13 октября было объявлено, что хакеры взломали Twitter-аккаунт главы избирательного штаба Хилари Клинтон Джона Подесты, от его имени призывая голосовать за соперника-республиканца Дональда Трампа. Ранее штаб Клинтон уже подвергался нападению. Предполагается, что за взломом компьютерных систем летом этого года стоят российские хакеры.
27 июня 2016 года группа хакеров OurMine взломала аккаунт гендиректора Google Inc. Сундара Пичаи в сервисе Quora. Также предполагается, что 13 сентября именно российские хакеры взломали компьютерные системы всемирного антидопингового агентства (ВАДА). Из полученной информации мир узнал о том, что американские спортсмены принимали допинг с разрешения врачей. На сегодняшний день последняя известная атака связана со взломом сайта МИДа РФ 23 октября. Взломавший сайт хакер написал: «Завязывайте».
Существует огромное количество хакеров, которые используют свои глубокие знания компьютерных систем с совершенно разными целями. Например, в 2014 году хакеры из группировки Lizard Squad атаковали Microsoft и Sony, из-за чего миллионы игроков не могли поиграть в свои игры по сети.
Другие хакеры крадут базы с данными аккаунтов пользователей, как это случилось в сентябре 2014 года, когда мошенники украли данные 500 млн пользователей у интернет-компании Yahoo. Некоторые хакеры сидят в своих гаражах с ноутбуками и крадут данные банковских карт ради получения лёгких денег, а другие получают зарплату и помогают работодателям защищаться от других хакеров.
Один из самых знаменитых хакеров нашего времени, Эдвард Сноуден, работал на Агентство Национальной Безопасности США и принимал участие в программе слежки за миллионами американцев. Однако чувство справедливости перевесило, и Сноуден рассказал обо всех преступлениях АНБ миру. Возрастные хакеры, устав от такой жизни, занимаются консультированием компаний и простых людей по вопросам компьютерной безопасности.
В 2010 году стало известно о том, что предполагаемые американские или израильские хакеры запустили в компьютерную сеть иранских атомных станций и урановых обогатительных фабрик вирус Staxnet. Вирус саботировал работу центрифуг, которые применяются для обогащения урановой руды, чтобы впоследствии возможно было создать топливо для ядерных силовых установок. Сегодня Иран улучшает отношения с внешним миром и проходит через процедуру снятия экономических санкций. Не в последнюю очередь это заслуга анонимных хакеров на государственной зарплате. Вашему вниманию — топ наиболее активных мировых хакерских групп.
Бюро 121
Про северокорейскую хакерскую группу «Бюро 121» катастрофически мало информации. Известно, что эти люди входят в состав армии Северной Кореи и выполняют для государства задания, связанные с кражей и поиском информации, а также защитой компьютерных систем страны от зарубежных хакеров. Также северокорейские хакеры атакуют и другие страны, в частности, Южную Корею. Атакам подвергаются южнокорейские игровые сервисы, сайты государственных учреждений, ведущих компаний, банков.
Предполагается, что специалисты из «Бюро 121» принимали участие в атаках на серверы японской компании Sony в ноябре 2014 года.
Известно, что северокорейское государство вербует молодых хакеров в северокорейском Университете Автоматизации. В состав группы входит около 1800 молодых людей, которые действуют по всему миру, в том числе и за пределами Северной Кореи. Необходимость деятельности за границами страны объясняется крайне слабой информационной инфраструктурой Северной Кореи.
Chaos Computer Club (ССС)
Chaos Computer Club является очень старой хакерской группой. Она основана ещё в 1981 году немецкими хакерами. На сегодняшний день это очень крупная сеть, которая объединяет преимущественно немецкоговорящих хакеров.
Данная группа впервые консультировалась перед своими атаками с юридическими экспертами, чтобы убедиться в том, что их действия являются законными.
Это говорит о том, что у этих людей есть свой определённый кодекс поведения. Отчасти их стратегия законности обеспечила группе выживание на такой длительный период времени. Однако не все в этой огромной группе действовали исключительно в рамках закона, потому что CCC является по большей части дезорганизованной группой. Хакеры CCC стали известны в 1980-х гг, когда уведомили компанию Deutsche Bundespost (бывшая немецкая почтовая компания) о том, что их компьютерные системы недостаточно надёжны, что делало их лёгкой мишенью для ранних корыстных хакеров. Провайдер Deutsche Bundespost высокомерно заявил, что всё в порядке. Активисты CCC доказали, что провайдер ошибается, когда украли со счетов почтовиков 134 000 немецких марок. Деньги были возвращены на следующий день после атаки.
Морфо
Морфо или «Дикий Нейтрон» является хорошо спонсируемой группой высококлассных хакеров, которые с 2011 года выполняли заказы для фармацевтических, инвестиционных и технологических компаний.
Однако это не государственная группа, потому что их деятельность обычно связана с кражей инсайдерской информации ради денег.
Структура Морфо очень интересна. Морфо включает в себя множество мелких групп, которые пользуются высококлассным ПО и техникой. Их сети рассредоточены, для оплаты хостинг-провайдера они пользуются биткоинами, а также используют множество сложных виртуальных машин.
Сирийская электронная армия
Сирийская электронная армия (СЭА) — группа хакеров, которая симпатизирует правительству Сирии, а также связана с Ираном и террористической группировкой «Хезболла». Часто их атаки направлены на саботирование западных СМИ. Также хакеры СЭА используют свои знания для поиска повстанцев и оппозиционных сил.
Специалисты СЭА очень изобретательны. Например, одним твитом, который они отправили с Twitter-аккаунта президента Обамы, они кратковременно обрушили индекс Доу Джонса на нью-йоркской бирже.
Хакеры написали, что президент Барак Обама был ранен при взрыве бомбы в Белом Доме. Также СЭА написали твит от лица аккаунта BBC, что саудовские метеостанции пострадали от столкновения с верблюдом. Специалисты по компьютерной безопасности предполагают, что хакеры СЭА могут быть из Ирана, так как хорошо разбираются в разговорном английском и юморе. Вероятно, все иранцы разбираются в этих вопросах, раз специалисты делают такие выводы.
Анонимус
Анонимус является наиболее известной группировкой хакеров в интернете. Преимущественно состоит из американцев. Организация зародилась на форуме 4chan в 2003 году и с тех пор выросла в довольно серьёзную силу в интернете. В качестве универсального символа они используют условное изображение героя английской истории Гая Фокса, которое породила фантазия создателей комикса «V — значит вендетта». Структура Анонимуса децентрализована — организация не прекращала свою работу и атаки даже тогда, когда многие участники оказывались арестованы. Многие акции Анонимуса были либеральными или антигосударственными. Активисты выступают за отмену государственного контроля интернета и цензуры.
Наиболее известные акции Анонимуса связаны с борьбой с детской порнографией и церковью Саентологии.
У анонимуса нет лидера, это коллективный разум. Связано это с тем, что один единственный человек является слабым звеном в любой система, и особенно опасно, если этот человек даст слабину. Из-за его эго, тщеславия и корысти могут пострадать многие. Анонимус — это прежде всего идея. Эта идея позволила данной организации просуществовать так долго.
Тарх Андишан
Тарх Андишан — это реакция правительства Ирана на атаку вируса Staxnet. После этого инцидента иранское государство осознало реальную опасность киберугроз. В связи с этим было принято решение модернизировать иранский сетевой щит. Модернизация пошла двумя путям: было создано подразделение сетевой борьбы под название Тах Андишан, а также Аякс, которое сформировали из уже имеющихся активистов хакеров в стране. Наиболее известная акция группировки Аякс называлась «Операция Шафран», в рамках которой хакеры пытались получить доступ к секретным американским данным оборонной промышленности через фишинговую атаку.
Тарх Андишан в представлении простых людей — крайне опасные террористы, так как они, подобно киногероям боевиков, заполучили доступ к системам управления воротами терминала аэропортов в Южной Корее, Пакистане и Саудовской Аравии.
Эта атака позволила им обманывать системы безопасности аэропортов подменяя личные данные людей. Также хакеры Тарх Андишан взламывали промышленные объекты нефтегазовых компаний и телекоммуникационную инфраструктуры различных организаций.
Драгонфлай
Драгонфлай является спонсируемой государством группой хакеров из России и стран Восточной Европы. Их основные цели — это электрические сети, энергетическая индустрия, и командные системы государств Европы и США. Драгонфлай обозначается как постоянно активная угроза. Активисты Драгонфлай внедряли трояны в легально распростроняемое программное обеспечение для промышленных систем управления, что очень похоже на вирус Staxnet. Данное вредоносное ПО может нарушать работы многих промышленных и инфраструктурных объектов, что делает группировку Драгонфлай крайне опасным противником.
APT28/ Fancy Bear / Sofacy / Pawn storm / Sednit
Группа хакеров, которая, по мнению экспертов, действует преимущественно с часового пояса России с подачи российского правительства. Цели организации представляют интерес для России и при работе хакеры этой организации используют весьма современные и качественные методы, что и доказал недавний взлом WADA. В своё время хакеры взламывали системы НАТО, правительства Польши, различных грузинских министерств и компьютерные системы ОБСЕ. Примечательно, что хакеры активны на территории, где не действует договор о выдаче преступников США.
Об обнаружении малоизученной хакерской группировки, которая атакует банки подобно Cobalt или MoneyTaker.
Группировка
Первые следы хакерской группы, получившей название Silence, эксперты Group-IB обнаружили еще в июне 2016 года. Отчет гласит, что тогда киберпреступники только начинали пробовать свои силы.
Одной из первых целей Silence стал банк в России, который они попытались атаковать через АРМ КБР (Автоматизированное рабочее место клиента Банка России). После чего хакеры надолго «замолчали». Позже выяснилось, что это - стандартная практика для Silence. Они атакуют избирательно, а между инцидентами проходит около трех месяцев, что втрое больше, чем у других групп, специализирующихся на целевых атаках, например, у MoneyTaker, Anunak (Carbanak), Buhtrap или Cobalt.
Исследователи считают, что причина кроется в крайне малочисленном составе Silence. Впервые за всю практику киберразведки и расследований киберпреступлений специалисты Group-IB столкнулись с такой структурой и ролевым распределением в группе. Silence постоянно анализируют опыт других преступных групп, пробуют применять новые техники и способы краж из различных банковских систем, включая АРМ КБР, банкоматы, карточный процессинг. Менее чем за год объем хищений Silence вырос в пять раз.
Рабочая версия экспертов предполагает, что в команде Silence четко прослеживаются всего две роли - оператора и разработчика. Вероятно, оператор является лидером группы, по характеру действий он - пентестер, хорошо знакомый с инструментарием для проведения тестов на проникновение в банковскую инфраструктуру. Эти знания позволяют группе легко ориентироваться внутри атакуемого банка. Именно оператор получает доступ к защищенным системам внутри банка и запускает процесс хищений.
Разработчик параллельно является реверс-инженером с достаточно высокой квалификацией. Его академические знания о том, как создаются программы, не мешают ему делать ошибки в коде. Он отвечает за разработку инструментов для проведения атак, а также способен модифицировать сложные и чужие программы. При этом для патчинга он использует малоизвестный троян, ранее не встречавшийся ни у одной другой группы. Кроме того, он знает технологии работы банкоматов и имеет доступ к сэмплам вредоносного ПО, которые, как правило, содержатся в базах компаний, занимающихся информационной безопасностью.
Исследователи отмечают, что еще в начале своего пути, летом 2016 года, Silence не имела навыков взлома банковских систем и в процессе своих первых операций училась прямо по ходу атаки. Члены группы внимательно анализировали опыт, тактику, а также инструменты других преступных групп. Они постоянно пробовали применять на практике новые техники и способы краж из различных банковских систем, в числе которых АРМ КБР, банкоматы, карточный процессинг.
Навыки в области реверс-инжиниринга и пентеста, уникальные инструменты, которые хакеры создали для взлома банковских систем, выбор неизвестного трояна для патчинга, а также многочисленные ошибочные действия подтверждают гипотезу о том, что бэкграунд Silence, скорее всего, легитимный. Как минимум один из хакеров работал (или продолжает работать) в компании, специализирующейся на информационной безопасности.
Как и большинство финансово-мотивированных APT-групп, участники Silence говорят по-русски, о чем свидетельствуют язык команд программ, приоритеты по расположению арендуемой инфраструктуры, выбор русскоязычных хостеров и локация целей преступников:
Команды трояна Silence - русские слова, набранные на английской раскладке:
- htrjyytrn > reconnect > реконнект;
- htcnfhn > restart > рестарт;
- ytnpflfybq > notasks > нетзадач.
Цели
Основные цели группы также находятся в России, хотя фишинговые письма отправлялись также сотрудникам банков в более чем 25 странах. Успешные атаки Silence ограничиваются странами СНГ и Восточной Европой, а основные цели находятся в России, Украине, Белоруссии, Азербайджане, Польше, Казахстане. Тем не менее, единичные фишинговые письма отправлялись также сотрудникам банков в более чем 25 странах Центральной и Западной Европы, Африки и Азии: Киргизия, Армения, Грузия, Сербия, Германия, Латвия, Чехия, Румыния, Кения, Израиль, Кипр, Греция, Турция, Тайвань, Малайзия, Швейцария, Вьетнам, Австрия, Узбекистан, Великобритания, Гонконг и другие.
Хронология атак Silence выглядит следующим образом:
- 2016 год, июль - неудачная попытка вывода денег через российскую систему межбанковских переводов АРМ КБР. Злоумышленники получили доступ к системе, но атака сорвалась из-за неправильной подготовки платежного поручения. В банке остановили подозрительную транзакцию и провели реагирование собственными силами, постаравшись устранить последствия атаки. Это привело к новому инциденту.
- 2016 год, август - новая попытка взлома того же банка. Спустя всего месяц (!), после провала с АРМ КБР, хакеры восстанавливают доступ к серверам этого банка и предпринимают повторную попытку атаковать. Для этого они загрузили программу для скрытого создания скриншотов экрана пользователя и начали изучать работу операторов по псевдовидеопотоку. На этот раз банк принял решение о привлечении экспертов Group-IB для реагирования на инцидент. Атака была предотвращена. Однако восстановить полную хронологию инцидента не удалось, так как при попытке самостоятельно очистить сеть, ИТ-служба банка удалила большую часть следов активности злоумышленников.
- 2017 год, октябрь - первый известный успешный случай вывода денег этой группой. На этот раз Silence атаковали банкоматы. За одну ночь им удалось похитить 7 000 000 рублей. В этом же году они проводили DDoS-атаки с помощью Perl IRC бота, используя публичные IRC чаты для управления троянами. После неудачной атаки через систему межбанковских переводов в 2016 году преступники больше не пытались вывести деньги через нее, даже имея доступ к серверам АРМ КБР.
- 2018 год февраль - успешная атака через карточный процессинг: за выходные злоумышленникам удалось снять с карточек через банкоматы партнера банка 35 000 000 рублей.
- 2018 год, апрель - уже через два месяца группа возвращается к прежней схеме и выводит деньги через банкоматы. Им удается за одну ночь «вынести» порядка 10 000 000 рублей. На этот раз созданные Silence программы были усовершенствованы: избавлены от лишних функций и прежних ошибок.
Инструменты и инфраструктура
По данным Group-IB, во время первых операций хакеры Silence использовали чужие инструменты и учились буквально по ходу атаки. Однако со временем они перешли от использования чужих инструментов к разработке собственных и значительно усовершенствовали тактику.
В первых операциях киберпреступники патчили чужой малораспространенный бэкдор Kikothac. Они выбрали троян, известный с ноября 2015 года, реверс и реализация серверной части которого не требовали много времени. Использование чужого бэкдора позволяет предположить, что группировка начала работу без предварительной подготовки, и первые операции были лишь попыткой проверить свои силы.
Позже преступники разработали уникальный набор инструментов для атак на карточный процессинг и банкоматы, который включает в себя самописные программы:
- Silence - фреймворк для атаки на инфраструктуру.
- Atmosphere - набор программ для «потрошения» банкоматов.
- Farse - утилита для получения паролей с зараженного компьютера.
- Cleaner - инструмент для удаления логов удаленного подключения.
Заимствованные инструменты:
- Smokebot - бот для проведения первой стадии заражения.
- Модифицированный Perl IRC DDoS bot, основанный на Undernet DDoS bot, для осуществления DDoS-атак.
Оператор проводит атаки с Linux-машины с использованием утилиты WinExe (Linux аналог PSExec), которая может запускать программы на удаленном узле через SMB-протокол. После закрепления в системе троян Silence устанавливает stagerMeterpreter на зараженную систему. Для доступа к скомпрометированным компьютерам киберпреступники используют RAdmin - программу, которую в некоторых банках устанавливают сами администраторы для удаленного управления рабочими станциями.
Арендованные злоумышленниками серверы для осуществления фишинговых атак находятся в Россиии Нидерландах. Под командные центры они используют услуги хостинга с Украины, который позволяет размещение практически любого контента, в том числе запрещенной информации, вредоносных приложений и файлов. Также несколько серверов Silence арендовали в MaxiDed, инфраструктура которого была заблокирована Европолом в мае 2018 года.
Вначале для рассылок фишинговых писем группа использовала взломанные серверы и скомпрометированные учетные записи, однако позже преступники начали регистрировать фишинговые домены и создавать для них самоподписанные сертификаты.
Чтобы обойти системы фильтрации писем, они используют DKIM и SPF. Письма отправляются от имени банков, у которых не был настроен SPF, с арендованных серверов с подмененными заголовками. Злоумышленники составляли полные грамотные тексты для писем и отправляли их от имени сотрудников банка, чтобы повысить шанс успешности атаки.
Во вложении письма содержались эксплоиты под MS Office Word с decoy документами CVE-2017-0199, CVE-2017-11882 + CVE-2018-0802, CVE-2017-0262, а также CVE-2018-8174. Помимо эксплоитов рассылались письма с вложенными CHM-файлами, что встречается достаточно редко, а также с ярлыками.LNK, запускающими Powershell-скрипты и JS-скрипты.
«Silence во многом переворачивает представление о киберпреступности: по характеру атак, инструментам, тактике и даже составу группы, очевидно, что за этими преступлениями стоят люди, в недавнем прошлом или настоящем занимающиеся легальной работой – пентестами и реверс-инжинирингом, – комментирует Дмитрий Волков, технической директор и глава направления киберразведки Group-IB. – Они тщательно изучают деятельность других киберпреступников, анализируют отчеты антивирусных и Threat Intelligence компаний, что не мешает им делать множество ошибок и учиться прямо по ходу атаки. Ряд инструментов Silence – легитимны, другие разработали они сами, взяв на вооружение опыт других групп. Изучая деятельность Silence, мы предположили, что вероятнее всего это пример того, как whitehat становятся blackhat. Интернет, в особенности, его андеграудная часть, открывают немало возможностей для таких метаморфоз, киберпреступником сегодня стать намного легче, чем 5-7 лет назад: можно арендовать серверы, модифицировать имеющиеся эксплоиты, использовать легальные утилиты. Это значительно усложняет работу форензик-экспертов, но сильно упрощает возможность встать на путь хакера».
Anonymous - международная группа хакеров, которая уже долгое время занимается взломом сайтов правительственных организаций.
Рождение легенды
Хакеры из группы Anonymous сейчас известны всему миру. Не сами хакеры, конечно, а всего лишь их акции. Но как все начиналось, и какие они ставили цели?
На своем первом этапе развития Anonymous видели своей целью всего лишь свободу Интернета и развлечений. Они легко подвергали DDoS-атакам серверы правообладателей, проводили разные шутливые и не совсем акции, но в скором времени кучка любителей разрослась до приличных размеров и превратилась в международную организацию хакеров Anonymous, наводящую ужас на правительства многих стран. Эти кибербойцы с легкостью взламывают самые защищенные сайты, будь то ресурс ЦРУ или Пентагона.
На самом деле группа хакеров Anonymous действует так успешно и не поймана только благодаря тому, что ни один из членов группы никогда вживую не видел другого, и все общение происходит виртуально. Их лица всегда скрыты за масками Гая Фокса из фильма «V — значит Вендетта». Кроме того, Anonymous-хакеры разбросаны по всему миру от Великобритании до Китая, поэтому вычислить их нет никакой возможности. Полиция может арестовать 2-3 человек, но особенного урона организация не понесет.
Группы анонимных хакеров образовались почти во всех развитых странах мира. И Россия не исключение. В РФ действует группа Anonymous Russia. Как и у каждой уважающей себя организации, у Anonymous существует и свой аккаунт в "Твиттере", где они сообщают людям о последних акциях и планах.
Anonymous и ИГИЛ
Не так давно хакеры Anonymous объявили войну (ИГИЛ) — террористической организации мусульман. Умельцы взломали около 5000 аккаунтов боевиков. Это позволило им узнать, где боевики планируют провести теракты. Anonymous опубликовали результаты своих действий, и мир содрогнулся. В числе предполагаемых целей значились Франция, Италия, США, Ливан, Индонезия. Сейчас некоторые хакеры тесно сотрудничают со спецслужбами вышеназванных стран, дабы не допустить трагедии.
Во время войны хакеров с ИГИЛ досталось и Турции. президента Турции Эрдогана, Anonymous-хакеры узнали, как лояльно он относится к и пообещали правительству Турции ответные меры. Была произведена серия атак на серверы правительства, вследствие чего они оказались заблокированы. Кроме того, Anonymous пообещали «положить» серверы турецких аэропортов и банков и полностью парализовать их работу.
Некоторые эксперты в IT-безопасности считают «войну» Anonymous против ИГИЛ несерьезным занятием. Как сказал один из специалистов, «особого вреда они друг другу не принесли и вряд ли принесут, поскольку по обе стороны находятся некомпетентные в плане защиты и взлома люди». Правда, слова эти несколько расходятся с тем, как легко хакеры преодолевают различные защиты сайтов.
Anonymous и Китай
Кроме ИГИЛ, группа хакеров Anonymous решила атаковать еще и Китай. Хакеров не устроило отношение правительства Китая к свободе Интернета и свободе в целом. В результате они взломали около 500 сайтов, принадлежащих китайскому правительству. Сайты долгое время были заблокированы, и вместо информации компартии Китая на них находились способы обхода блокировки нежелательной информации, введенной «репрессивным правительством».
Сам официальный Китай не подтверждает атаку на свои серверы. Однако факт налицо. Anonymous решили поднять народ Поднебесной на борьбу с цензурой и ограничением свободы. На официальном канале Anonymous в "Твиттере" хакеры призывают народ этой страны восстать и вместе с ними продолжать атаковать серверы компартии, пока «режим не рухнет».
Удар по России
Не обошел стороной интерес хакеров и Россию. Российская организация Anonymous взломала сайты Кремля. Правда, особого урона хакеры не нанесли, но это была скорее демонстрация силы. Получив доступ к личным данным чиновников, хакеры могли бы «слить» это все в сеть. И тогда наверняка разгорелся бы очередной скандал.
Однако кое-что просочилось. Кроме официального кремлевского сайта, Anonymous-хакеры взломали и сайт организации «Наши», в свое время активно продвигавшей Владимира Путина. И здесь всплыли очень интересные данные о финансовых затратах на агитацию населения Российской Федерации. Хакеры пообещали выложить в сеть и историю темных делишек партии «Единая Россия», если «Наши» не прекратят свою пропаганду.
Правда, в действиях их начинает прослеживаться и предвзятый политический мотив. Недавно хакеры из группировки Anonymous обнародовали не выдерживающую никакой серьезной критики информацию, якобы воду в Крым перекрыла именно Россия, а не Украина. По их словам, Россия специально отключила насосы и парализовала водоснабжение, обвинив в этом Украину, чтобы поднять уровень своего влияния в Крыму. Предположение более чем абсурдное.
Другие страны
Anonymous-хакеры не обошли своим вниманием и другие государства, вызвавшие теми или иными действиями их неудовольствие. Они провели сотни атак на сайты Сайт премьер-министра Японии, к примеру, был недоступен в течение весьма длительного времени. США только недавно восстановили сервер ЦРУ после их атак. А в Лондоне хакеры взломали серверы всем известных фирм Visa и MasterCard. В Канаде также были атакованы сайты правительства. Опять же, в США подвергся DDoS-атакам сайт Церкви Сайентологии. Складывается такое ощущение, что Anonymous объявили войну не только ИГИЛ или Китаю, но и всем странам и правительствам сразу.
Вместо заключения
Anonymous поражают своими способностями. Атаковать хорошо защищенные серверы различных государств — дело довольно тяжелое и хлопотное. Их выручает только то, что разбросаны взломщики по всему миру, и вычислить их не так-то просто. Но случаются и провалы. Например, в Лондоне при атаке на MasterCard и Visa были арестованы два человека.
За последнюю неделю многие из нас впервые услышали о хакерах из Lizard Squad, которые уже успели взять на себя ответственность за две нашумевшие DDoS -атаки: на сайт Malaysia Airlines, который стал перенаправлять пользователей на страницу с надписью «404 – самолет не найден», и на Facebook, который был недоступен в течение целых 40 минут.
Facebook, однако, опроверг слухи о хакерском нападении; вместо этого причиной неполадок в работе сайта была названа ошибка разработчиков. Malaysia Airlines также уже успели заверить пользователей, что сайт не взламывали, просто временно перевели на другое доменное имя.
И все же, кто такие Lizard Squad? Очередные «хактивисты», пытающиеся донести свою политическую программу, или группа развлекающихся подростков? Представляют ли они реальную угрозу или сильны только на словах? И каково их место среди других хакерских группировок? Ниже мы расскажем о хакерах, громче всего заявивших о себе в последнее время.
Lizard Squad приобрели известность после атак, совершенных на крупнейшие IT-компании, среди которых Sony, Microsoft и Facebook. Впервые широкая публика услышала о них в августе 2014-го, когда они взломали несколько он-лайн игр, в том числе League of Legends и Destiny. За ними последовали более значительные атаки на Sony"s Playstation Network и Microsoft"s Xbox Live.
Складывается впечатление, что у хакеров личные счеты с Sony. В августе 2014-го они сообщили о бомбе на борту лайнера, которым должен был лететь один из президентов компании. В результате самолет совершил аварийную посадку.
Кроме того, группировка намекает на свою причастность к Исламскому государству. Во время атаки на Malaysia Airlines они назвали себя «Кибер-Халифатом» (так же называется хакерское подразделение Исламского государства). Более того, в августе они установили флаг ИГИЛ на серверах Sony.
На первый взгляд, Lizard Squad руководствуются исключительно политическими мотивами, однако, весьма вероятно, что гораздо важнее для них продемонстрировать возможности своего сервиса Lizard Stresser. Таким образом, заявления о связи с Исламским государством могут быть не чем иным, как попыткой привлечь более пристальное внимание СМИ.
После нападений на PSN и Xbox Live власти Америки и Великобритании провели расследование, которое закончилось арестом 22-летнего жителя Твикенхема и подростка из Саутпорта (Британия).
Вероятно, самая известная хакерская организация, Anonymous - это децентрализованное объединение десятков тысяч «хактивистов», которые совместными усилиями взламывают сайты, выражая таким образом свой протест.
Группа получила известность после атак на ряд крупных политических, религиозных и корпоративных ресурсов. В числе их достижений - взлом сайта Пентагона, угрозы в адрес Facebook и Los Zetas, мексиканской наркокартели, и объявление войны Саентологической Церкви.
В 2010 году Anonymous начали операцию Payback, после того как Visa, MasterCard, PayPal и другие компании отказались обслуживать WikiLeaks. Они также открыто поддержали движение «Захвати Уолл-стрит» в 2011-м, атаковав сайт Нью-Йоркской биржи.
Начиная с 2009 года, по подозрению в причастности к Anonymous в Америке, Великобритании, Австралии, Нидерландах, Испании и Турции было арестовано множество людей. Однако организация протестует против преследований, называя арестованных «мучениками движения».
Девиз группы гласит: «Мы — Anonymous. Имя нам — легион. Мы не прощаем. Мы не забываем. Ждите нас».
LulzSec (сокращенно от Lulz Security) образовалась вскоре после взлома компании HBGary Federal в 2011 году и изначально была филиалом Anonymous. Основной движущей силой группы стали семь человек, которые выбрали своим девизом фразу «Смеемся над вашей безопасностью с 2011 года».
Первую атаку группа совершила на Fox.com, украв несколько паролей, аккаунты LinkedIn и имена 73 тысяч участников шоу X-Factor. В 2011 они пошли дальше, взломав сайт ЦРУ.
LulzSec прославились благодаря крупным организациям, которые они выбирают в качестве целей, и язвительным сообщениям, которые оставляют на сайтах после взлома. Некоторые эксперты расценивают активность организации скорее как пранкинг, чем как реальную угрозу, но участники группировки утверждают, что способны и на более серьезные шаги.
В 2011 году группа опубликовала заявление «50 дней лулза», в котором заявила о самороспуске. Однако 18 июля они совершили еще одну атаку на газеты, принадлежащие холдингу News Corporation, наполнив их фальшивыми новостями о смерти владельца компании Руперта Мердока.
В 2012 году ФБР арестовала основных участников по доносу лидера группы Гектора Монсегура, известного под ником Sabu. По словам прокурора Сандипа Патела, хакерам не хватило политических амбиций Anonymous и они возомнили себя «современными пиратами».
Сирийская Электронная Армия (SEA) открыто заявила о том, что поддерживает правительство нынешнего президента Сирии Башара аль-Асада. Их основная цель - политическая оппозиция и западные сайты, особенно новостные ресурсы и организации по борьбе за права человека.
Не очень понятны взаимоотношения группировки с сирийским правительством. На официальном сайте SEA называет себя «группой молодых сирийских энтузиастов, которые не могут спокойно реагировать на искажение фактов о недавних восстаниях». Некоторые эксперты полагают, что хакеры действительно могут получать финансирование от властей.
Основные методы SEA - спам, дефейс, фишинг и распространение вредоносных программ. Часто хакеры заменяют веб-страницу компании на сообщения в поддержку нынешнего правительства или изображение сирийского флага.
Сирийцы уже успели взломать страницы Барака Обамы и Николя Саркози в Facebook, а также Twitter-аккаунты новостных агентств и IT-компаний. При этом сообщения, которые они оставляют после взлома, сильно различаются по стилю: среди них есть как серьезные и открыто политические, так и иронические.
Российские хакеры печально известны за свои сомнительные навыки: начиная со злого программиста и заклятого врага Джеймса Бонда из «Золотого глаза» и заканчивая крупнейшим киберпреступлением в американской истории . И в то время как хакеры из других стран довольно часто могут быть мотивированы какой-либо идеологией, большинство российских киберпреступников заработали репутацию цифровых карманников, более заинтересованных в чистке чужих банковских счетов, нежели публичных заявлениях.
И хотя давно принято считать, что большинство хакеров являются просто мошенниками, киберпреступлением до сих пор часто восхищаются за ту технику и интеллект, которое оно несёт, создавая пьянящий коктейль из искусства, науки и преступных намерений. И хотя российские хакеры могут быть менее активны, чем их китайские и латиноамериканские коллеги, качество атак делает их мировыми лидерами в этой области. Вот некоторые из российских имен, которые посеяли панику в мире кибербезопасности.
1. Анонимный интернационал
Эта хакерская группировка также известна под именем «Шалтай-Болтай» (в западном фольклоре аналогичный персонаж носит имя Humpty-Dumpty). Будучи, вероятно, наиболее известной хакерской группировкой в России в настоящее время, Анонимный интернационал взял на себя ответственность за крупную серию недавних кибератак и утечек документов. Хакеры опубликовали личные архивы электронной почты нескольких российских государственных деятелей и украли различные секретные документы (например, отчеты о шпионаже за лидерами оппозиции после протестов в Москве). Но их самое известное деяние - это взлом твиттера премьер-министра Дмитрия Медведева и размещение нескольких юмористических твитов от его имени в течение получаса, пока представители Медведева прилагали все мыслимые усилия, чтобы вернуть контроль над учетной записью. Свою заинтересованность они не мотивируют жаждой к деньгам. Однако, поскольку группа является очень скрытной, многие все же сомневаются в её методах, мотивах и моральном облике. На сайте группировке размещён архив украденных файлов, за что он и заблокирован Роскомнадзором. Тем не менее, его можно просмотреть посредством VPN.
2. Владимир Левин
Левин, биохимик из Санкт-Петербурга, является культовой фигурой российской киберпреступности и считается одним из отцов хакинга. В 1994 году Левин с командой сообщников получили доступ к Citibank`у и перевели более $10 млн на различные счета в разных странах. Левин был оперативно пойман и осуждён в 1998 году в США. Это был большой спектакль. Левин не знал английского во время совершения преступления (он выучил язык в тюрьме в Америке. Помимо компьютерных технологий это был единственный освоенный им навык), а журналисты описывали его как «что-то среднее между хиппи и Распутиным». После того как Левин был признан виновным, различные хакерские группировки из Санкт-Петербурга заявили, что это именно они получили доступ к Citibank, который позже продали Левину за сто долларов.3. Игорь Клопов
История Клопова похожа на Аферу по-американски, но отмеченную наивным восприятием Американской мечты. 24-летний выпускник МГУ использовал для поиска своих целей список 400 богатейших людей планеты по версии Forbes. Затем в Москве он со своего ноутбука находил себе американских пособников, обещая им деньги, отдых в пятизвёздочных отелях и лимузины. Используя то, что государственный обвинитель позже назовёт «комбинацией умных и проверенных временем Интернет-техник, таких как, например, подделка водительского удостоверения», Клопов и его сообщники похитили $1.5 миллиона и попытались украсть ещё $10 млн, на чём и были пойманы. Игорь Клопов признал вину и в 2007 году был приговорён к тюремному заключению.