Самые известные хакеры и их атаки. Самые известные хакерские организации Самые известные хакерские группировки
Когда мне начинают говорить о "всемогущих" и "неуловимых" хакерах, я вспоминаю знаменитую фразу из "Операция "Ы"" Гайдая: "Кражи не будет! Все уже украдено до нас! Это ведь сущие пустяки, вам нужно только инсценировать кражу. Вам надо взломать замок, оставить следы выноса товара, и спокойно удалиться, ничего не взяв!".
Однако, все же утверждается, что взломать можно все. Ну или почти все. Сегодня хакерские атаки стали настолько популярны, что новости об очередном взломе появляются чуть ли не каждый день, а специалисты утверждают, что в следующем году количество атак хакеров только увеличится. Однако некоторые акции компьютерных гениев вызывают сильный общественный резонанс и навсегда остаются в истории. Почитайте про самые громкие атаки хакеров.
Взлом Пентагона
Кевин Митник — один из первых и самых известных хакеров. В 12 лет он научился подделывать автобусные билеты и бесплатно катался по всему городу, после этого сумел проникнуть в систему голосового оповещения «МакАвто» и общался с покупателями.
В 16 лет Кевин взломал сеть компании Digital Equipment Corporation и украл оттуда программное обеспечение. К своему несчастью, программист был пойман полицией и приговорен к одному году заключения и еще трем годам нахождения под присмотром полиции.
В студенческие годы Митник с помощью компьютера TRS-80 с процессором меньше двух мегагерц сумел проникнуть в предшественницу интернета, сеть ARPANet, и добрался до компьютеров министерства обороны США. Конечно, специалисты по безопасности быстро зафиксировали взлом, вскоре Митника поймали и отправили в исправительный центр для молодежи.
После этого агенты ФБР обвинили Кевина в подделке документов, клонировании мобильных номеров и серии взломов. Тогда юный хакер был снова приговорен к тюремному заключению. После выхода из тюрьмы Кевин Митник написал несколько книг о своих хакерских приключениях, а в 2000 году на экраны вышел фильм «Взлом», снятый по мотивам его биографии. Сейчас Митник владеет компанией, которая занимается компьютерной безопасностью.
Владимир Левин и Citibank
В 1994 году российскому хакеру Владимиру Левину удалось взломать платежную систему Citibank и перевести на счета в США, Финляндию, Израиль, Германию и Нидерланды более 10 миллионов долларов. Большинство операций было заблокировано, однако часть денег — около 400 тысяч долларов — найти так и не удалось.
Позже петербургского хакера поймали и экстрадировали в США, где его приговорили к трем годам лишения свободы. Через некоторое время появилась информация, что изначально доступ к внутренней системе банка получили некая группировка российских хакеров, которая впоследствии продала Левину алгоритм взлома за 100 долларов.
Атака на серверы NASA
Еще одним юным компьютерным гением стал Джонатан Джеймс, который в свои 15 лет умудрился взломать систему собственной школы, сеть телекоммуникационной компании Bell South и даже серверы министерства обороны США. На простом «проникновении» на засекреченные серверы хакер не остановился — он перехватил порядка трех тысяч писем сотрудников и даже выкрал у NASA программное обеспечение для управления Международной космической станцией.
Джеймса быстро вычислили и поймали, однако из-за своего несовершеннолетнего возраста наказания ему удалось избежать. Правда, через несколько лет хакера обвинили во взломе сети магазинов TJX: следователи проводили несколько обысков дома у Джеймса, однако так ничего и не нашли. Сам же хакер был уверен, что ему суждено отправиться за решетку и единственным выходом из сложившейся ситуации видел суицид. В своей предсмертной записке он написал, что не верит в систему правосудия.
Челябинские хакеры и PayPal
Российским хакерам из Челябинска Василию Горшкову и Алексею Иванову удалось в 2000 году взломать платежные системы PayPal, Western Union и многие другие — всего 40 компаний в 10 американских штатах. Хакеры украли 25 миллионов долларов с 16 тысяч кредитных карт.
Чтобы поймать злоумышленников, ФБР организовало подставную фирму на территории США, куда приехали Горшков и Иванов. В итоге их приговорили к трем и четырем годам лишения свободы соответственно. Деятельность ФБР вызвала международный скандал, из-за чего сотрудники челябинского ФСБ даже завели на американских коллег дело.
Свидетельства об НЛО и удаление критических файлов
Британского хакера Гэри Маккиннона обвиняют в том, что в 2001 году он взломал порядка ста компьютеров министерства обороны США и NASA и удалил из системы некоторые критически важные файлы, в результате чего деятельность министерства фактически была приостановлена на целые сутки. Говорят, что хакер также стер информацию об американском вооружении после террористических атак 11 сентября 2001 года.
Сам Маккиннон заявил, что искал на секретных компьютерах свидетельства об утаивании от широкой общественности информации об НЛО и инопланетных цивилизациях. Также он утверждал, что получил доступ к незащищенным машинам и оставил в правительственной сети комментарии об ее уязвимости.
По британским законам, однако, хакеру грозило лишь шесть месяцев тюремного заключения, в то время как в США ему хотели «выставить» очень длительный срок. Вскоре Маккиннона обследовали и выявили у него форму аутизма и клиническую депрессию, которые могли бы привести к самоубийству. Благодаря общественному резонансу этого дела, поддержке множества знаменитых лиц и риска для жизни, в октябре 2012 года вопрос об экстрадиции хакера в США был снят, а уголовное преследование прекращено — сейчас Гэри Маккиннон по-прежнему на свободе.
Кража исходного кода Windows
В 2004 году компания Microsoft заявила о том, что у нее было украдено 600 миллионов байт, 31 тысяча файлов и 13,5 миллионов строк исходного кода операционной системы Windows 2000. Все эти данные появились в открытом доступе в сети. Изначально в корпорации были уверены, что утечка произошла через партнерскую компанию Mainsoft, но вскоре стало ясно, что в действительности данные были украдены прямо из сети Microsoft.
К тому моменту корпорация уже отказалась от дальнейшего развития этой операционной системы, поэтому больших финансовых потерь хакерская атака не принесла, однако ни специалистам из Microsoft, ни ФБР так и не удалось найти виновников преступления, поэтому репутация компании была подпорчена.
Атака на Эстонию
В апреле 2007 года кибератака была проведена сразу на целую страну: хакеры взломали сайты практически всех государственных органов, а также новостные порталы, в результате чего их работа приостановилась на целых две недели. Кроме того, были атакованы и некоторые банки, поэтому у граждан Эстонии возникли проблемы с переводом денежных средств.
Чтобы восстановить работоспособность своих систем Эстонии пришлось на некоторое время отключиться от внешнего интернета. Эту кибератаку называют одной из самых масштабных в истории.
Интересно, что взломы происходили на фоне обострения отношений между Эстонией и Россией из-за переноса военных захоронений времен Второй Мировой войны и монумента советским воинам из центра Таллина.
Эстонские специалисты утверждали, что следы атаки ведут в Россию, а некоторые IP-адреса и вовсе указывают на Кремль. В России в то же время говорили, что скорее всего кто-то подменил IP, чтобы дискредитировать Москву.
Закопанный миллион
Американский хакер кубинского происхождения Альберто Гонсалес в 2009 году провел серию атак на Heartland Payment System и похитил данные десятков миллионов кредитных карт. Кроме того, после того как его поймали правоохранительные органы, хакер рассказал, что также взломал сети TJX Cos, Bj’S Wholesale Club и Barnes & Noble. Данные с карточек Гонсалес перепродавал через созданную им группу ShadowCrew.
В общей сложности он заработал порядка 10 миллионов долларов, однако следователи нашли только один миллион, который был закопан в саду родителей компьютерного гения. Альберто Гонсалес был приговорен к 20 годам лишения свободы.
Компьютерный червь для ядерных реакторов
В 2010 году компьютерный червь Stuxnet проник в сеть управления ядерной системой Ирана и частично вывел ее из строя — программа остановила пятую часть центрифуг и скопировала записи с камер видеонаблюдения так, что сотрудники службы безопасности не заметили неладного.
После успешной атаки появились предположения, что вирус был разработан совместно спецслужбами Израиля и США для противодействия иранской ядерной программе. Эксперты лаборатории Касперского увидели в черве прототип нового вида кибероружия, который может повлечь за собой новую гонку вооружений.
Anonymous и серия атак
Одной из самых известных хакерских группировок по праву считается Anonymous. На счету этой группы множество крупных атак, которые нанесли своим жертвам серьезный ущерб.
В 2010 году Anonymous организовала акцию «Возмездие», в рамках которой атаковала системы Visa, PayPal и MasterCard из-за того, что те отказались проводить платежи сайта WikiLeaks. Через год хакеры поддержали движение против социального неравенства под кодовым названием «Захвати Уолл-Стрит» и обрушили сайт Нью-Йоркской биржи.
В январе 2012 года в знак протеста против закрытия сайта MegaUpload хакеры из этой группировки провели крупнейшую DDoS-атаку, выведя из строя на несколько часов сайты многих правительственных структур США и звукозаписывающих компаний.
В 2013 году Anonymous атаковали сайты Израиля, а во время украинского кризиса совершили атаки на сайты российских СМИ и правительственных структур России.
Первый хакер в СССР
В 1983 году в СССР было совершенно первое в истории преступление в сфере высоких технологий - хакнули ПО на АВТОВАЗе, в результате чего конвейер встал на три дня. Возник прецедент: совершено преступление, за которое не предусмотрено наказание.
Школьник, взломавший директора ЦРУ потом взломал директора ФБР
Хакер, известный под псевдонимом Cracka, недавно взял на себя ответственность за взлом AOL-аккаунта директора ЦРУ Джона Бреннана и слил все данные, найденные в почте главы разведывательного управления Wikileaks. Теперь Cracka заявил, что Бреннан - не последняя его жертва. Хакер утверждает, что взломал заместителя директора ФБР Марка Джулиано (Mark Giuliano) и его жену.
Cracka опубликовал у себя в твиттере ссылки на Pastebin и Cryptobin (пароль: cwa), поздравив читателей с 5 ноября. По ссылкам располагается подробная информация (ФИО, адреса, email, должности) о 3500 госслужащих: военных, полицейских и чиновниках. Хакер утверждает, что это далеко не вся информация, которая у него есть. Ресурс Pastebin уже удалил публикацию.
Также взломщик утверждает, что сумел добраться до личной почты заместителя директора ФБР Марка Джулиано (на фото выше), который ранее делал весьма агрессивные заявления, относительно взлома почтового ящика директора ЦРУ. В частности, Джулиано пообещал поймать хакеров и сделать из группы CWA (Crackas With Attitude), в которую входит Cracka, показательный пример. Судя по всему, хакеров это разозлило.
Подросток также заявил, что ему удалось найти номер мобильного Джулиано и повторить то, что ранее было проделано с директором ЦРУ: позвонить ему.
«Я позвонил и спросил Марка, а он такой: “Я не знаю, кто ты такой, но тебе теперь лучше быть осторожнее”. И повесил трубку. Я продолжал звонить, но он психанул и перестал отвечать, — рассказал Cracka журналистам издания Motherboard, пообщавшись с ними в чате. — Мы выбрали его своей целью не ради чего-то интересного, мы выбрали его своей целью, потому что ФБР нас (sic) изучает».
Представители Федерального Бюро Расследований ситуацию комментировать отказались, равно как и подтвердить или опровергнуть факт взлома почты Джулиано.
13 октября было объявлено, что хакеры взломали Twitter-аккаунт главы избирательного штаба Хилари Клинтон Джона Подесты, от его имени призывая голосовать за соперника-республиканца Дональда Трампа. Ранее штаб Клинтон уже подвергался нападению. Предполагается, что за взломом компьютерных систем летом этого года стоят российские хакеры.
27 июня 2016 года группа хакеров OurMine взломала аккаунт гендиректора Google Inc. Сундара Пичаи в сервисе Quora. Также предполагается, что 13 сентября именно российские хакеры взломали компьютерные системы всемирного антидопингового агентства (ВАДА). Из полученной информации мир узнал о том, что американские спортсмены принимали допинг с разрешения врачей. На сегодняшний день последняя известная атака связана со взломом сайта МИДа РФ 23 октября. Взломавший сайт хакер написал: «Завязывайте».
Существует огромное количество хакеров, которые используют свои глубокие знания компьютерных систем с совершенно разными целями. Например, в 2014 году хакеры из группировки Lizard Squad атаковали Microsoft и Sony, из-за чего миллионы игроков не могли поиграть в свои игры по сети.
Другие хакеры крадут базы с данными аккаунтов пользователей, как это случилось в сентябре 2014 года, когда мошенники украли данные 500 млн пользователей у интернет-компании Yahoo. Некоторые хакеры сидят в своих гаражах с ноутбуками и крадут данные банковских карт ради получения лёгких денег, а другие получают зарплату и помогают работодателям защищаться от других хакеров.
Один из самых знаменитых хакеров нашего времени, Эдвард Сноуден, работал на Агентство Национальной Безопасности США и принимал участие в программе слежки за миллионами американцев. Однако чувство справедливости перевесило, и Сноуден рассказал обо всех преступлениях АНБ миру. Возрастные хакеры, устав от такой жизни, занимаются консультированием компаний и простых людей по вопросам компьютерной безопасности.
В 2010 году стало известно о том, что предполагаемые американские или израильские хакеры запустили в компьютерную сеть иранских атомных станций и урановых обогатительных фабрик вирус Staxnet. Вирус саботировал работу центрифуг, которые применяются для обогащения урановой руды, чтобы впоследствии возможно было создать топливо для ядерных силовых установок. Сегодня Иран улучшает отношения с внешним миром и проходит через процедуру снятия экономических санкций. Не в последнюю очередь это заслуга анонимных хакеров на государственной зарплате. Вашему вниманию — топ наиболее активных мировых хакерских групп.
Бюро 121
Про северокорейскую хакерскую группу «Бюро 121» катастрофически мало информации. Известно, что эти люди входят в состав армии Северной Кореи и выполняют для государства задания, связанные с кражей и поиском информации, а также защитой компьютерных систем страны от зарубежных хакеров. Также северокорейские хакеры атакуют и другие страны, в частности, Южную Корею. Атакам подвергаются южнокорейские игровые сервисы, сайты государственных учреждений, ведущих компаний, банков.
Предполагается, что специалисты из «Бюро 121» принимали участие в атаках на серверы японской компании Sony в ноябре 2014 года.
Известно, что северокорейское государство вербует молодых хакеров в северокорейском Университете Автоматизации. В состав группы входит около 1800 молодых людей, которые действуют по всему миру, в том числе и за пределами Северной Кореи. Необходимость деятельности за границами страны объясняется крайне слабой информационной инфраструктурой Северной Кореи.
Chaos Computer Club (ССС)
Chaos Computer Club является очень старой хакерской группой. Она основана ещё в 1981 году немецкими хакерами. На сегодняшний день это очень крупная сеть, которая объединяет преимущественно немецкоговорящих хакеров.
Данная группа впервые консультировалась перед своими атаками с юридическими экспертами, чтобы убедиться в том, что их действия являются законными.
Это говорит о том, что у этих людей есть свой определённый кодекс поведения. Отчасти их стратегия законности обеспечила группе выживание на такой длительный период времени. Однако не все в этой огромной группе действовали исключительно в рамках закона, потому что CCC является по большей части дезорганизованной группой. Хакеры CCC стали известны в 1980-х гг, когда уведомили компанию Deutsche Bundespost (бывшая немецкая почтовая компания) о том, что их компьютерные системы недостаточно надёжны, что делало их лёгкой мишенью для ранних корыстных хакеров. Провайдер Deutsche Bundespost высокомерно заявил, что всё в порядке. Активисты CCC доказали, что провайдер ошибается, когда украли со счетов почтовиков 134 000 немецких марок. Деньги были возвращены на следующий день после атаки.
Морфо
Морфо или «Дикий Нейтрон» является хорошо спонсируемой группой высококлассных хакеров, которые с 2011 года выполняли заказы для фармацевтических, инвестиционных и технологических компаний.
Однако это не государственная группа, потому что их деятельность обычно связана с кражей инсайдерской информации ради денег.
Структура Морфо очень интересна. Морфо включает в себя множество мелких групп, которые пользуются высококлассным ПО и техникой. Их сети рассредоточены, для оплаты хостинг-провайдера они пользуются биткоинами, а также используют множество сложных виртуальных машин.
Сирийская электронная армия
Сирийская электронная армия (СЭА) — группа хакеров, которая симпатизирует правительству Сирии, а также связана с Ираном и террористической группировкой «Хезболла». Часто их атаки направлены на саботирование западных СМИ. Также хакеры СЭА используют свои знания для поиска повстанцев и оппозиционных сил.
Специалисты СЭА очень изобретательны. Например, одним твитом, который они отправили с Twitter-аккаунта президента Обамы, они кратковременно обрушили индекс Доу Джонса на нью-йоркской бирже.
Хакеры написали, что президент Барак Обама был ранен при взрыве бомбы в Белом Доме. Также СЭА написали твит от лица аккаунта BBC, что саудовские метеостанции пострадали от столкновения с верблюдом. Специалисты по компьютерной безопасности предполагают, что хакеры СЭА могут быть из Ирана, так как хорошо разбираются в разговорном английском и юморе. Вероятно, все иранцы разбираются в этих вопросах, раз специалисты делают такие выводы.
Анонимус
Анонимус является наиболее известной группировкой хакеров в интернете. Преимущественно состоит из американцев. Организация зародилась на форуме 4chan в 2003 году и с тех пор выросла в довольно серьёзную силу в интернете. В качестве универсального символа они используют условное изображение героя английской истории Гая Фокса, которое породила фантазия создателей комикса «V — значит вендетта». Структура Анонимуса децентрализована — организация не прекращала свою работу и атаки даже тогда, когда многие участники оказывались арестованы. Многие акции Анонимуса были либеральными или антигосударственными. Активисты выступают за отмену государственного контроля интернета и цензуры.
Наиболее известные акции Анонимуса связаны с борьбой с детской порнографией и церковью Саентологии.
У анонимуса нет лидера, это коллективный разум. Связано это с тем, что один единственный человек является слабым звеном в любой система, и особенно опасно, если этот человек даст слабину. Из-за его эго, тщеславия и корысти могут пострадать многие. Анонимус — это прежде всего идея. Эта идея позволила данной организации просуществовать так долго.
Тарх Андишан
Тарх Андишан — это реакция правительства Ирана на атаку вируса Staxnet. После этого инцидента иранское государство осознало реальную опасность киберугроз. В связи с этим было принято решение модернизировать иранский сетевой щит. Модернизация пошла двумя путям: было создано подразделение сетевой борьбы под название Тах Андишан, а также Аякс, которое сформировали из уже имеющихся активистов хакеров в стране. Наиболее известная акция группировки Аякс называлась «Операция Шафран», в рамках которой хакеры пытались получить доступ к секретным американским данным оборонной промышленности через фишинговую атаку.
Тарх Андишан в представлении простых людей — крайне опасные террористы, так как они, подобно киногероям боевиков, заполучили доступ к системам управления воротами терминала аэропортов в Южной Корее, Пакистане и Саудовской Аравии.
Эта атака позволила им обманывать системы безопасности аэропортов подменяя личные данные людей. Также хакеры Тарх Андишан взламывали промышленные объекты нефтегазовых компаний и телекоммуникационную инфраструктуры различных организаций.
Драгонфлай
Драгонфлай является спонсируемой государством группой хакеров из России и стран Восточной Европы. Их основные цели — это электрические сети, энергетическая индустрия, и командные системы государств Европы и США. Драгонфлай обозначается как постоянно активная угроза. Активисты Драгонфлай внедряли трояны в легально распростроняемое программное обеспечение для промышленных систем управления, что очень похоже на вирус Staxnet. Данное вредоносное ПО может нарушать работы многих промышленных и инфраструктурных объектов, что делает группировку Драгонфлай крайне опасным противником.
APT28/ Fancy Bear / Sofacy / Pawn storm / Sednit
Группа хакеров, которая, по мнению экспертов, действует преимущественно с часового пояса России с подачи российского правительства. Цели организации представляют интерес для России и при работе хакеры этой организации используют весьма современные и качественные методы, что и доказал недавний взлом WADA. В своё время хакеры взламывали системы НАТО, правительства Польши, различных грузинских министерств и компьютерные системы ОБСЕ. Примечательно, что хакеры активны на территории, где не действует договор о выдаче преступников США.
19 сентября отмечается международный пиратский день. сайт решил сегодня рассказать своим читателям о современных коллегах флибустьеров — о хакерах.
Для начала стоит обозначить значение данного термина. «Hack» — по-английски когда-то обозначало массу понятий с общим значением «что-то резко обрывать». Были еще нюансы. Потом «hacking» стало простым компьютерным хулиганством.
«Хакер» — это взломщик сайтов и серверов. Человек, использующий свое мастерство для разных, иногда неблаговидных целей. Сейчас это для одних — индустрия, а для других — стиль жизни. Вторые предпочитают называть себя не «хакерами», а «хэкерами», это целое международное сообщество. Они взламывают сети из спортивного интереса и, уходя, зачастую «латают дыры». «Чистые» хакеры не только не причиняют вреда, но и приносят пользу, указывая на слабые места в системе. И часто делают это бескорыстно. Иной раз и по просьбе самого владельца сети, желающего узнать эти самые слабые места.
Самые известные хакерские атаки в истории интернета
Кевин Митник и Пентагон. Этот американец — наверное, самый известный в мире хакер, во многом благодаря склонности к эксцентричному поведению, которого от него и ожидала праздная публика. Во время своего ареста в 1995 году Митник безапелляционно заявил, что ему достаточно посвистеть в трубку уличного телефона-автомата, чтобы развязать ядерную войну.
В действительности, конечно, ничего подобного он сделать не мог, поскольку, пусть и действительно взломал множество защищенных сетей, но использовал для этого вовсе не какие-то гениальные программы и сверхъестественные коды, а банальные методы социальной инженерии: проще говоря, человеческий фактор. Митник применял не столько какие-то технические навыки, сколько знание психологии и манипулировал людьми, заставляя их выдавать свои пароли.
Митник взломал Пентагон на компьютере с процессором меньше 2 мегагерц
Практиковаться во взломе различных систем Митник начал с детства. Известно, что в 12-летнем возрасте он нашел способ подделки автобусных билетов, который позволял бесплатно перемещаться по всему городу. Затем он «перехватил» управление системой голосовой связи в местной закусочной «МакАвто», чтобы говорить посетителям всякие гадости.
В шестнадцать лет Митник взломал сеть фирмы Digital Equipment Corporation и похитил размещенное там программное обеспечение: это стоило ему года в заключении и трех лет под надзором полиции. Именно в это время он влез в систему голосовой почты Pacific Bell и после того, как был выписан ордер на его арест, пустился в бега.
Будучи студентом, с компьютера TRS-80 Митник проник в глобальную сеть ARPANet, предшественницу Internet, и через компьютер Лос-Анджелесского университета добрался до серверов министерства обороны США. Взлом был зафиксирован, юного киберпреступника довольно быстро нашли, в итоге он отбыл полгода в исправительном центре для молодежи.
Любопытный факт: он проделал это на компьютере с процессором меньше 2 мегагерц.
В 1999 году поймавшие Митника агенты ФБР утверждали, что при нем были фальшивые документы и мобильные телефоны с «клонированными» номерами. В итоге его обвинили во взломе нескольких компьютерных и телефонных сетей и приговорили к 46 месяцам заключения плюс 22 месяца за нарушение условий условного освобождения; при этом шутка про ядерную войну обошлась ему в восемь месяцев в «одиночке».
Кевин Митник вышел из тюрьмы в 2003 году и с тех пор написал несколько книг о своих хакерских достижениях. В 2000-м вышел фильм «Взлом» (Track Down) на основе его биографии, написанной Цутому Симомурой и Джоном Маркоффом, причем Симомура был экспертом по компьютерным системам, чей компьютер был взломан Митником. Сегодня Митнику 49 лет и он управляет собственной компанией по компьютерной безопасности.
Джонатан Джеймс и НАСА. Американец Джонатан Джеймс — первый несовершеннолетний хакер, осужденный в США за киберпреступления. Как утверждало обвинение, в 15-летнем возрасте в 1999 году он взломал компьютерную систему собственной школы, сеть телекоммуникационной компании Bell South, а затем проник на сервер Министерства обороны США. Здесь он перехватил более трех тысяч электронных писем сотрудников госучреждений, взломал сервер НАСА и похитил программное обеспечение, предназначенное для управления системами жизнеобеспечения на Международной космической станции.
В 2000 году Джеймса арестовали, однако, благодаря юному возрасту он был признан виновным по двум эпизодам в суде для несовершеннолетних и благодаря этому избежал фактического тюремного заключения. Вместо этого он провел шесть месяцев под домашним арестом и отправил письменные извинения в Пентагон и НАСА. Будь Джеймс на два года старше, ему бы грозило не менее десяти лет тюрьмы.
Джонатан Джеймс взломал НАСА в 15 лет
Между тем, через несколько лет Джонатана Джеймса стали подозревать еще в одном компьютерном преступлении: в 2007 году была похищена информация о кредитных картах миллионов клиентов торговой сети TJX, и Секретная служба обыскала дом Джеймса, пытаясь обнаружить улики, привязывающие его к этому преступлению.
Несмотря на то что обвинение так и не предъявили, Джеймс был уверен, что попадёт в тюрьму, и (по официальной версии) совершил самоубийство. В оставленной им записке он заявил, что не верит в систему правосудия и видит в самоубийстве единственный способ сохранить контроль над ситуацией и избежать наказания за преступление, которого он не совершал. В интервью, которые Джеймс давал до кражи данных клиентов TJX, он заявлял о намерении открыть собственную фирму по компьютерной безопасности. Вместо этого в возрасте 24 лет он покончил с собой.
Кевин Поулсен и радиостанция KIIS-FM. Еще один бывший хакер, сменивший род занятий, как и Митник, на более безопасный. В восьмидесятых годах Поулсен специализировался на взломе телефонных линий и с легкостью манипулировал номерами и каналами разных операторов. Впервые Поулсен стал известен под псевдонимом Dark Dante в 1993 году после взлома системы управления телефонными линиями Лос-Анджелесской радиостанции KIIS-FM. В результате искусной блокировки линий он стал победителем нескольких конкурсов и как 102-й дозвонившийся «выиграл» автомобиль Porsche 944 S2.
Сейчас Поулсен занимает пост старшего редактора журнала Wired
В поле зрения ФБР Поулсен попал после взлома секретных баз данных, содержащих информацию по прослушиванию телефонных переговоров. В одной из документальных телевизионных программ Unsolved Mysteries, посвящённых нераскрытым преступлениям, промелькнуло его лицо, но сразу после этого необъяснимым образом все телефонные линии телеканала NBC вышли из строя, так что никто не смог дозвониться и опознать Поулсена.
Тем не менее охота, объявленная ФБР, принесла свои плоды: один из служащих супермаркета узнал Поулсена и заблокировал его в проходе магазина. Кевин был обвинён во взломе телефонных сетей и отмывании денег и приговорён к пяти годам заключения, после которых ему было запрещено прикасаться к компьютерам в течение трех лет.
После выхода из тюрьмы в 1998 году Поулсен занялся журналистикой и сегодня занимает пост старшего редактора онлайн-версии знаменитого журнала о компьютерных технологиях Wired.
Свен Олаф Камфиус и Spamhaus Project. Выходец из Голландии, владелец провайдера CyberBunker, предоставлявшего хостинг Pirate Bay, и видный деятель немецкой Пиратской партии, был арестован испанской полицией в апреле 2013 года после серии мощных кибератак, которые, по утверждению некоторых специалистов, угрожали работоспособности всего Интернета. Дело в том, что уже упомянутая компания CyberBunker и фирма CB3ROB, также принадлежащая Камфиусу, занимались хостингом не только торрент-трекеров, но и ботнетов, спамеров и прочих подозрительных предприятий.
Камфиус совершил атаку, которая угрожал работе всего Интернета
Массированная DDoS-атака на серверы Spamhaus Project последовала после того, как эта фирма, специализирующаяся на компьютерной безопасности, внесла CyberBunker и CB3ROB в свой «черный список». В ответ Камфиус объявил о создании группировки STOPhaus, в которую, по его утверждению, вошли хакеры не только США, Канады и Западной Европы, но также России, Украины и Китая. Как считает обвинение, при помощи умножения запросов через DNS-резолверы разных провайдеров группе STOPhaus удалось засыпать серверы Spamhaus Project запросами со скоростью более 300 Гбит/с, что чувствительно замедлило работу всего Интернета.
После ареста Камфиус заявил, что он не имеет отношения к этой атаке и что лишь публично представляет группу STOPhaus, но не участвует в ее деятельности. По его утверждению, ущерб от атаки на Spamhaus Project вообще многократно преувеличен. Сам он называет себя интернет-активистом и борцом против цензуры и всех тех, кто пытается контролировать Интернет.
Гэри Маккиннон и Минобороны США. Этот шотландец — самый известный британский хакер, экстрадиции которого с начала двухтысячных добиваются США, где ему грозит более 70 лет тюремного заключения. Впервые полиция Великобритании заинтересовалась Маккинноном в 2002 году, но благодаря общественной поддержке и некоторым другим обстоятельствам он до сих пор на свободе.
В США Маккиннона обвиняют в том, что в 2001 году он взломал почти сотню компьютеров, принадлежащих Министерству обороны и НАСА. По утверждению властей, получив доступ в систему, он удалил критически важные файлы и фактически парализовал работу сети военного ведомства США на целые сутки. Более того, Маккиннон якобы стер данные об американских вооружениях во взломанных компьютерах после террористических атак 11 сентября 2001 года и похитил некую критически важную информацию. По действующим в Великобритании законам за подобные правонарушения ему полагалось лишь шестимесячное заключение.
Сам Маккиннон утверждал, что искал в компьютерах американских военных свидетельства утаивания от общественности информации об НЛО и других потенциально полезных технологиях. Кроме того, он заявлял, что получил доступ к абсолютно не защищенным машинам и оставил множество записей обо всех обнаруженных уязвимостях на тех же самых компьютерах.
Федеральный суд в американском штате Виргиния в ноябре 2002 года официально обвинил Маккиннона в семи фактах компьютерных преступлений, и если бы Великобритания выдала его США, то взломщик вполне мог бы провести в тюрьме всю свою жизнь. После вступления в силу Акта об экстрадиции 2003 года казалось, что судьба хакера решена, но не тут-то было. Изменилось лишь то, что его обязали ежедневно отмечаться в полицейском участке и не выходить из дома по ночам.
В поддержку Маккиннона высказались Стинг, Борис Джонсон, Стивен Фрай
Защита настояла на медицинском обследовании Маккиннона, и у него были диагностированы синдром Аспергера (форма аутизма) и клиническая депрессия, способная спровоцировать самоубийство. На этом основании Маккиннон обратился в Европейский суд по правам человека, который сначала приостановил экстрадицию, но потом отказался ее заблокировать. В 2009 году Верховный суд выдал разрешение на экстрадицию, но общественный резонанс дела привел к тому, что она так и не состоялась. В поддержку хакера высказались многие известные личности — от музыкантов Стинга и Питера Гэбриэла до мэра Лондона Бориса Джонсона и актера Стивена Фрая.
В октябре 2012 года министр внутренних дел Тереза Мэй объявила о блокировании выдачи Маккиннона на основании того, что в случае экстрадиции риск для жизни обвиняемого настолько велик (он может покончить с собой), что такое решение противоречило бы правам человека. В дальнейшем было решено отказаться от уголовного преследования хакера и в Великобритании: формально — из-за сложностей с доказательствами, находящимися на территории США. Сейчас Маккиннон абсолютно свободен.
Владимир Леивн и Citibank. Российский хакер, который в 1994 году вывел из системы Citуbank $12 млн. Большую часть денег вернули их законным владельцам, но $250 тыс. так и не были найдены. Интересен тот факт, что на момент совершения преступления, в нашей стране не было статей в уголовном кодексе, предусматривающих наказание за киберпреступления, поэтому Левин был экстрадирован в США и находился под стражей 3 года.
Левин в 1994 году вывел из системы Citуbank $12 млн
Василий Горшков, Алексей Иванов и Paypal. Российские хакеры, которые были «активными пользователями интернета» в нулевых. Эти русские ребята смогли взломать платежную систему PayPal, Western Union и многое другое. Всего парни взломали 40 американских компаний в 10 штатах. В 2003 Горшков был приговорен к лишению свободы сроком на 3 года и денежному штрафу в размере $700 тыс. А Иванов был пойман и осужден в 2004 году, приговорен к 4 годам тюрьмы. Суд также проходил на территории США.
Самые знаменитые хакерские группы
Lizard Squad
Первое упоминание в СМИ о Lizard Squad появилось после того, как они положили серверы игр League of Legends и Call of Duty. Затем последовали более серьезные атаки — на Sony Playstation Network and Microsoft Xbox Live. Складывается впечатление, что у представителей этой группы персональная неприязнь к компании Sony. В августе 2014 года они даже разместили в Twitter угрозу взорвать самолет, в котором летел президент Sony Online Entertainment. К счастью, воздушное судно совершило экстренную посадку, и все обошлось без жертв.
Кроме того, Lizard Squad заявляют о своей связи с Исламским государством. Например, после атаки на Malaysia Airlines хактивисты опубликовали на сайте компании сообщение «Взломано Lizard Squad — официальным Киберхалифатом. ISIS победит». А несколькими месяцами ранее они разместили флаги ISIS на серверах Sony. Впрочем, вполне вероятно, что деятельность группы не имеет политической подоплеки, и упоминание ISIS нужно ей лишь для привлечения внимания масс-медиа.
После декабрьских атак на PSN и Xbox Live органы правопорядка Великобритании и США провели крупное совместное расследование, результатом которого стал арест 22-летнего мужчины из Туикенема и тинейджера из Саутпорта — предполагаемых членов Lizard Squad.
Anonymous
Anonymous — пожалуй, самая знаменитая хакерская группа всех времен. Это децентрализованное онлайн-сообщество, состоящее из десятков тысяч хактивистов, для которых компьютерные атаки — способ выражения протеста против социальных и политических явлений. Группа прославилась после многочисленных атак на правительственные, религиозные и корпоративные веб-сайты. Она атаковала Пентагон, угрожала разгромить Facebook, уничтожить мексиканский наркокартель Los Zetas и объявила войну саентологии.
В 2010 году Anonymous организовали масштабную акцию «Возмездие» (Operation Payback), обрушив атаки на системы Visa, MasterCard и PayPal. Причина — их отказ проводить платежи сайта WikiLeaks, основанного Джулианом Ассанжем. В 2011 году хактивисты публично поддержали движение против социального и экономического неравенства «Захвати Уолл-стрит» (Occupy Wall Street), атаковав сайт Нью-йоркской фондовой биржи.
В 2010 году Anonymous обрушили атаки на системы Visa, MasterCard и PayPal
С 2009 года за причастность к деятельности Anonymous были арестованы десятки человек в США, Великобритании, Австралии, Нидерландах, Испании и Турции. Представители группировки осуждают подобные преследования и называют своих пойманных единомышленников мучениками. Девиз хактивистов: «Мы — Anonymous. Мы — легион. Мы не прощаем. Ждите нас».
LulzSec
LulzSec (аббревиатура Lulz Security) — организация, «ради смеха» совершавшая атаки на сервера компаний, считавшиеся наиболее надежно защищенными. Изначально она состояла из семи участников, работавших под девизом «Смеемся над вашей безопасностью с 2011 года». Дата была выбрана неслучайно: в 2011 году уже прославившиеся на тот момент Anonymous провели крупную атаку на компанию HBGary Federal. Позже этот инцидент возглавил рейтинг самых громких киберпреступлений по версии журнала Forbes. Название хакерской группы — «Lulz» — производная от LOL (Laughing Out Loud).
В числе первых атак LulzSec — кража паролей Fox.com, LinkedIn и 73 тысяч участников конкурса X Factor. В 2011-ом они скомпрометировали аккаунты пользователей ресурса Sony Pictures и вывели из строя официальный сайт ЦРУ.
После успешных атак LulzSec традиционно оставляли на ресурсах колкие послания, в результате чего некоторые эксперты склонны считать их скорее интернет-шутниками, нежели серьезными кибервоителями. Однако сами представители группировки заявляли о том, что способны на большее.
В июне 2011 года LulzSec распространила сообщение о самороспуске. Тем не менее, через месяц хакеры совершили новую атаку — на этот раз на газету компании News Corporation. Они взломали сайт The Sun и разместили на главной странице новость о кончине ее владельца Руперта Мердока.
Основные участники LulzSec были арестованы в 2012 году. Информатором ФБР стал 28-летний лидер группы Гектор Ксавье Монсегюр, имевший сетевое имя Sabu. В своей речи прокурор Сандип Патель отметил, что хакеры не были движимы политическими идеями, как Anonymous, и назвал их «пиратами наших дней».
Syrian Electronic Army
Цель хакерской группы Syrian Electronic Army (SEA) — поддержка президента Сирии Башара Асада. Мишенями злоумышленников чаще всего становятся ресурсы политических оппозиционных групп, правозащитных организаций и западные новостные сайты.
Природа связи группировки с правительством Сирии остается неясной. На своем сайте SEA описывает себя как «группу молодых сирийских энтузиастов, которые не могут оставаться равнодушными к повсеместному искажению фактов о восстании в Сирии». Между тем, ряд экспертов утверждает, что организация ведет свою деятельность под контролем сирийского правительства.
Среди приемов, которыми пользуются SEA, — традиционные DDoS-атаки, рассылка спама, фишинг и распространение вирусов. На главной странице атакуемого сайта они, как правило, размещают политические послания и сирийский флаг. Жертвами сирийских компьютерщиков уже стали The Independent, The Daily Telegraph, Evening Standard, The Daily Express, Forbes, Chicago Tribune, CBC, La Repubblica и некоторые другие издания. Участники Syrian Electronic Army также атаковали Facebook-аккаунты Барака Обамы и Николя Саркози.
Российские хакеры печально известны за свои сомнительные навыки: начиная со злого программиста и заклятого врага Джеймса Бонда из «Золотого глаза» и заканчивая крупнейшим киберпреступлением в американской истории . И в то время как хакеры из других стран довольно часто могут быть мотивированы какой-либо идеологией, большинство российских киберпреступников заработали репутацию цифровых карманников, более заинтересованных в чистке чужих банковских счетов, нежели публичных заявлениях.
И хотя давно принято считать, что большинство хакеров являются просто мошенниками, киберпреступлением до сих пор часто восхищаются за ту технику и интеллект, которое оно несёт, создавая пьянящий коктейль из искусства, науки и преступных намерений. И хотя российские хакеры могут быть менее активны, чем их китайские и латиноамериканские коллеги, качество атак делает их мировыми лидерами в этой области. Вот некоторые из российских имен, которые посеяли панику в мире кибербезопасности.
1. Анонимный интернационал
Эта хакерская группировка также известна под именем «Шалтай-Болтай» (в западном фольклоре аналогичный персонаж носит имя Humpty-Dumpty). Будучи, вероятно, наиболее известной хакерской группировкой в России в настоящее время, Анонимный интернационал взял на себя ответственность за крупную серию недавних кибератак и утечек документов. Хакеры опубликовали личные архивы электронной почты нескольких российских государственных деятелей и украли различные секретные документы (например, отчеты о шпионаже за лидерами оппозиции после протестов в Москве). Но их самое известное деяние - это взлом твиттера премьер-министра Дмитрия Медведева и размещение нескольких юмористических твитов от его имени в течение получаса, пока представители Медведева прилагали все мыслимые усилия, чтобы вернуть контроль над учетной записью. Свою заинтересованность они не мотивируют жаждой к деньгам. Однако, поскольку группа является очень скрытной, многие все же сомневаются в её методах, мотивах и моральном облике. На сайте группировке размещён архив украденных файлов, за что он и заблокирован Роскомнадзором. Тем не менее, его можно просмотреть посредством VPN.
2. Владимир Левин
Левин, биохимик из Санкт-Петербурга, является культовой фигурой российской киберпреступности и считается одним из отцов хакинга. В 1994 году Левин с командой сообщников получили доступ к Citibank`у и перевели более $10 млн на различные счета в разных странах. Левин был оперативно пойман и осуждён в 1998 году в США. Это был большой спектакль. Левин не знал английского во время совершения преступления (он выучил язык в тюрьме в Америке. Помимо компьютерных технологий это был единственный освоенный им навык), а журналисты описывали его как «что-то среднее между хиппи и Распутиным». После того как Левин был признан виновным, различные хакерские группировки из Санкт-Петербурга заявили, что это именно они получили доступ к Citibank, который позже продали Левину за сто долларов.3. Игорь Клопов
История Клопова похожа на Аферу по-американски, но отмеченную наивным восприятием Американской мечты. 24-летний выпускник МГУ использовал для поиска своих целей список 400 богатейших людей планеты по версии Forbes. Затем в Москве он со своего ноутбука находил себе американских пособников, обещая им деньги, отдых в пятизвёздочных отелях и лимузины. Используя то, что государственный обвинитель позже назовёт «комбинацией умных и проверенных временем Интернет-техник, таких как, например, подделка водительского удостоверения», Клопов и его сообщники похитили $1.5 миллиона и попытались украсть ещё $10 млн, на чём и были пойманы. Игорь Клопов признал вину и в 2007 году был приговорён к тюремному заключению.
4. Koobface gang
В отличие от большинства других хакеров в этом списке, члены Koobface (анаграмма Facebook) Gang – все, как выяснилось впоследствии, россияне из Санкт-Петербурга – не атаковали компании или людей напрямую. Вместо этого, они создали компьютерного червя, которого запустили в различные социальные сети (Facebook, Skype, Gmail, Yahoo Messenger и многие другие), чтобы заразить аккаунты пользователей и украсть их персональные данные. Расследование преступлений группировки пролило свет на хитроумные системы, из-за которых полиция даже не могла оценить ресурсы, необходимые для того, чтобы разобраться в её деятельности: «все доходы были получены от тысяч отдельных микро-транзакций, составляющих не более доли копейки каждая. При этом жертвы были разбросаны по десяткам национальных юрисдикций». Червь Koobface заманивал пользователей ссылками с подписями вроде «Вы должны посмотреть это видео!» или «Вы не поверите, что ваш друг Х сказал про вас!» - стратегия, популярная среди хакеров. Червь был обнаружен и прекратил свою работу в 2012 году, после того как имена членов Koobface Gang были обнародованы в СМИ.5. Владислав Хорохорин
Скрываясь под ником BadB, Хорохорин открыл два интернет-магазина, занимающихся продажей данных владельцев банковских карт. Рекламный ролик демонстрирует мультяшного BadB в шапке ушанке, продающего информацию о кредитных картах нарисованных персонажей, среди которых присутствуют Джордж Буш и Кондолиза Райс. Он вел свой нелегальный бизнес на протяжении 8 лет, прежде чем был задержан в 2010 году во Франции. Комментарии вроде «Покойся с миром BadB» под его промо-роликом на Youtube только подтверждают статус Хорохорина, как преуспевающего хакера. После своего задержания, Хорохорин нанял известного нью-йорского адвоката Аркадия Буха, специализирующегося на киберпреступлениях. Бух утверждал, что Хорохорин не является BadB, и в интервью Forbes заявил, что его клиент заработал свои миллионы будучи дилером Tesla Motors в Москве. В Tesla, которая никогда не имела дилеров в России, опровергли это заявление. В 2013 году Хорохорин был приговорён к 88 месяцам тюрьмы и выплате $125 739 в качестве компенсации.Об обнаружении малоизученной хакерской группировки, которая атакует банки подобно Cobalt или MoneyTaker.
Группировка
Первые следы хакерской группы, получившей название Silence, эксперты Group-IB обнаружили еще в июне 2016 года. Отчет гласит, что тогда киберпреступники только начинали пробовать свои силы.
Одной из первых целей Silence стал банк в России, который они попытались атаковать через АРМ КБР (Автоматизированное рабочее место клиента Банка России). После чего хакеры надолго «замолчали». Позже выяснилось, что это - стандартная практика для Silence. Они атакуют избирательно, а между инцидентами проходит около трех месяцев, что втрое больше, чем у других групп, специализирующихся на целевых атаках, например, у MoneyTaker, Anunak (Carbanak), Buhtrap или Cobalt.
Исследователи считают, что причина кроется в крайне малочисленном составе Silence. Впервые за всю практику киберразведки и расследований киберпреступлений специалисты Group-IB столкнулись с такой структурой и ролевым распределением в группе. Silence постоянно анализируют опыт других преступных групп, пробуют применять новые техники и способы краж из различных банковских систем, включая АРМ КБР, банкоматы, карточный процессинг. Менее чем за год объем хищений Silence вырос в пять раз.
Рабочая версия экспертов предполагает, что в команде Silence четко прослеживаются всего две роли - оператора и разработчика. Вероятно, оператор является лидером группы, по характеру действий он - пентестер, хорошо знакомый с инструментарием для проведения тестов на проникновение в банковскую инфраструктуру. Эти знания позволяют группе легко ориентироваться внутри атакуемого банка. Именно оператор получает доступ к защищенным системам внутри банка и запускает процесс хищений.
Разработчик параллельно является реверс-инженером с достаточно высокой квалификацией. Его академические знания о том, как создаются программы, не мешают ему делать ошибки в коде. Он отвечает за разработку инструментов для проведения атак, а также способен модифицировать сложные и чужие программы. При этом для патчинга он использует малоизвестный троян, ранее не встречавшийся ни у одной другой группы. Кроме того, он знает технологии работы банкоматов и имеет доступ к сэмплам вредоносного ПО, которые, как правило, содержатся в базах компаний, занимающихся информационной безопасностью.
Исследователи отмечают, что еще в начале своего пути, летом 2016 года, Silence не имела навыков взлома банковских систем и в процессе своих первых операций училась прямо по ходу атаки. Члены группы внимательно анализировали опыт, тактику, а также инструменты других преступных групп. Они постоянно пробовали применять на практике новые техники и способы краж из различных банковских систем, в числе которых АРМ КБР, банкоматы, карточный процессинг.
Навыки в области реверс-инжиниринга и пентеста, уникальные инструменты, которые хакеры создали для взлома банковских систем, выбор неизвестного трояна для патчинга, а также многочисленные ошибочные действия подтверждают гипотезу о том, что бэкграунд Silence, скорее всего, легитимный. Как минимум один из хакеров работал (или продолжает работать) в компании, специализирующейся на информационной безопасности.
Как и большинство финансово-мотивированных APT-групп, участники Silence говорят по-русски, о чем свидетельствуют язык команд программ, приоритеты по расположению арендуемой инфраструктуры, выбор русскоязычных хостеров и локация целей преступников:
Команды трояна Silence - русские слова, набранные на английской раскладке:
- htrjyytrn > reconnect > реконнект;
- htcnfhn > restart > рестарт;
- ytnpflfybq > notasks > нетзадач.
Цели
Основные цели группы также находятся в России, хотя фишинговые письма отправлялись также сотрудникам банков в более чем 25 странах. Успешные атаки Silence ограничиваются странами СНГ и Восточной Европой, а основные цели находятся в России, Украине, Белоруссии, Азербайджане, Польше, Казахстане. Тем не менее, единичные фишинговые письма отправлялись также сотрудникам банков в более чем 25 странах Центральной и Западной Европы, Африки и Азии: Киргизия, Армения, Грузия, Сербия, Германия, Латвия, Чехия, Румыния, Кения, Израиль, Кипр, Греция, Турция, Тайвань, Малайзия, Швейцария, Вьетнам, Австрия, Узбекистан, Великобритания, Гонконг и другие.
Хронология атак Silence выглядит следующим образом:
- 2016 год, июль - неудачная попытка вывода денег через российскую систему межбанковских переводов АРМ КБР. Злоумышленники получили доступ к системе, но атака сорвалась из-за неправильной подготовки платежного поручения. В банке остановили подозрительную транзакцию и провели реагирование собственными силами, постаравшись устранить последствия атаки. Это привело к новому инциденту.
- 2016 год, август - новая попытка взлома того же банка. Спустя всего месяц (!), после провала с АРМ КБР, хакеры восстанавливают доступ к серверам этого банка и предпринимают повторную попытку атаковать. Для этого они загрузили программу для скрытого создания скриншотов экрана пользователя и начали изучать работу операторов по псевдовидеопотоку. На этот раз банк принял решение о привлечении экспертов Group-IB для реагирования на инцидент. Атака была предотвращена. Однако восстановить полную хронологию инцидента не удалось, так как при попытке самостоятельно очистить сеть, ИТ-служба банка удалила большую часть следов активности злоумышленников.
- 2017 год, октябрь - первый известный успешный случай вывода денег этой группой. На этот раз Silence атаковали банкоматы. За одну ночь им удалось похитить 7 000 000 рублей. В этом же году они проводили DDoS-атаки с помощью Perl IRC бота, используя публичные IRC чаты для управления троянами. После неудачной атаки через систему межбанковских переводов в 2016 году преступники больше не пытались вывести деньги через нее, даже имея доступ к серверам АРМ КБР.
- 2018 год февраль - успешная атака через карточный процессинг: за выходные злоумышленникам удалось снять с карточек через банкоматы партнера банка 35 000 000 рублей.
- 2018 год, апрель - уже через два месяца группа возвращается к прежней схеме и выводит деньги через банкоматы. Им удается за одну ночь «вынести» порядка 10 000 000 рублей. На этот раз созданные Silence программы были усовершенствованы: избавлены от лишних функций и прежних ошибок.
Инструменты и инфраструктура
По данным Group-IB, во время первых операций хакеры Silence использовали чужие инструменты и учились буквально по ходу атаки. Однако со временем они перешли от использования чужих инструментов к разработке собственных и значительно усовершенствовали тактику.
В первых операциях киберпреступники патчили чужой малораспространенный бэкдор Kikothac. Они выбрали троян, известный с ноября 2015 года, реверс и реализация серверной части которого не требовали много времени. Использование чужого бэкдора позволяет предположить, что группировка начала работу без предварительной подготовки, и первые операции были лишь попыткой проверить свои силы.
Позже преступники разработали уникальный набор инструментов для атак на карточный процессинг и банкоматы, который включает в себя самописные программы:
- Silence - фреймворк для атаки на инфраструктуру.
- Atmosphere - набор программ для «потрошения» банкоматов.
- Farse - утилита для получения паролей с зараженного компьютера.
- Cleaner - инструмент для удаления логов удаленного подключения.
Заимствованные инструменты:
- Smokebot - бот для проведения первой стадии заражения.
- Модифицированный Perl IRC DDoS bot, основанный на Undernet DDoS bot, для осуществления DDoS-атак.
Оператор проводит атаки с Linux-машины с использованием утилиты WinExe (Linux аналог PSExec), которая может запускать программы на удаленном узле через SMB-протокол. После закрепления в системе троян Silence устанавливает stagerMeterpreter на зараженную систему. Для доступа к скомпрометированным компьютерам киберпреступники используют RAdmin - программу, которую в некоторых банках устанавливают сами администраторы для удаленного управления рабочими станциями.
Арендованные злоумышленниками серверы для осуществления фишинговых атак находятся в Россиии Нидерландах. Под командные центры они используют услуги хостинга с Украины, который позволяет размещение практически любого контента, в том числе запрещенной информации, вредоносных приложений и файлов. Также несколько серверов Silence арендовали в MaxiDed, инфраструктура которого была заблокирована Европолом в мае 2018 года.
Вначале для рассылок фишинговых писем группа использовала взломанные серверы и скомпрометированные учетные записи, однако позже преступники начали регистрировать фишинговые домены и создавать для них самоподписанные сертификаты.
Чтобы обойти системы фильтрации писем, они используют DKIM и SPF. Письма отправляются от имени банков, у которых не был настроен SPF, с арендованных серверов с подмененными заголовками. Злоумышленники составляли полные грамотные тексты для писем и отправляли их от имени сотрудников банка, чтобы повысить шанс успешности атаки.
Во вложении письма содержались эксплоиты под MS Office Word с decoy документами CVE-2017-0199, CVE-2017-11882 + CVE-2018-0802, CVE-2017-0262, а также CVE-2018-8174. Помимо эксплоитов рассылались письма с вложенными CHM-файлами, что встречается достаточно редко, а также с ярлыками.LNK, запускающими Powershell-скрипты и JS-скрипты.
«Silence во многом переворачивает представление о киберпреступности: по характеру атак, инструментам, тактике и даже составу группы, очевидно, что за этими преступлениями стоят люди, в недавнем прошлом или настоящем занимающиеся легальной работой – пентестами и реверс-инжинирингом, – комментирует Дмитрий Волков, технической директор и глава направления киберразведки Group-IB. – Они тщательно изучают деятельность других киберпреступников, анализируют отчеты антивирусных и Threat Intelligence компаний, что не мешает им делать множество ошибок и учиться прямо по ходу атаки. Ряд инструментов Silence – легитимны, другие разработали они сами, взяв на вооружение опыт других групп. Изучая деятельность Silence, мы предположили, что вероятнее всего это пример того, как whitehat становятся blackhat. Интернет, в особенности, его андеграудная часть, открывают немало возможностей для таких метаморфоз, киберпреступником сегодня стать намного легче, чем 5-7 лет назад: можно арендовать серверы, модифицировать имеющиеся эксплоиты, использовать легальные утилиты. Это значительно усложняет работу форензик-экспертов, но сильно упрощает возможность встать на путь хакера».
Предыдущая статья: Как разделить жесткий диск на разделы Как разбить на разделы в биосе Следующая статья: Перезаправляемые картриджи для струйных принтеров CANON, EPSON, HP Цветной лазерный мфу с перезаправляемыми картриджами