Хакерська атака тільки в кіно - перемога гострого розуму над складним технічним завданням. На ділі ж це часто всього лише перемога над дурістю. У кожній хакерській атаці є людський слід, іноді він більш, а іноді менш помітний. Так чому найлегшою здобиччю для хакерів залишаються коди, а люди? Подивимося, як хакери використовували уразливості людини в найбільших атаках.
Ловля на живця
Всупереч стереотипам про те, що програмісти - це завжди соціофобія, деякі хакери виявляються прекрасними комунікаторами і користуються довірою оточуючих. Так і хакер Хелл, який попив чимало крові відомих блогерів, зламуючи їх акаунти. Для того, щоб заволодіти ЖЖ-журналом «тисячника» Ігоря Петрова, хакер підробив закордонний паспорт і написав листа з проханням про допомогу в німецький поштовий сервіс gmx.de, на якому був зареєстрований електронний ящик жертви. У повідомленні Хелл представився Петровим, написав, що є російським громадянином і що втратив доступ до пошти. Як підтвердження особи хакер доклав скан підробленого закордонного паспорта. Добродушний співробітник техпідтримки повірив Хеллу і вислав йому дані Петрова. Далі простіше - маючи доступ до пошти хакер швидко отримав в розпорядження ЖЖ-журнал блогера і видалив його вміст. Власне, заради такого «інформаційного хуліганства», оприлюднення особистих даних і компрометації блогерів все і затівалося.
Кажуть, що й інший відомий хакер - лідер групи «Дурниця», яка досягла успіху у зломі акаунтів російських чиновників, умів знайти спільну мову з людьми. Володимир Анікєєв знав, з ким випити, кого підкупити, з ким закрутити роман. Але це на початку шляху. Пізніше найуспішнішим (а в ЗМІ учасники говорили, що і єдиним) способом отримати інформацію для угруповання «Дурниця» став фішинг. Хакери використовували підроблені сайти, лже-WiFi і фальшсоти поруч з ресторанами, в яких любили бувати чиновники і знаменитості.
Одним з найвідоміших злочинів з використанням фішингу визнана робота команди Валдіра Пауло де Алмейди. У момент його арешту бразильською владою він розсилав три мільйони фішингових листів в день! Результат його роботи - розкрадання близько $ 37 млн з банківських карт, причому постраждали не тільки звичайні люди, а й кілька фондів.
Історія інших хакерів - братів Попелишей - лягла в основу першого в російській судовій практиці справи проти злочинців, які промишляли фішингом. Вони атакували за допомогою шкідливої програми на фальшивій сторінці інтернет-банкінгу ВТБ24, яку для них створив третій учасник групи - калінінградський студент Олександр Сарбін. Тільки за 4 місяці 2010 року угруповання викрало у 16 клієнтів близько 2 млн рублів, а ще через 2 місяці жертвами фішерів стали клієнти та інших банків, у яких брати викрали близько 13 мільйонів рублів.
Роботу брати продовжили і після вироку суду, який виявився м'яким - хакери отримали умовний, а не реальний термін. Розгорнулися широко: модернізували віруси, найняли прозвонщіков для «вішинг» - голосового фішингу, коли у жертви виманюють потрібну інформацію по телефону.
Крадіжка зі зломом
Знаменита угруповання Cobalt фішингом теж не гребувала і використовувала фішинг як основний вектор початку атаки. Все починалося зі спам-розсилки. Як тільки найбільш цікавий співробітник знайомився з контентом сумнівного листа, відправленого хакерами, шкідливе ПЗ потрапляло на комп'ютер жертви. Але ПК рядових співробітників не уявляють самі по собі ніякого інтересу для хакерів - це тільки відправна точка.
Щоб отримати можливість управляти дійсно цінними об'єктами ІТ-інфраструктури, зловмисникові потрібно підняти привілеї (отримати доступ адміністратора), для цього шкідливе ПО шукає в мережі спеціальний файл, де зберігаються облікові дані адміністратора. Природно, дані у файлі зашифровані. На цьому атака могла зупинитися, якби не Microsoft, який виклав універсальний ключ розшифровки в публічний доступ на офіційний сайт! Для потреб адміністрування, так би мовити.
Ще одна перешкода, що відокремлюють зловмисника від моменту отримання грошей - ізольованість терміналів управління банкоматами та іншими банківськими системами від загальнодоступної мережі, що має вихід в інтернет. Використовуючи гібрид застарілих протоколів зв'язку з методиками шифрування і маскування трафіку, зловмисники отримували стабільний і безпечний канал зв'язку з критичною інфраструктурою. Тут рядові користувачі ПК знову грали свою роль - передавальної ланки між ізольованою інфраструктурою і загальнодоступною мережею з доступом в інтернет.
З цього моменту все готово до крадіжки і найпростіший спосіб - спустошити касети банкоматів. І ось це вже історія в стилі кращих детективів, адже операція вимагає високої злагодженості, талановитої організації та оперативності. При цьому злочину територіально не обмежені - одне угрупування може вести діяльність в десятці країн одночасно. Дивно, що при такій логістичної складності трапляються навіть масовані атаки на банкомати - найгучніший випадок з Cobalt, коли буквально за лічені хвилини десятки азіатських банкоматів почали «викидати» гроші, які тут же пакували в рюкзаки людьми в масках. За кілька миттєвостей банк втратив понад 2 000 000 $ готівки.
Підбір того, що погано лежить
«Родоночальнік» вітчизняного хакерства - Володимир Левін. Але незважаючи на такий гучний титул, його «колеги» сумніваються в технічної обдарованості Левіна. Кажуть, що дані, завдяки яким той вивів з Citibank 10,7 млн доларів в далекому 1994 році той купив за 100 доларів у групи російських хакерів.
Але часто інформація дістається хакерам ще дешевше. Або навіть зовсім даром. Найпоказовішим прикладом став витік логіна і пароля від акканутов французького телеканалу TV5Monde. Ситуація виявилася казусна, тому що пароль став доступним зловмисникові з відеоінтерв'ю, яке давав кореспондент TV5Monde. За його спиною на стіні були прикріплені стікери з кодами доступу. Хакери дуже швидко скористалися доступною інформацією - заблокували офіційний сайт телемережі, а вже через годину отримали доступ і до соціальних мереж телеканалу, де виклали ролики на підтримку організацій «Ісламської Держави» (заборонена в РФ) і «Ахрар аш-Шам».
Можна пригадати й іншу історію, коли одна група хакерів, The Shadow Broker, зламала іншу - Equation Group. В результаті атаки The Shadow Broker повідомили, що змогли викрасти «кіберзброя АНБ» (вважається, що Equation Group пов'язана з американським урядом). У відкритому доступі був опублікований архів, в якому містилися експлоїти і інструменти «урядових хакерів». Однак є інша версія витоку. Вважається, що доступ до інформації хакери отримали через звичайну недбалість співробітника уряду, який просто забув весь інструментарій на сервері після операції підвідомчих хакерів з Equation Group.
просто попросити
Нещодавно стало відомо ще про один спосіб використовувати людський фактор в інтересах кіберзлочинців. Група Revolt придумала, як обійти Denuvo - новітню технологію захисту ігор від злому, на яку перейшли більшість розробників. Для обходу захисту фахівці Revolt придумали цікаву схему, для реалізації якої потрібна допомога вже купили гру користувачів. Кіберзлочинці аналізують інформацію, якої комп'ютер власника гри обмінюється з її серверами. Потім хакери планували впровадити потрібні дані в піратські релізи.
Не сумніваюся, що користувачі стали б ділитися з хакерами інформацією - гравці пристрасно критикують Denuvo за гальмування ігор, що використовують захист, та й симпатизують «робін Гудам» хакерського співтовариства. Ось тільки недавно Voksi - лідеру угрупування - поліція пред'явила звинувачення, так що, схоже, перевірити ефективність методу поки не вийде.
перебір паролів
Простий перебір паролів теж все не втрачає актуальності. З останніх прикладів - злом акаунтів великих інтернет-магазинів, а також користувачів платіжних систем і клієнтів букмекерських компаній в Росії. Збиток був нанесений «Юлмарт», «Бігліон», «Купікупон», PayPal, «Групон» і іншим. Хакерам вдалося зламати 700 тис. Облікових записів методом простого перебору паролів за допомогою спеціального програмного забезпечення. Хакери затримані, але навряд чи число такого роду атак зійде нанівець - за даними SplashData пароль «123456» залишається найулюбленішим у більшості користувачів.
Радує тільки, що і хакери трапляються як звичайні люди. У березні був спійманий один з найбільш розшукуваних хакерів, лідер згаданої вище угруповання Cobalt. Забавно, але в затриманні теж немає ні високотехнологічної, ні героїчної складової. Молода людина придбав в кредит суперкар. Платити по кредиту, природно, не входило в плани злочинного генія. Зрештою один з найбільш розшукуваних хакерів планети був «виведений з гри" не спецслужбами, а борговими приставами.
Провідний аналітик компанії « СёрчІнформ »
Олексій Парфентьєв
Так чому найлегшою здобиччю для хакерів залишаються коди, а люди?