Хакерская атака только в кино – победа острого ума над сложной технической задачей. На деле же это часто всего лишь победа над глупостью. В каждой хакерской атаке есть человеческий след, иногда он более, а иногда менее заметный. Так почему самой легкой добычей для хакеров остаются не коды, а люди? Посмотрим, как хакеры использовали уязвимости человека в крупнейших атаках.
Ловля на живца
Вопреки стереотипам о том, что программисты – это всегда социофобы, некоторые хакеры оказываются прекрасными коммуникаторами и пользуются доверием окружающих. Так и хакер Хэлл, который попил немало крови известных блогеров, взламывая их аккаунты. Для того, чтобы завладеть ЖЖ-журналом «тысячника» Игоря Петрова, хакер подделал загранпаспорт и написал письмо с просьбой о помощи в немецкий почтовый сервис gmx.de, на котором был зарегистрирован электронный ящик жертвы. В сообщении Хэлл представился Петровым, написал, что является русским гражданином и что потерял доступ к почте. В качестве подтверждения личности хакер приложил скан поддельного загранпаспорта. Добродушный сотрудник техподдержки поверил Хэллу и выслал ему данные Петрова. Дальше проще – имея доступ к почте хакер быстро получил в распоряжение ЖЖ-журнал блогера и удалил его содержимое. Собственно, ради такого «информационного хулиганства», обнародования личных данных и компрометации блогеров все и затевалось.
Говорят, что и другой известный хакер – лидер группы «Шалтай-Болтай», которая преуспела во взломе аккаунтов российских чиновников, умел найти общий язык с людьми. Владимир Аникеев знал, с кем выпить, кого подкупить, с кем закрутить роман. Но это в начале пути. Позже самым успешным (а в СМИ участники говорили, что и единственным) способом получить информацию для группировки «Шалтай-Болтай» стал фишинг. Хакеры использовали поддельные сайты, лже-WiFi и фальшсоты рядом с ресторанами, в которых любили бывать чиновники и знаменитости.
Одним из самых известных преступлений с использованием фишинга признана работа команды Валдира Пауло де Алмейды. В момент его ареста бразильскими властями он рассылал три миллиона фишинговых писем в день! Результат его работы – хищение около $37 млн с банковских карт, причем пострадали не только обычные люди, но и несколько фондов.
История других хакеров – братьев Попелышей – легла в основу первого в российской судебной практике дела против преступников, промышлявших фишингом. Они атаковали с помощью вредоносной программы на фальшивой странице интернет-банкинга ВТБ24, которую для них создал третий участник группы — калининградский студент Александр Сарбин. Только за 4 месяца 2010 года группировка похитила у 16 клиентов около 2 млн рублей, а спустя еще 2 месяца жертвами фишеров стали клиенты и других банков, у которых братья похитили около 13 миллионов рублей.
Работу братья продолжили и после приговора суда, который оказался мягким – хакеры получили условный, а не реальный срок. Развернулись широко: модернизировали вирусы, наняли прозвонщиков для «вишинга» — голосового фишинга, когда у жертвы выманивают нужную информацию по телефону.
Кража со взломом
Знаменитая группировка Cobalt фишингом тоже не гнушалась и использовала фишинг как основной вектор начала атаки. Все начиналось со спам-рассылки. Как только наиболее любопытный сотрудник знакомился с контентом сомнительного письма, отправленного хакерами, вредоносное ПО попадало на компьютер жертвы. Но ПК рядовых сотрудников не представляют сами по себе никакого интереса для хакеров – это только отправная точка.
Чтобы получить возможность управлять действительно ценными объектами ИТ-инфраструктуры, злоумышленнику нужно поднять привилегии (получить доступ администратора), для этого вредоносное ПО ищет в сети специальный файл, где хранятся учетные данные администратора. Естественно, данные в файле зашифрованы. На этом атака могла остановиться, если бы не Microsoft, который выложил универсальный ключ расшифровки в публичный доступ на официальный сайт! Для нужд администрирования, так сказать.
Еще одно препятствие, отделяющие злоумышленника от момента получения денег – изолированность терминалов управления банкоматами и другими банковскими системами от общедоступной сети, имеющей выход в интернет. Используя гибрид устаревших протоколов связи с методиками шифрования и маскирования трафика, злоумышленники получали стабильный и безопасный канал связи с критичной инфраструктурой. Здесь рядовые пользователи ПК снова играли свою роль – передаточного звена между изолированной инфраструктурой и общедоступной сетью с доступом в интернет.
С этого момента все готово к краже и самый простой способ – опустошить кассеты банкоматов. И вот это уже история в стиле лучших детективов, ведь операция требует высокой слаженности, талантливой организации и оперативности. При этом преступления территориально не ограничены – одна группировка может вести деятельность в десятке стран одновременно. Удивительно, что при такой логистической сложности случаются даже массированные атаки на банкоматы – самый громкий случай с Cobalt, когда буквально за считанные минуты десятки азиатских банкоматов начали «выкидывать» деньги, которые тут же упаковывались в рюкзаки людьми в масках. За несколько мгновений банк потерял более 2 000 000$ наличных.
Подбор того, что плохо лежит
«Родоночальник» отечественного хакерства – Владимир Левин. Но несмотря на такой громкий титул, его «коллеги» сомневаются в технической одаренности Левина. Говорят, что данные, благодаря которым тот вывел из Citibank 10,7 млн долларов в далеком 1994 году тот купил за 100 долларов у группы российских хакеров.
Но часто информация достается хакерам еще дешевле. Или даже вовсе даром. Самым показательным примером стала утечка логина и пароля от акканутов французского телеканала TV5Monde. Ситуация оказалась казусной, потому что пароль стал доступным злоумышленнику из видеоинтервью, которое давал корреспондент TV5Monde. За его спиной на стене были прикреплены стикеры с кодами доступа. Хакеры очень быстро воспользовались доступной информацией – заблокировали официальный сайт телесети, а уже спустя час получили доступ и к социальным сетям телеканала, где выложили ролики в поддержку организаций «Исламского Государства» (запрещена в РФ) и «Ахрар аш-Шам».
Можно вспомнить и другую историю, когда одна хакерская группа, The Shadow Broker, взломала другую – Equation Group. В результате атаки The Shadow Broker сообщили, что смогли похитить «кибероружие АНБ» (считается, что Equation Group связана с американским правительством). В открытом доступе был опубликован архив, в котором содержались эксплоиты и инструменты «правительственных хакеров». Однако есть другая версия утечки. Считается, что доступ к информации хакеры получили из-за обычной халатности сотрудника правительства, который просто забыл весь инструментарий на сервере после операции подведомственных хакеров из Equation Group.
Просто попросить
Недавно стало известно еще об одном способе использовать человеческий фактор в интересах киберпреступников. Группа Revolt придумала, как обойти Denuvo – новейшую технологию защиты игр от взлома, на которую перешли большинство разработчиков. Для обхода защиты специалисты Revolt придумали интересную схему, для реализации которой нужна помощь уже купивших игру пользователей. Киберпреступники анализируют информацию, которой компьютер владельца игры обменивается с ее серверами. Затем хакеры планировали внедрить нужные данные в пиратские релизы.
Не сомневаюсь, что пользователи стали бы делиться с хакерами информацией – игроки страстно критикуют Denuvo за торможение игр, использующих защиту, да и симпатизируют «робин гудам» хакерского сообщества. Вот только недавно Voksi – лидеру группировки – полиция предъявила обвинения, так что, похоже, проверить эффективность метода пока не получится.
Перебор паролей
Простой перебор паролей тоже все не теряет актуальность. Из последних примеров – взлом аккаунтов крупных интернет-магазинов, а также пользователей платежных систем и клиентов букмекерских компаний в России. Ущерб был нанесен «Юлмарт», «Биглион», «Купикупон», PayPal, «Групон» и другим. Хакерам удалось взломать 700 тыс. учетных записей методом простого перебора паролей с помощью специального ПО. Хакеры задержаны, но вряд ли число такого рода атак сойдет на нет – по данным SplashData пароль «123456» остается самым любимым у большинства пользователей.
Радует только, что и хакеры попадаются как обычные люди. В марте был пойман один из самых разыскиваемых хакеров, лидер упомянутой выше группировки Cobalt. Забавно, но в задержании тоже нет ни высокотехнологичной, ни героической составляющей. Молодой человек приобрел в кредит суперкар. Платить по кредиту, естественно, не входило в планы преступного гения. В конце концов один из самых разыскиваемых хакеров планеты был «выведен из игры» не спецслужбами, а долговыми приставами.
Ведущий аналитик компании «СёрчИнформ»
Алексей Парфентьев