Сам профессор был оправдан, но случай показал риски таких инструментов.

Наиболее популярным стал Sub7, написанный румынским подростком mobman в языке Delphi. Программа получила полированный интерфейс, адресную книгу жертв и возможность интеграции с ICQ. В версии 2.1 Sub7 получил встроенный бот для сети IRC, который слушал команды оператора в чатах вроде #hack или #sub7. Это позволило скрыть каналы управления в легальном трафике чат-серверов, что стало архитектурным прорывом. Современные злоумышленники используют аналогичный подход со Slack и Telegram.

Важной частью арсенала тех лет были утилиты: Nmap сканировал сети, Netcat работал как швейцарский нож для работы с портами, Cain & Abel взламывал пароли и перехватывал VoIP. Также существовали сканеры уязвимостей Whisker и Nikto, которые проверяли сайты на известные дыры. Всё это работало на скрытом допущении, что цели давно не обновлялись.

В Италии ситуация была сложнее. До эры IRC хакеры собирались на BBS в сети Fidonet. 11 мая 1994 года Финансовая жандармерия провела операцию Hardware 1, одновременно обыскав 119 узлов под предлогом распространения пиратского софта. Захватили даже Power Strip как средство для копирования нелегального контента. Многие системные администраторы прекратили работу, но через несколько месяцев сети вроде CyberNet возродились, поскольку интернет оказался сложнее заблокировать, чем BBS с фиксированным номером.

Сегодня инструменты вроде Sub7 или Cain & Abel воспринимаются как примитивные, но принципы их использования остаются актуальными: использование скомпрометированных узлов для ретрансляции трафика и маскировка атак под легальную активность. Опыт итальянского преследования и ранних дней IRC сформировал поколение профессионалов, которые сегодня работают в сфере расследований инцидентов и защиты от угроз.

Читать оригинал →