Самые опасные хакерские группировки в мире. Русскоязычная группировка Silence атакует банки и состоит всего из двух человек. Компьютерный червь для ядерных реакторов
Anonymous - международная группа хакеров, которая уже долгое время занимается взломом сайтов правительственных организаций.
Рождение легенды
Хакеры из группы Anonymous сейчас известны всему миру. Не сами хакеры, конечно, а всего лишь их акции. Но как все начиналось, и какие они ставили цели?
На своем первом этапе развития Anonymous видели своей целью всего лишь свободу Интернета и развлечений. Они легко подвергали DDoS-атакам серверы правообладателей, проводили разные шутливые и не совсем акции, но в скором времени кучка любителей разрослась до приличных размеров и превратилась в международную организацию хакеров Anonymous, наводящую ужас на правительства многих стран. Эти кибербойцы с легкостью взламывают самые защищенные сайты, будь то ресурс ЦРУ или Пентагона.
На самом деле группа хакеров Anonymous действует так успешно и не поймана только благодаря тому, что ни один из членов группы никогда вживую не видел другого, и все общение происходит виртуально. Их лица всегда скрыты за масками Гая Фокса из фильма «V — значит Вендетта». Кроме того, Anonymous-хакеры разбросаны по всему миру от Великобритании до Китая, поэтому вычислить их нет никакой возможности. Полиция может арестовать 2-3 человек, но особенного урона организация не понесет.
Группы анонимных хакеров образовались почти во всех развитых странах мира. И Россия не исключение. В РФ действует группа Anonymous Russia. Как и у каждой уважающей себя организации, у Anonymous существует и свой аккаунт в "Твиттере", где они сообщают людям о последних акциях и планах.
Anonymous и ИГИЛ
Не так давно хакеры Anonymous объявили войну (ИГИЛ) — террористической организации мусульман. Умельцы взломали около 5000 аккаунтов боевиков. Это позволило им узнать, где боевики планируют провести теракты. Anonymous опубликовали результаты своих действий, и мир содрогнулся. В числе предполагаемых целей значились Франция, Италия, США, Ливан, Индонезия. Сейчас некоторые хакеры тесно сотрудничают со спецслужбами вышеназванных стран, дабы не допустить трагедии.
Во время войны хакеров с ИГИЛ досталось и Турции. президента Турции Эрдогана, Anonymous-хакеры узнали, как лояльно он относится к и пообещали правительству Турции ответные меры. Была произведена серия атак на серверы правительства, вследствие чего они оказались заблокированы. Кроме того, Anonymous пообещали «положить» серверы турецких аэропортов и банков и полностью парализовать их работу.
Некоторые эксперты в IT-безопасности считают «войну» Anonymous против ИГИЛ несерьезным занятием. Как сказал один из специалистов, «особого вреда они друг другу не принесли и вряд ли принесут, поскольку по обе стороны находятся некомпетентные в плане защиты и взлома люди». Правда, слова эти несколько расходятся с тем, как легко хакеры преодолевают различные защиты сайтов.
Anonymous и Китай
Кроме ИГИЛ, группа хакеров Anonymous решила атаковать еще и Китай. Хакеров не устроило отношение правительства Китая к свободе Интернета и свободе в целом. В результате они взломали около 500 сайтов, принадлежащих китайскому правительству. Сайты долгое время были заблокированы, и вместо информации компартии Китая на них находились способы обхода блокировки нежелательной информации, введенной «репрессивным правительством».
Сам официальный Китай не подтверждает атаку на свои серверы. Однако факт налицо. Anonymous решили поднять народ Поднебесной на борьбу с цензурой и ограничением свободы. На официальном канале Anonymous в "Твиттере" хакеры призывают народ этой страны восстать и вместе с ними продолжать атаковать серверы компартии, пока «режим не рухнет».
Удар по России
Не обошел стороной интерес хакеров и Россию. Российская организация Anonymous взломала сайты Кремля. Правда, особого урона хакеры не нанесли, но это была скорее демонстрация силы. Получив доступ к личным данным чиновников, хакеры могли бы «слить» это все в сеть. И тогда наверняка разгорелся бы очередной скандал.
Однако кое-что просочилось. Кроме официального кремлевского сайта, Anonymous-хакеры взломали и сайт организации «Наши», в свое время активно продвигавшей Владимира Путина. И здесь всплыли очень интересные данные о финансовых затратах на агитацию населения Российской Федерации. Хакеры пообещали выложить в сеть и историю темных делишек партии «Единая Россия», если «Наши» не прекратят свою пропаганду.
Правда, в действиях их начинает прослеживаться и предвзятый политический мотив. Недавно хакеры из группировки Anonymous обнародовали не выдерживающую никакой серьезной критики информацию, якобы воду в Крым перекрыла именно Россия, а не Украина. По их словам, Россия специально отключила насосы и парализовала водоснабжение, обвинив в этом Украину, чтобы поднять уровень своего влияния в Крыму. Предположение более чем абсурдное.
Другие страны
Anonymous-хакеры не обошли своим вниманием и другие государства, вызвавшие теми или иными действиями их неудовольствие. Они провели сотни атак на сайты Сайт премьер-министра Японии, к примеру, был недоступен в течение весьма длительного времени. США только недавно восстановили сервер ЦРУ после их атак. А в Лондоне хакеры взломали серверы всем известных фирм Visa и MasterCard. В Канаде также были атакованы сайты правительства. Опять же, в США подвергся DDoS-атакам сайт Церкви Сайентологии. Складывается такое ощущение, что Anonymous объявили войну не только ИГИЛ или Китаю, но и всем странам и правительствам сразу.
Вместо заключения
Anonymous поражают своими способностями. Атаковать хорошо защищенные серверы различных государств — дело довольно тяжелое и хлопотное. Их выручает только то, что разбросаны взломщики по всему миру, и вычислить их не так-то просто. Но случаются и провалы. Например, в Лондоне при атаке на MasterCard и Visa были арестованы два человека.
19 сентября отмечается международный пиратский день. сайт решил сегодня рассказать своим читателям о современных коллегах флибустьеров — о хакерах.
Для начала стоит обозначить значение данного термина. «Hack» — по-английски когда-то обозначало массу понятий с общим значением «что-то резко обрывать». Были еще нюансы. Потом «hacking» стало простым компьютерным хулиганством.
«Хакер» — это взломщик сайтов и серверов. Человек, использующий свое мастерство для разных, иногда неблаговидных целей. Сейчас это для одних — индустрия, а для других — стиль жизни. Вторые предпочитают называть себя не «хакерами», а «хэкерами», это целое международное сообщество. Они взламывают сети из спортивного интереса и, уходя, зачастую «латают дыры». «Чистые» хакеры не только не причиняют вреда, но и приносят пользу, указывая на слабые места в системе. И часто делают это бескорыстно. Иной раз и по просьбе самого владельца сети, желающего узнать эти самые слабые места.
Самые известные хакерские атаки в истории интернета
Кевин Митник и Пентагон. Этот американец — наверное, самый известный в мире хакер, во многом благодаря склонности к эксцентричному поведению, которого от него и ожидала праздная публика. Во время своего ареста в 1995 году Митник безапелляционно заявил, что ему достаточно посвистеть в трубку уличного телефона-автомата, чтобы развязать ядерную войну.
В действительности, конечно, ничего подобного он сделать не мог, поскольку, пусть и действительно взломал множество защищенных сетей, но использовал для этого вовсе не какие-то гениальные программы и сверхъестественные коды, а банальные методы социальной инженерии: проще говоря, человеческий фактор. Митник применял не столько какие-то технические навыки, сколько знание психологии и манипулировал людьми, заставляя их выдавать свои пароли.
Митник взломал Пентагон на компьютере с процессором меньше 2 мегагерц
Практиковаться во взломе различных систем Митник начал с детства. Известно, что в 12-летнем возрасте он нашел способ подделки автобусных билетов, который позволял бесплатно перемещаться по всему городу. Затем он «перехватил» управление системой голосовой связи в местной закусочной «МакАвто», чтобы говорить посетителям всякие гадости.
В шестнадцать лет Митник взломал сеть фирмы Digital Equipment Corporation и похитил размещенное там программное обеспечение: это стоило ему года в заключении и трех лет под надзором полиции. Именно в это время он влез в систему голосовой почты Pacific Bell и после того, как был выписан ордер на его арест, пустился в бега.
Будучи студентом, с компьютера TRS-80 Митник проник в глобальную сеть ARPANet, предшественницу Internet, и через компьютер Лос-Анджелесского университета добрался до серверов министерства обороны США. Взлом был зафиксирован, юного киберпреступника довольно быстро нашли, в итоге он отбыл полгода в исправительном центре для молодежи.
Любопытный факт: он проделал это на компьютере с процессором меньше 2 мегагерц.
В 1999 году поймавшие Митника агенты ФБР утверждали, что при нем были фальшивые документы и мобильные телефоны с «клонированными» номерами. В итоге его обвинили во взломе нескольких компьютерных и телефонных сетей и приговорили к 46 месяцам заключения плюс 22 месяца за нарушение условий условного освобождения; при этом шутка про ядерную войну обошлась ему в восемь месяцев в «одиночке».
Кевин Митник вышел из тюрьмы в 2003 году и с тех пор написал несколько книг о своих хакерских достижениях. В 2000-м вышел фильм «Взлом» (Track Down) на основе его биографии, написанной Цутому Симомурой и Джоном Маркоффом, причем Симомура был экспертом по компьютерным системам, чей компьютер был взломан Митником. Сегодня Митнику 49 лет и он управляет собственной компанией по компьютерной безопасности.
Джонатан Джеймс и НАСА. Американец Джонатан Джеймс — первый несовершеннолетний хакер, осужденный в США за киберпреступления. Как утверждало обвинение, в 15-летнем возрасте в 1999 году он взломал компьютерную систему собственной школы, сеть телекоммуникационной компании Bell South, а затем проник на сервер Министерства обороны США. Здесь он перехватил более трех тысяч электронных писем сотрудников госучреждений, взломал сервер НАСА и похитил программное обеспечение, предназначенное для управления системами жизнеобеспечения на Международной космической станции.
В 2000 году Джеймса арестовали, однако, благодаря юному возрасту он был признан виновным по двум эпизодам в суде для несовершеннолетних и благодаря этому избежал фактического тюремного заключения. Вместо этого он провел шесть месяцев под домашним арестом и отправил письменные извинения в Пентагон и НАСА. Будь Джеймс на два года старше, ему бы грозило не менее десяти лет тюрьмы.
Джонатан Джеймс взломал НАСА в 15 лет
Между тем, через несколько лет Джонатана Джеймса стали подозревать еще в одном компьютерном преступлении: в 2007 году была похищена информация о кредитных картах миллионов клиентов торговой сети TJX, и Секретная служба обыскала дом Джеймса, пытаясь обнаружить улики, привязывающие его к этому преступлению.
Несмотря на то что обвинение так и не предъявили, Джеймс был уверен, что попадёт в тюрьму, и (по официальной версии) совершил самоубийство. В оставленной им записке он заявил, что не верит в систему правосудия и видит в самоубийстве единственный способ сохранить контроль над ситуацией и избежать наказания за преступление, которого он не совершал. В интервью, которые Джеймс давал до кражи данных клиентов TJX, он заявлял о намерении открыть собственную фирму по компьютерной безопасности. Вместо этого в возрасте 24 лет он покончил с собой.
Кевин Поулсен и радиостанция KIIS-FM. Еще один бывший хакер, сменивший род занятий, как и Митник, на более безопасный. В восьмидесятых годах Поулсен специализировался на взломе телефонных линий и с легкостью манипулировал номерами и каналами разных операторов. Впервые Поулсен стал известен под псевдонимом Dark Dante в 1993 году после взлома системы управления телефонными линиями Лос-Анджелесской радиостанции KIIS-FM. В результате искусной блокировки линий он стал победителем нескольких конкурсов и как 102-й дозвонившийся «выиграл» автомобиль Porsche 944 S2.
Сейчас Поулсен занимает пост старшего редактора журнала Wired
В поле зрения ФБР Поулсен попал после взлома секретных баз данных, содержащих информацию по прослушиванию телефонных переговоров. В одной из документальных телевизионных программ Unsolved Mysteries, посвящённых нераскрытым преступлениям, промелькнуло его лицо, но сразу после этого необъяснимым образом все телефонные линии телеканала NBC вышли из строя, так что никто не смог дозвониться и опознать Поулсена.
Тем не менее охота, объявленная ФБР, принесла свои плоды: один из служащих супермаркета узнал Поулсена и заблокировал его в проходе магазина. Кевин был обвинён во взломе телефонных сетей и отмывании денег и приговорён к пяти годам заключения, после которых ему было запрещено прикасаться к компьютерам в течение трех лет.
После выхода из тюрьмы в 1998 году Поулсен занялся журналистикой и сегодня занимает пост старшего редактора онлайн-версии знаменитого журнала о компьютерных технологиях Wired.
Свен Олаф Камфиус и Spamhaus Project. Выходец из Голландии, владелец провайдера CyberBunker, предоставлявшего хостинг Pirate Bay, и видный деятель немецкой Пиратской партии, был арестован испанской полицией в апреле 2013 года после серии мощных кибератак, которые, по утверждению некоторых специалистов, угрожали работоспособности всего Интернета. Дело в том, что уже упомянутая компания CyberBunker и фирма CB3ROB, также принадлежащая Камфиусу, занимались хостингом не только торрент-трекеров, но и ботнетов, спамеров и прочих подозрительных предприятий.
Камфиус совершил атаку, которая угрожал работе всего Интернета
Массированная DDoS-атака на серверы Spamhaus Project последовала после того, как эта фирма, специализирующаяся на компьютерной безопасности, внесла CyberBunker и CB3ROB в свой «черный список». В ответ Камфиус объявил о создании группировки STOPhaus, в которую, по его утверждению, вошли хакеры не только США, Канады и Западной Европы, но также России, Украины и Китая. Как считает обвинение, при помощи умножения запросов через DNS-резолверы разных провайдеров группе STOPhaus удалось засыпать серверы Spamhaus Project запросами со скоростью более 300 Гбит/с, что чувствительно замедлило работу всего Интернета.
После ареста Камфиус заявил, что он не имеет отношения к этой атаке и что лишь публично представляет группу STOPhaus, но не участвует в ее деятельности. По его утверждению, ущерб от атаки на Spamhaus Project вообще многократно преувеличен. Сам он называет себя интернет-активистом и борцом против цензуры и всех тех, кто пытается контролировать Интернет.
Гэри Маккиннон и Минобороны США. Этот шотландец — самый известный британский хакер, экстрадиции которого с начала двухтысячных добиваются США, где ему грозит более 70 лет тюремного заключения. Впервые полиция Великобритании заинтересовалась Маккинноном в 2002 году, но благодаря общественной поддержке и некоторым другим обстоятельствам он до сих пор на свободе.
В США Маккиннона обвиняют в том, что в 2001 году он взломал почти сотню компьютеров, принадлежащих Министерству обороны и НАСА. По утверждению властей, получив доступ в систему, он удалил критически важные файлы и фактически парализовал работу сети военного ведомства США на целые сутки. Более того, Маккиннон якобы стер данные об американских вооружениях во взломанных компьютерах после террористических атак 11 сентября 2001 года и похитил некую критически важную информацию. По действующим в Великобритании законам за подобные правонарушения ему полагалось лишь шестимесячное заключение.
Сам Маккиннон утверждал, что искал в компьютерах американских военных свидетельства утаивания от общественности информации об НЛО и других потенциально полезных технологиях. Кроме того, он заявлял, что получил доступ к абсолютно не защищенным машинам и оставил множество записей обо всех обнаруженных уязвимостях на тех же самых компьютерах.
Федеральный суд в американском штате Виргиния в ноябре 2002 года официально обвинил Маккиннона в семи фактах компьютерных преступлений, и если бы Великобритания выдала его США, то взломщик вполне мог бы провести в тюрьме всю свою жизнь. После вступления в силу Акта об экстрадиции 2003 года казалось, что судьба хакера решена, но не тут-то было. Изменилось лишь то, что его обязали ежедневно отмечаться в полицейском участке и не выходить из дома по ночам.
В поддержку Маккиннона высказались Стинг, Борис Джонсон, Стивен Фрай
Защита настояла на медицинском обследовании Маккиннона, и у него были диагностированы синдром Аспергера (форма аутизма) и клиническая депрессия, способная спровоцировать самоубийство. На этом основании Маккиннон обратился в Европейский суд по правам человека, который сначала приостановил экстрадицию, но потом отказался ее заблокировать. В 2009 году Верховный суд выдал разрешение на экстрадицию, но общественный резонанс дела привел к тому, что она так и не состоялась. В поддержку хакера высказались многие известные личности — от музыкантов Стинга и Питера Гэбриэла до мэра Лондона Бориса Джонсона и актера Стивена Фрая.
В октябре 2012 года министр внутренних дел Тереза Мэй объявила о блокировании выдачи Маккиннона на основании того, что в случае экстрадиции риск для жизни обвиняемого настолько велик (он может покончить с собой), что такое решение противоречило бы правам человека. В дальнейшем было решено отказаться от уголовного преследования хакера и в Великобритании: формально — из-за сложностей с доказательствами, находящимися на территории США. Сейчас Маккиннон абсолютно свободен.
Владимир Леивн и Citibank. Российский хакер, который в 1994 году вывел из системы Citуbank $12 млн. Большую часть денег вернули их законным владельцам, но $250 тыс. так и не были найдены. Интересен тот факт, что на момент совершения преступления, в нашей стране не было статей в уголовном кодексе, предусматривающих наказание за киберпреступления, поэтому Левин был экстрадирован в США и находился под стражей 3 года.
Левин в 1994 году вывел из системы Citуbank $12 млн
Василий Горшков, Алексей Иванов и Paypal. Российские хакеры, которые были «активными пользователями интернета» в нулевых. Эти русские ребята смогли взломать платежную систему PayPal, Western Union и многое другое. Всего парни взломали 40 американских компаний в 10 штатах. В 2003 Горшков был приговорен к лишению свободы сроком на 3 года и денежному штрафу в размере $700 тыс. А Иванов был пойман и осужден в 2004 году, приговорен к 4 годам тюрьмы. Суд также проходил на территории США.
Самые знаменитые хакерские группы
Lizard Squad
Первое упоминание в СМИ о Lizard Squad появилось после того, как они положили серверы игр League of Legends и Call of Duty. Затем последовали более серьезные атаки — на Sony Playstation Network and Microsoft Xbox Live. Складывается впечатление, что у представителей этой группы персональная неприязнь к компании Sony. В августе 2014 года они даже разместили в Twitter угрозу взорвать самолет, в котором летел президент Sony Online Entertainment. К счастью, воздушное судно совершило экстренную посадку, и все обошлось без жертв.
Кроме того, Lizard Squad заявляют о своей связи с Исламским государством. Например, после атаки на Malaysia Airlines хактивисты опубликовали на сайте компании сообщение «Взломано Lizard Squad — официальным Киберхалифатом. ISIS победит». А несколькими месяцами ранее они разместили флаги ISIS на серверах Sony. Впрочем, вполне вероятно, что деятельность группы не имеет политической подоплеки, и упоминание ISIS нужно ей лишь для привлечения внимания масс-медиа.
После декабрьских атак на PSN и Xbox Live органы правопорядка Великобритании и США провели крупное совместное расследование, результатом которого стал арест 22-летнего мужчины из Туикенема и тинейджера из Саутпорта — предполагаемых членов Lizard Squad.
Anonymous
Anonymous — пожалуй, самая знаменитая хакерская группа всех времен. Это децентрализованное онлайн-сообщество, состоящее из десятков тысяч хактивистов, для которых компьютерные атаки — способ выражения протеста против социальных и политических явлений. Группа прославилась после многочисленных атак на правительственные, религиозные и корпоративные веб-сайты. Она атаковала Пентагон, угрожала разгромить Facebook, уничтожить мексиканский наркокартель Los Zetas и объявила войну саентологии.
В 2010 году Anonymous организовали масштабную акцию «Возмездие» (Operation Payback), обрушив атаки на системы Visa, MasterCard и PayPal. Причина — их отказ проводить платежи сайта WikiLeaks, основанного Джулианом Ассанжем. В 2011 году хактивисты публично поддержали движение против социального и экономического неравенства «Захвати Уолл-стрит» (Occupy Wall Street), атаковав сайт Нью-йоркской фондовой биржи.
В 2010 году Anonymous обрушили атаки на системы Visa, MasterCard и PayPal
С 2009 года за причастность к деятельности Anonymous были арестованы десятки человек в США, Великобритании, Австралии, Нидерландах, Испании и Турции. Представители группировки осуждают подобные преследования и называют своих пойманных единомышленников мучениками. Девиз хактивистов: «Мы — Anonymous. Мы — легион. Мы не прощаем. Ждите нас».
LulzSec
LulzSec (аббревиатура Lulz Security) — организация, «ради смеха» совершавшая атаки на сервера компаний, считавшиеся наиболее надежно защищенными. Изначально она состояла из семи участников, работавших под девизом «Смеемся над вашей безопасностью с 2011 года». Дата была выбрана неслучайно: в 2011 году уже прославившиеся на тот момент Anonymous провели крупную атаку на компанию HBGary Federal. Позже этот инцидент возглавил рейтинг самых громких киберпреступлений по версии журнала Forbes. Название хакерской группы — «Lulz» — производная от LOL (Laughing Out Loud).
В числе первых атак LulzSec — кража паролей Fox.com, LinkedIn и 73 тысяч участников конкурса X Factor. В 2011-ом они скомпрометировали аккаунты пользователей ресурса Sony Pictures и вывели из строя официальный сайт ЦРУ.
После успешных атак LulzSec традиционно оставляли на ресурсах колкие послания, в результате чего некоторые эксперты склонны считать их скорее интернет-шутниками, нежели серьезными кибервоителями. Однако сами представители группировки заявляли о том, что способны на большее.
В июне 2011 года LulzSec распространила сообщение о самороспуске. Тем не менее, через месяц хакеры совершили новую атаку — на этот раз на газету компании News Corporation. Они взломали сайт The Sun и разместили на главной странице новость о кончине ее владельца Руперта Мердока.
Основные участники LulzSec были арестованы в 2012 году. Информатором ФБР стал 28-летний лидер группы Гектор Ксавье Монсегюр, имевший сетевое имя Sabu. В своей речи прокурор Сандип Патель отметил, что хакеры не были движимы политическими идеями, как Anonymous, и назвал их «пиратами наших дней».
Syrian Electronic Army
Цель хакерской группы Syrian Electronic Army (SEA) — поддержка президента Сирии Башара Асада. Мишенями злоумышленников чаще всего становятся ресурсы политических оппозиционных групп, правозащитных организаций и западные новостные сайты.
Природа связи группировки с правительством Сирии остается неясной. На своем сайте SEA описывает себя как «группу молодых сирийских энтузиастов, которые не могут оставаться равнодушными к повсеместному искажению фактов о восстании в Сирии». Между тем, ряд экспертов утверждает, что организация ведет свою деятельность под контролем сирийского правительства.
Среди приемов, которыми пользуются SEA, — традиционные DDoS-атаки, рассылка спама, фишинг и распространение вирусов. На главной странице атакуемого сайта они, как правило, размещают политические послания и сирийский флаг. Жертвами сирийских компьютерщиков уже стали The Independent, The Daily Telegraph, Evening Standard, The Daily Express, Forbes, Chicago Tribune, CBC, La Repubblica и некоторые другие издания. Участники Syrian Electronic Army также атаковали Facebook-аккаунты Барака Обамы и Николя Саркози.
За последнюю неделю многие из нас впервые услышали о хакерах из Lizard Squad, которые уже успели взять на себя ответственность за две нашумевшие DDoS -атаки: на сайт Malaysia Airlines, который стал перенаправлять пользователей на страницу с надписью «404 – самолет не найден», и на Facebook, который был недоступен в течение целых 40 минут.
Facebook, однако, опроверг слухи о хакерском нападении; вместо этого причиной неполадок в работе сайта была названа ошибка разработчиков. Malaysia Airlines также уже успели заверить пользователей, что сайт не взламывали, просто временно перевели на другое доменное имя.
И все же, кто такие Lizard Squad? Очередные «хактивисты», пытающиеся донести свою политическую программу, или группа развлекающихся подростков? Представляют ли они реальную угрозу или сильны только на словах? И каково их место среди других хакерских группировок? Ниже мы расскажем о хакерах, громче всего заявивших о себе в последнее время.
Lizard Squad приобрели известность после атак, совершенных на крупнейшие IT-компании, среди которых Sony, Microsoft и Facebook. Впервые широкая публика услышала о них в августе 2014-го, когда они взломали несколько он-лайн игр, в том числе League of Legends и Destiny. За ними последовали более значительные атаки на Sony"s Playstation Network и Microsoft"s Xbox Live.
Складывается впечатление, что у хакеров личные счеты с Sony. В августе 2014-го они сообщили о бомбе на борту лайнера, которым должен был лететь один из президентов компании. В результате самолет совершил аварийную посадку.
Кроме того, группировка намекает на свою причастность к Исламскому государству. Во время атаки на Malaysia Airlines они назвали себя «Кибер-Халифатом» (так же называется хакерское подразделение Исламского государства). Более того, в августе они установили флаг ИГИЛ на серверах Sony.
На первый взгляд, Lizard Squad руководствуются исключительно политическими мотивами, однако, весьма вероятно, что гораздо важнее для них продемонстрировать возможности своего сервиса Lizard Stresser. Таким образом, заявления о связи с Исламским государством могут быть не чем иным, как попыткой привлечь более пристальное внимание СМИ.
После нападений на PSN и Xbox Live власти Америки и Великобритании провели расследование, которое закончилось арестом 22-летнего жителя Твикенхема и подростка из Саутпорта (Британия).
Вероятно, самая известная хакерская организация, Anonymous - это децентрализованное объединение десятков тысяч «хактивистов», которые совместными усилиями взламывают сайты, выражая таким образом свой протест.
Группа получила известность после атак на ряд крупных политических, религиозных и корпоративных ресурсов. В числе их достижений - взлом сайта Пентагона, угрозы в адрес Facebook и Los Zetas, мексиканской наркокартели, и объявление войны Саентологической Церкви.
В 2010 году Anonymous начали операцию Payback, после того как Visa, MasterCard, PayPal и другие компании отказались обслуживать WikiLeaks. Они также открыто поддержали движение «Захвати Уолл-стрит» в 2011-м, атаковав сайт Нью-Йоркской биржи.
Начиная с 2009 года, по подозрению в причастности к Anonymous в Америке, Великобритании, Австралии, Нидерландах, Испании и Турции было арестовано множество людей. Однако организация протестует против преследований, называя арестованных «мучениками движения».
Девиз группы гласит: «Мы — Anonymous. Имя нам — легион. Мы не прощаем. Мы не забываем. Ждите нас».
LulzSec (сокращенно от Lulz Security) образовалась вскоре после взлома компании HBGary Federal в 2011 году и изначально была филиалом Anonymous. Основной движущей силой группы стали семь человек, которые выбрали своим девизом фразу «Смеемся над вашей безопасностью с 2011 года».
Первую атаку группа совершила на Fox.com, украв несколько паролей, аккаунты LinkedIn и имена 73 тысяч участников шоу X-Factor. В 2011 они пошли дальше, взломав сайт ЦРУ.
LulzSec прославились благодаря крупным организациям, которые они выбирают в качестве целей, и язвительным сообщениям, которые оставляют на сайтах после взлома. Некоторые эксперты расценивают активность организации скорее как пранкинг, чем как реальную угрозу, но участники группировки утверждают, что способны и на более серьезные шаги.
В 2011 году группа опубликовала заявление «50 дней лулза», в котором заявила о самороспуске. Однако 18 июля они совершили еще одну атаку на газеты, принадлежащие холдингу News Corporation, наполнив их фальшивыми новостями о смерти владельца компании Руперта Мердока.
В 2012 году ФБР арестовала основных участников по доносу лидера группы Гектора Монсегура, известного под ником Sabu. По словам прокурора Сандипа Патела, хакерам не хватило политических амбиций Anonymous и они возомнили себя «современными пиратами».
Сирийская Электронная Армия (SEA) открыто заявила о том, что поддерживает правительство нынешнего президента Сирии Башара аль-Асада. Их основная цель - политическая оппозиция и западные сайты, особенно новостные ресурсы и организации по борьбе за права человека.
Не очень понятны взаимоотношения группировки с сирийским правительством. На официальном сайте SEA называет себя «группой молодых сирийских энтузиастов, которые не могут спокойно реагировать на искажение фактов о недавних восстаниях». Некоторые эксперты полагают, что хакеры действительно могут получать финансирование от властей.
Основные методы SEA - спам, дефейс, фишинг и распространение вредоносных программ. Часто хакеры заменяют веб-страницу компании на сообщения в поддержку нынешнего правительства или изображение сирийского флага.
Сирийцы уже успели взломать страницы Барака Обамы и Николя Саркози в Facebook, а также Twitter-аккаунты новостных агентств и IT-компаний. При этом сообщения, которые они оставляют после взлома, сильно различаются по стилю: среди них есть как серьезные и открыто политические, так и иронические.
Российские хакеры печально известны за свои сомнительные навыки: начиная со злого программиста и заклятого врага Джеймса Бонда из «Золотого глаза» и заканчивая крупнейшим киберпреступлением в американской истории . И в то время как хакеры из других стран довольно часто могут быть мотивированы какой-либо идеологией, большинство российских киберпреступников заработали репутацию цифровых карманников, более заинтересованных в чистке чужих банковских счетов, нежели публичных заявлениях.
И хотя давно принято считать, что большинство хакеров являются просто мошенниками, киберпреступлением до сих пор часто восхищаются за ту технику и интеллект, которое оно несёт, создавая пьянящий коктейль из искусства, науки и преступных намерений. И хотя российские хакеры могут быть менее активны, чем их китайские и латиноамериканские коллеги, качество атак делает их мировыми лидерами в этой области. Вот некоторые из российских имен, которые посеяли панику в мире кибербезопасности.
1. Анонимный интернационал
Эта хакерская группировка также известна под именем «Шалтай-Болтай» (в западном фольклоре аналогичный персонаж носит имя Humpty-Dumpty). Будучи, вероятно, наиболее известной хакерской группировкой в России в настоящее время, Анонимный интернационал взял на себя ответственность за крупную серию недавних кибератак и утечек документов. Хакеры опубликовали личные архивы электронной почты нескольких российских государственных деятелей и украли различные секретные документы (например, отчеты о шпионаже за лидерами оппозиции после протестов в Москве). Но их самое известное деяние - это взлом твиттера премьер-министра Дмитрия Медведева и размещение нескольких юмористических твитов от его имени в течение получаса, пока представители Медведева прилагали все мыслимые усилия, чтобы вернуть контроль над учетной записью. Свою заинтересованность они не мотивируют жаждой к деньгам. Однако, поскольку группа является очень скрытной, многие все же сомневаются в её методах, мотивах и моральном облике. На сайте группировке размещён архив украденных файлов, за что он и заблокирован Роскомнадзором. Тем не менее, его можно просмотреть посредством VPN.
2. Владимир Левин
Левин, биохимик из Санкт-Петербурга, является культовой фигурой российской киберпреступности и считается одним из отцов хакинга. В 1994 году Левин с командой сообщников получили доступ к Citibank`у и перевели более $10 млн на различные счета в разных странах. Левин был оперативно пойман и осуждён в 1998 году в США. Это был большой спектакль. Левин не знал английского во время совершения преступления (он выучил язык в тюрьме в Америке. Помимо компьютерных технологий это был единственный освоенный им навык), а журналисты описывали его как «что-то среднее между хиппи и Распутиным». После того как Левин был признан виновным, различные хакерские группировки из Санкт-Петербурга заявили, что это именно они получили доступ к Citibank, который позже продали Левину за сто долларов.3. Игорь Клопов
История Клопова похожа на Аферу по-американски, но отмеченную наивным восприятием Американской мечты. 24-летний выпускник МГУ использовал для поиска своих целей список 400 богатейших людей планеты по версии Forbes. Затем в Москве он со своего ноутбука находил себе американских пособников, обещая им деньги, отдых в пятизвёздочных отелях и лимузины. Используя то, что государственный обвинитель позже назовёт «комбинацией умных и проверенных временем Интернет-техник, таких как, например, подделка водительского удостоверения», Клопов и его сообщники похитили $1.5 миллиона и попытались украсть ещё $10 млн, на чём и были пойманы. Игорь Клопов признал вину и в 2007 году был приговорён к тюремному заключению.
4. Koobface gang
В отличие от большинства других хакеров в этом списке, члены Koobface (анаграмма Facebook) Gang – все, как выяснилось впоследствии, россияне из Санкт-Петербурга – не атаковали компании или людей напрямую. Вместо этого, они создали компьютерного червя, которого запустили в различные социальные сети (Facebook, Skype, Gmail, Yahoo Messenger и многие другие), чтобы заразить аккаунты пользователей и украсть их персональные данные. Расследование преступлений группировки пролило свет на хитроумные системы, из-за которых полиция даже не могла оценить ресурсы, необходимые для того, чтобы разобраться в её деятельности: «все доходы были получены от тысяч отдельных микро-транзакций, составляющих не более доли копейки каждая. При этом жертвы были разбросаны по десяткам национальных юрисдикций». Червь Koobface заманивал пользователей ссылками с подписями вроде «Вы должны посмотреть это видео!» или «Вы не поверите, что ваш друг Х сказал про вас!» - стратегия, популярная среди хакеров. Червь был обнаружен и прекратил свою работу в 2012 году, после того как имена членов Koobface Gang были обнародованы в СМИ.5. Владислав Хорохорин
Скрываясь под ником BadB, Хорохорин открыл два интернет-магазина, занимающихся продажей данных владельцев банковских карт. Рекламный ролик демонстрирует мультяшного BadB в шапке ушанке, продающего информацию о кредитных картах нарисованных персонажей, среди которых присутствуют Джордж Буш и Кондолиза Райс. Он вел свой нелегальный бизнес на протяжении 8 лет, прежде чем был задержан в 2010 году во Франции. Комментарии вроде «Покойся с миром BadB» под его промо-роликом на Youtube только подтверждают статус Хорохорина, как преуспевающего хакера. После своего задержания, Хорохорин нанял известного нью-йорского адвоката Аркадия Буха, специализирующегося на киберпреступлениях. Бух утверждал, что Хорохорин не является BadB, и в интервью Forbes заявил, что его клиент заработал свои миллионы будучи дилером Tesla Motors в Москве. В Tesla, которая никогда не имела дилеров в России, опровергли это заявление. В 2013 году Хорохорин был приговорён к 88 месяцам тюрьмы и выплате $125 739 в качестве компенсации.Об обнаружении малоизученной хакерской группировки, которая атакует банки подобно Cobalt или MoneyTaker.
Группировка
Первые следы хакерской группы, получившей название Silence, эксперты Group-IB обнаружили еще в июне 2016 года. Отчет гласит, что тогда киберпреступники только начинали пробовать свои силы.
Одной из первых целей Silence стал банк в России, который они попытались атаковать через АРМ КБР (Автоматизированное рабочее место клиента Банка России). После чего хакеры надолго «замолчали». Позже выяснилось, что это - стандартная практика для Silence. Они атакуют избирательно, а между инцидентами проходит около трех месяцев, что втрое больше, чем у других групп, специализирующихся на целевых атаках, например, у MoneyTaker, Anunak (Carbanak), Buhtrap или Cobalt.
Исследователи считают, что причина кроется в крайне малочисленном составе Silence. Впервые за всю практику киберразведки и расследований киберпреступлений специалисты Group-IB столкнулись с такой структурой и ролевым распределением в группе. Silence постоянно анализируют опыт других преступных групп, пробуют применять новые техники и способы краж из различных банковских систем, включая АРМ КБР, банкоматы, карточный процессинг. Менее чем за год объем хищений Silence вырос в пять раз.
Рабочая версия экспертов предполагает, что в команде Silence четко прослеживаются всего две роли - оператора и разработчика. Вероятно, оператор является лидером группы, по характеру действий он - пентестер, хорошо знакомый с инструментарием для проведения тестов на проникновение в банковскую инфраструктуру. Эти знания позволяют группе легко ориентироваться внутри атакуемого банка. Именно оператор получает доступ к защищенным системам внутри банка и запускает процесс хищений.
Разработчик параллельно является реверс-инженером с достаточно высокой квалификацией. Его академические знания о том, как создаются программы, не мешают ему делать ошибки в коде. Он отвечает за разработку инструментов для проведения атак, а также способен модифицировать сложные и чужие программы. При этом для патчинга он использует малоизвестный троян, ранее не встречавшийся ни у одной другой группы. Кроме того, он знает технологии работы банкоматов и имеет доступ к сэмплам вредоносного ПО, которые, как правило, содержатся в базах компаний, занимающихся информационной безопасностью.
Исследователи отмечают, что еще в начале своего пути, летом 2016 года, Silence не имела навыков взлома банковских систем и в процессе своих первых операций училась прямо по ходу атаки. Члены группы внимательно анализировали опыт, тактику, а также инструменты других преступных групп. Они постоянно пробовали применять на практике новые техники и способы краж из различных банковских систем, в числе которых АРМ КБР, банкоматы, карточный процессинг.
Навыки в области реверс-инжиниринга и пентеста, уникальные инструменты, которые хакеры создали для взлома банковских систем, выбор неизвестного трояна для патчинга, а также многочисленные ошибочные действия подтверждают гипотезу о том, что бэкграунд Silence, скорее всего, легитимный. Как минимум один из хакеров работал (или продолжает работать) в компании, специализирующейся на информационной безопасности.
Как и большинство финансово-мотивированных APT-групп, участники Silence говорят по-русски, о чем свидетельствуют язык команд программ, приоритеты по расположению арендуемой инфраструктуры, выбор русскоязычных хостеров и локация целей преступников:
Команды трояна Silence - русские слова, набранные на английской раскладке:
- htrjyytrn > reconnect > реконнект;
- htcnfhn > restart > рестарт;
- ytnpflfybq > notasks > нетзадач.
Цели
Основные цели группы также находятся в России, хотя фишинговые письма отправлялись также сотрудникам банков в более чем 25 странах. Успешные атаки Silence ограничиваются странами СНГ и Восточной Европой, а основные цели находятся в России, Украине, Белоруссии, Азербайджане, Польше, Казахстане. Тем не менее, единичные фишинговые письма отправлялись также сотрудникам банков в более чем 25 странах Центральной и Западной Европы, Африки и Азии: Киргизия, Армения, Грузия, Сербия, Германия, Латвия, Чехия, Румыния, Кения, Израиль, Кипр, Греция, Турция, Тайвань, Малайзия, Швейцария, Вьетнам, Австрия, Узбекистан, Великобритания, Гонконг и другие.
Хронология атак Silence выглядит следующим образом:
- 2016 год, июль - неудачная попытка вывода денег через российскую систему межбанковских переводов АРМ КБР. Злоумышленники получили доступ к системе, но атака сорвалась из-за неправильной подготовки платежного поручения. В банке остановили подозрительную транзакцию и провели реагирование собственными силами, постаравшись устранить последствия атаки. Это привело к новому инциденту.
- 2016 год, август - новая попытка взлома того же банка. Спустя всего месяц (!), после провала с АРМ КБР, хакеры восстанавливают доступ к серверам этого банка и предпринимают повторную попытку атаковать. Для этого они загрузили программу для скрытого создания скриншотов экрана пользователя и начали изучать работу операторов по псевдовидеопотоку. На этот раз банк принял решение о привлечении экспертов Group-IB для реагирования на инцидент. Атака была предотвращена. Однако восстановить полную хронологию инцидента не удалось, так как при попытке самостоятельно очистить сеть, ИТ-служба банка удалила большую часть следов активности злоумышленников.
- 2017 год, октябрь - первый известный успешный случай вывода денег этой группой. На этот раз Silence атаковали банкоматы. За одну ночь им удалось похитить 7 000 000 рублей. В этом же году они проводили DDoS-атаки с помощью Perl IRC бота, используя публичные IRC чаты для управления троянами. После неудачной атаки через систему межбанковских переводов в 2016 году преступники больше не пытались вывести деньги через нее, даже имея доступ к серверам АРМ КБР.
- 2018 год февраль - успешная атака через карточный процессинг: за выходные злоумышленникам удалось снять с карточек через банкоматы партнера банка 35 000 000 рублей.
- 2018 год, апрель - уже через два месяца группа возвращается к прежней схеме и выводит деньги через банкоматы. Им удается за одну ночь «вынести» порядка 10 000 000 рублей. На этот раз созданные Silence программы были усовершенствованы: избавлены от лишних функций и прежних ошибок.
Инструменты и инфраструктура
По данным Group-IB, во время первых операций хакеры Silence использовали чужие инструменты и учились буквально по ходу атаки. Однако со временем они перешли от использования чужих инструментов к разработке собственных и значительно усовершенствовали тактику.
В первых операциях киберпреступники патчили чужой малораспространенный бэкдор Kikothac. Они выбрали троян, известный с ноября 2015 года, реверс и реализация серверной части которого не требовали много времени. Использование чужого бэкдора позволяет предположить, что группировка начала работу без предварительной подготовки, и первые операции были лишь попыткой проверить свои силы.
Позже преступники разработали уникальный набор инструментов для атак на карточный процессинг и банкоматы, который включает в себя самописные программы:
- Silence - фреймворк для атаки на инфраструктуру.
- Atmosphere - набор программ для «потрошения» банкоматов.
- Farse - утилита для получения паролей с зараженного компьютера.
- Cleaner - инструмент для удаления логов удаленного подключения.
Заимствованные инструменты:
- Smokebot - бот для проведения первой стадии заражения.
- Модифицированный Perl IRC DDoS bot, основанный на Undernet DDoS bot, для осуществления DDoS-атак.
Оператор проводит атаки с Linux-машины с использованием утилиты WinExe (Linux аналог PSExec), которая может запускать программы на удаленном узле через SMB-протокол. После закрепления в системе троян Silence устанавливает stagerMeterpreter на зараженную систему. Для доступа к скомпрометированным компьютерам киберпреступники используют RAdmin - программу, которую в некоторых банках устанавливают сами администраторы для удаленного управления рабочими станциями.
Арендованные злоумышленниками серверы для осуществления фишинговых атак находятся в Россиии Нидерландах. Под командные центры они используют услуги хостинга с Украины, который позволяет размещение практически любого контента, в том числе запрещенной информации, вредоносных приложений и файлов. Также несколько серверов Silence арендовали в MaxiDed, инфраструктура которого была заблокирована Европолом в мае 2018 года.
Вначале для рассылок фишинговых писем группа использовала взломанные серверы и скомпрометированные учетные записи, однако позже преступники начали регистрировать фишинговые домены и создавать для них самоподписанные сертификаты.
Чтобы обойти системы фильтрации писем, они используют DKIM и SPF. Письма отправляются от имени банков, у которых не был настроен SPF, с арендованных серверов с подмененными заголовками. Злоумышленники составляли полные грамотные тексты для писем и отправляли их от имени сотрудников банка, чтобы повысить шанс успешности атаки.
Во вложении письма содержались эксплоиты под MS Office Word с decoy документами CVE-2017-0199, CVE-2017-11882 + CVE-2018-0802, CVE-2017-0262, а также CVE-2018-8174. Помимо эксплоитов рассылались письма с вложенными CHM-файлами, что встречается достаточно редко, а также с ярлыками.LNK, запускающими Powershell-скрипты и JS-скрипты.
«Silence во многом переворачивает представление о киберпреступности: по характеру атак, инструментам, тактике и даже составу группы, очевидно, что за этими преступлениями стоят люди, в недавнем прошлом или настоящем занимающиеся легальной работой – пентестами и реверс-инжинирингом, – комментирует Дмитрий Волков, технической директор и глава направления киберразведки Group-IB. – Они тщательно изучают деятельность других киберпреступников, анализируют отчеты антивирусных и Threat Intelligence компаний, что не мешает им делать множество ошибок и учиться прямо по ходу атаки. Ряд инструментов Silence – легитимны, другие разработали они сами, взяв на вооружение опыт других групп. Изучая деятельность Silence, мы предположили, что вероятнее всего это пример того, как whitehat становятся blackhat. Интернет, в особенности, его андеграудная часть, открывают немало возможностей для таких метаморфоз, киберпреступником сегодня стать намного легче, чем 5-7 лет назад: можно арендовать серверы, модифицировать имеющиеся эксплоиты, использовать легальные утилиты. Это значительно усложняет работу форензик-экспертов, но сильно упрощает возможность встать на путь хакера».