Истории самых ловких хакеров, облетевшие весь мир

Истории самых ловких хакеров, облетевшие весь мир

Сегодня я хочу рассказать тебе несколько историй о киберпреступлениях, о которых в своё время говорил весь мир. Надеюсь, эти истории помогут тебе понять, насколько уязвима бывает твоя информационная безопасность, а также что нужно делать, чтобы не попасться на удочку хакеров.

Северная Корея

Не смотря на то, что Северная Корея отрезана от всемирного интернета, она прославилась своими хакерами. Точнее не просто хакерами, а огромными их группировками.

Хакерские группировки Северной Кореи давно уже перестали быть просто конспирологической теорией – это вполне реальная угроза, которая подтверждается десятками успешных операций взлома. 

Давай разберёмся: откуда в Северной Корее – полностью закрытой стране со своим интернетом – могут быть хакеры? Казалось бы, должно быть наоборот. Однако в Северной Корее хакеров не просто не меньше, а в десятки раз больше, чем в других странах.

Вообще, нам, конечно, мало известно о том, как сейчас живут люди в Северной Корее, но некоторые утверждают, что несмотря на недоступность интернета там сейчас взращивают тысячи хакеров, способных найти уязвимость онлайн-ресурсов любой страны. И долгое время это было лишь слухами.

Первое публичное заявление об армии хакеров в КНДР датируется началом 00-х. 

В 2004-м году южнокорейский генерал-майор Сон Ён Гюн сообщил журналистам на конференции, что северокорейцы каждый год готовят сотни квалифицированных взломщиков, способных положить инфраструктуру Южной Корее с целью хищения ценных засекреченных данных. В 2014 году его слова подтвердил профессор, который покинул КНДР – Ким Хун-Кван. Он сделал заявление, что в Северной Корее существует так называемое “бюро 121”.Это целое учебное заведение, закрытое, и туда набирают отличившихся  учеников, которых обучают методам кибератак, взломов и хищению конфиденциальных данных. Из выпускников бюро 121 создаются целые веб-армии КНДР, насчитывали они на момент пресс-конференции профессора в 2014-м составляла, по его словам,  более трех тысяч человек. 

Горячую новость тогда мигом подхватили популярные СМИ, такие как BBC и другие, однако публикации при загадочных обстоятельствах были удалены. Однако новость уже успела разлететься по интернет-изданиям. 

Несмотря на то, что профессор Хун-Кван бежал из КНДР еще в 2003, и достоверность этих сведений может быть поставлена под сомнение, цифровой след Северной Кореи был найден во многочисленных кибер-инцидентах, расследующихся независимыми экспертами в сфере инфобезопасности. 

Обучение северокорейских взломщиков происходит следующим образом: наиболее одаренных учеников, которые проявили себя в математике и программировании, выбирают еще в совсем юном возрасте и переводят в специализированные школы для более углубленного изучения. Многие школы в Северной Корее оснащены компьютерными классами без выхода в интернет. Наиболее одаренные дети участвуют в мировых олимпиадах и конкурсах по математике и информатике.

Обычно делегации из Северной Кореи на таких олимпиадах сопровождают взрослые, которые контролируют ребят. Сами дети ни с кем не контактируют; их характерную замкнутость отмечают конкурсанты из других стран.

Молодым людям, которые продемонстрировали самые выдающиеся способности, позже предлагают продолжить обучение в ВУЗах страны. На информационных технологиях специализируются как минимум два колледжа в Пхеньяне: Технологический Университет Ким Чака и несколько факультетов государственного университета Ким Ир Сена. 

Некоторые студенты после окончания обучения получают некие предложения от госбезопасности, от которых сложно отказаться. Примерно об этом рассказывали прессе юные математики, которым удалось бежать из Северной Кореи в Южную. 

А сейчас я хочу рассказать про наиболее нашумевшие инциденты с участием северокорейских хакеров, которые были официально подтверждены. 

Ты наверняка помнишь, что в 2014 году вышел фильм “Интервью” режиссера Сета Рогена, где он сам сыграл одну из главных ролей. С этим кино была связана одна очень любопытная история. Сюжет фильма строился вокруг того, что американские спецслужбы решили убить Ким Чен Ына с помощью некоего пластыря, на который был нанесен яд. Такой интересный сюжет конечно же не был оценен правительством Северной, в особенности Ким Чен Ыном, правительство КНДР назвало фильм терактом и потребовало отменить премьеры по всему миру, угрожая в случае отказа нанести ответный удар. На что кинокомпания Sony и режиссер фильма конечно же не обратили никакого внимания и запустили картину в прокат, а зря. 

В этом же году в домашнюю сеть Sony внедрилась группа хакеров, именующая себя Guardians of Peace, и навела суету. Во всеобщий доступ были слиты конфиденциальные переписки работников Sony, данные их мед страховок и документы о зарплатах, сценарии еще не отснятых кинолент, включающих новый фильм о Джеймсе Бонде и 5 предрелизных фильмов. Одна из руководителей Sony Pictures была вынуждена подать в отставку из-за обнародования переписки, содержащей  неполиткорректную шутку про президента США Барака Обаму. 

В последствии шумиха вокруг фильма стала неплохой пиар-кампанией. Изначально фильм был малобюджетный, однако в итоге собрал в прокате больше 40 000 000$, что стало неплохой конверсией за сливы и уволенного кинопродюсера. 

Это был первый случай официального доказательства, что хакеры в КНДР действительно существуют и могут взломать даже целую киностудию. 

хакеры из северной кореи

Судя по всему, сообщество Guardians of Peace – это всего лишь одно из ответвлений более крупной группировки киберпреступников Lazarus. К этой же группировке причисляют и другие команды хакеров, например Hidden Cobra, Nickel Academy и другие. Связывают их все очень похожие вредоносные программы и инструменты взлома. Эти хакерские программы часто распространяют вирусы, в которых содержатся одни и те же куски кода, так что можно не ставить под сомнение то, что все эти группировки связаны одной большой системой. 

В 2015 году взломщики из Lazarus предпринимали попытки хакнуть ханойский банк Tien Phong и перевести пару миллионов $ в Словению. Однако хакерская атака была своевременно выявлена и предотвращена отделом инфобезопасности банка. Поэтому к следующей киберкраже взломщики уже основательно подготовились и заранее учли все возможные ошибки.

Новая атака была совершена уже в 2016 году, мишенью стал банк в городе Дакка в Бангладеше. На этот раз преступники совершали каждый шаг последовательно, более вдумчиво и основательно. Чтобы попасть во внутреннюю сеть организации, был использован метод целенаправленной рассылки конкретным работникам, минимум трое из которых установили себе шпионскую программу, которая загрузила нужные хакерам данные банковской системы. 

Затем в течении 10-ти месяцев хакеры старательно вникали во внутреннюю кухню банка, изучали структуры финансовых процессов и действовали как можно более незаметно, чтоб снова не попасть в поле зрения безопасников. 

Одновременно команда хакеров налаживала коннект с потенциальыми подельниками, придумывала и настраивала механизмы обналичивания средств, чтобы в нужный момент все элементы замысла сложились, как паззл. 4 февраля 2016 года федеральный резервный банк в NY, где владеет корреспондентским счётом целевой бангладешский банк, получил через SWIFT запрос на несколько десятков переводов, общая сумма которых почти 1000 000 000$ в другие банки – на Шри-Ланке и в Филиппинах. Не смотря на то, что первые пять переводов были успешно выполнены, вся операция могла накрыться медным тазом из-за одной нелепой случайности.

Дело в том, что при отправлении денежных средств в один из филиппинских банков, система безопасности наткнулась на слово “jupiter”, ранее попавшее в список стоп-слов в банке. Тут же службе безопасности поступило сообщение о сомнительной активности, все дальнейшие переводы в этот банк были заморожены, и должно было начаться внутреннее расследование. Казалось бы, взломщиков ждет крах. Но нет! Хакеры точно рассчитали верный момент для атаки. В этот день на Филиппинах были выходные по случаю локального праздника, так что сигналы для приостановки транзакций игнорировались следующие два дня. За эти дни филиппинские подельники хакеров смогли отправить больше 80 000 000$. По этому эпизоду можно оценить продуманность плана хакеров, ведь украденные средства так никто и никогда не нашел. 

Затем в 2018-2019 группировки хакеров осуществляли активные действия по всему миру. Хакеры вновь пытались взломать банки на Шри-Ланке и Мексике путем персонализированной e-mail-рассылки и фишинговых эмейлов с вредоносными PDF-файлами во вложении. Хакерам вновь удалось перевести внушительные суммы, система вновь дала сигнал о подозрительной активности, но он вновь был замечен слишком поздно. В итоге преступники почувствовали полную безнаказанность и азарт грабить банки по всему миру. 

В 2018 году, когда бешеную популярность обрела криптовалюта, группировка Lazarus решила действовать в этом направлении. Их мишенью была азиатская криптовалютная биржа – Tech bureau Corp.

Сотрудникам этой биржи пришли фишинговые мейлы с предложением бесплатно затестить  на своем ПК программу автотрейдинга. Теперь понимаешь, насколько часто злоумышленники пользуются способом отправления ссылок на вредоносные программы?

И снова, конечно, сотрудники биржи повелись на эти письма, установили программу, после чего хакеры решили осесть именно в этой нише. В 2018 году дела с безопасностью в крипте пока еще обстояли очень неважно, и злоумышленники с удовольствием этим пользовались. 

Китайская компания Chainalysis провела аналитику и оценила общий ущерб от действий взломщиков на крипторынке в 1,75000 0000$. 

В последующие два года та же группировка совершила немало киберпреступлений в отношении интернет-магазинов. На веб-страницы магазинов и маркет-плейсов злоумышленники интегрировали скиммеры. Это такие специальные скрипты, которые похищают реквизиты и конфиденциальные данные банковских карт пользователей. Доподлинно неизвестно, какую сумму этим способом получилось украсть хакерам, но, исходя из регулярности взломов, метод однозначно стоит потраченных сил. 

Обычно веб-скиммер загружается только на страницу оформления заказа и автоматически похищает данные карты, которые вводит покупатель при оплате товара. Все эти данные отправляются на удаленный сервер, откуда данные либо используются самими хакерами, либо идут на продажу на черном рынке.

Ориентировочно в то же время группировка из КНДР стала повсеместно заражать вирусами –  троянами-энкодерами, шифрующими информацию на ПК пострадавших. Злоумышленники требовали у жертв выкуп за расшифровку данных по всему миру, а особенно досталось жителям Америки. 

Минюст Соединенных Штатов и ФБР очень долго не могли справиться с подобными атаками – во время расследования им было необходимо распространить вирус на десятки собственных устройств, чтобы понять принципы его работы. 

По словам специалистов в области кибербезопасности и аналитики сейчас в подобных организациях КНДР состоит более 7000 граждан. Это является непыльной сферой занятости, прибыль от которой выстраивается в заоблачные суммы. 

Правительство КНДР хорошо понимает, что из-за упадка экономики страны и многочисленных санкций, оно не способно вкладываться в создание технических, транспортных систем и разрабатывать качественное вооружение. Для обогащения ресурсов Северной Кореи выращивание армии хакеров, которые смогут украсть деньги и данные у любого государства – самый лучший выход. Кто знает, возможно, и нашу страну ждет такое будущее. 

хакер из англии Замес Кларк

Великобритания

Следующая история будет не связана с гостайной и работающей на правительство киберармии, она будет про одного молодого человека, способностям которого могут позавидовать самые подкованные киберсолдаты Северной Кореи. Да и в отличии от предыдущих “коллег”, его действия вызывают весьма неоднозначные чувства.

Эта история призвана заставить тебя задуматься о том, насколько ненадежна конфиденциальность в сети.

 Все началось со взлома компании электронных гаджетов для детей Vtech. В начале декабря 2015 года случилась крупная утечка информации, жертвами которой стало более 11000 000 клиентов компании. Этот случай не похож на остальные подобные тем, что пострадавшии на этот раз стали несовершеннолетние.

Утекли данные более 6 000 000 детей. В ходе атаки взломщику удалось похитить более 190 Гб фотографий и паролей от родительских чатов. Это стало настоящей сенсацией в мире игрушек, потому что до этого инцидента подобные случаи никогда не достигали таких масштабов.

Неизвестный, который взломал производителя детской электроники, затем связался с журналистами и сказал, что получил доступ к этой информации совершенно случайно. 

Сначала утверждалось, что взлом затронул лишь магазин приложений Learning Lodge. Но вскоре было заявлено, что от атаки пострадали и сервисы Kid Connect и Planet Vtech. Kid Connect – такой детский мессенджер, в котором взрослые общаются со своими малышами. 

Из-за атаки жертвами стали клиенты компании из разных уголков планеты, но больше всего утечек пришлось на американцев и французов. 

После произошедшего скандала был приглашен специалист по информационной безопасности Трой Хант, чтобы проанализировать предоставленные данные. Хант опубликовал подробный отчет об уязвимостях компании Vtech. Пробелы безопасности у компании оказались просто катастрофическими по своей глупости и масштабу. 

Если объяснять простым языком: любой пользователь этой сети мог спокойно получать доступ к данным другого пользователя сети, используя только лишь адреса URL. И никакие данные не были зашифрованы. В том числе пароли от аккаунтов родителей и детей. Специалист также выяснил, что хакер добрался до специальных вопросов, которые задает система при сбросе пароля. Так вот – все эти данные Vtech не просто не шифровал, а тупо хранил в формате текста!

Анонимный взломщик, вскрывший всю эту информацию, написал в чате журналистам следующее: “Если честно, мне вообще дурно от того, что я смог добраться до этой информации. Компания обязана понести наказание за это”. Аноним заявил, что не будет размещать нигде информацию, но сказал, что специалист не отметил ещё один очень важный пробел в безопасности компании Vtech. Если это, конечно, можно назвать “пробелом”...Хакер отметил, что на своих серверах Vtech помимо ФИО, эмейлов, паролей, хранит десятки тысяч детских фотографий. 

Веб-подсказки Kid Connect советуют детям и взрослым фоткать друг-друга во время взаимодействий в мессенджере. Отсюда тысячи личных фотографий, которые, как оказалось, остаются на серверах компании.

После этого инцидента назревает вполне логичных вопрос: а  с какой целью всю эту информацию компания хранила на серверах? Это просто преступная халатность, тем более, что гаджетами пользовались маленькие дети. 

Но чётких объяснений или извинений от компании так и не последовало. Можно было бы предположить, что после случившегося компания наймёт квалифицированных специалистов, проведет аудит своих продуктов и попытается как-то исправить плачевную ситуацию. Но Vtech решила пойти другим, куда более простым путём – она просто вписала в пользовательское соглашение пункт о том, что вся информация, которая предоставляется в этом приложении, может быть похищена и использована недобросовестными лицами. По сути компания просто переложила ответственность на пользователей и показала поразительное равнодушие.

Однако какие бы добросовестные цели ни преследовал взломщик, который обнародовал халатность Vtech, его поисками занялись правоохранительные органы, ведь факт кибератаки и похищения конфиденциальной информации имел место быть. 

15 декабря 2015 года в пригороде Лондона Брэкнелле арестовали 21-летнего молодого человека и предъявили ему подозрение во взломе и  похищении информации. У него были арестованы гаджеты, а позже сообщилось имя подозреваемого – Замес Кларк. О нём было известно очень мало – только то, что он страдает аутизмом и прозопагнозией (это расстройство восприятия лиц). Мужчина сразу признался в содеянном, он не стал отрицать, что взломал Vtech. И по идее его должны были бы посадить, однако компания Vtech настолько испугалась общественного давления, которое уже достигло точки кипения на тот момент, что просто отказалась помогать обвинению. 

В итоге Замеса просто отпустили под залог. Скорее всего, не последнюю роль в этом также сыграли его серьезные заболевания.

В начале 2017-го, пользуясь рабочей учетной записью, Кларк получает доступ к серверу компании Microsoft, а потом настраивает себе удаленный доступ к их локальной сети, который продолжает юзать в течении 3-х недель. После этого он загружает некие инструменты в сеть компании, чтобы просматривать информацию, качать её и производить глобальный поиск по всей сети. 

Кларк искал номера сборок для пока еще не выпущенных обновлений Windows. В сумме он осуществил более 7500 поисковых запросов и украл 43000 секретных документов. Там хранились и копии предварительных версий Windows, которые ждали своего часа для проведения beta-тестирования отделом разработки ПО. 

Ситуация стала приобретать недопустимые обороты, когда Замес просто расшерил доступ к этой сети через Internet Relay Chat. То есть абсолютно всем в интернете стали доступны сервера Microsoft. Соответственно злоумышленники со всего мира могли спокойно заходить на сервер. Они без труда могли пользоваться конфиденциальной информацией компании, как им вздумается. 

Полиция очень быстро нашла виновника, пришла к нему домой, обыскала компьютер и нашла там конфиденциальные файлы Microsoft. 

Найти Кларка удалось быстро. Тогда выяснилось, что Замес много лет принимал участие в исследовании инфобезопасности. В частности, он находил пробелы в защите ПО для мониторинга интернета, в школах, в системах ноутбуков от Dell, Lenovo и Toshiba. Чаще всего он действовал в сети под никами Riley или Slipstream. 

В этот раз выяснилось, что он действовал не в одиночку, его сообщником был 26-летний Томас Хаунсел. Хаунсел обвинялся в незаконном наблюдении за процессом разработок Майкрософт. Томас использовал полученный от Кларка доступ, чтобы найти более чем 1000 наименований продукции, имен и номеров сборок в течении 17-ти дней. 

Томас в итоге получил 7 месяцев тюрьмы. А что касается Кларка – его снова не арестовали, даже не запретили пользоваться компьютером, что, конечно, было очень недальновидно. 

Видимо, почувствовав безнаказанность, в марте 2018-го Кларк снова совершил крупный взлом, на этот раз мишенью стала сеть известного производителя видеоигр Nintendo. С помощью VPN и того же ПО, что и в случае с Microsoft, Slipstream смог зайти на засекреченные сервера Nintendo. Там хранились коды не выпущенных игр, и у Замес заполучил 2365 логинов и паролей прежде, чем представители Nintendo смогли обнаружить взлом. В результате убытки были оценены в 1,400 000 фунтов или примерно 100 000 000 рублей. 

В очередной раз Замеса достаточно быстро поймали. Хотя, честно говоря, он и не особо скрывался. И в этот раз он мог избежать наказания с условием отсутствия новых преступлений. Однако в этот раз это полностью была заслуга его адвоката. В итоге Замес был приговорен к 15-ти месяцам домашнего ареста и отстранению от компьютера на 18 месяцев. Также он получил указ о предупреждении тяжких преступлений. 

Пострадавшая сторона положительно приняла приговор, не смотря на его мягкость. Они заявили, что это очень важный шаг. Вот что сказали представители Microsoft: “Для обеспечения кибербезопасности необходимы не только сильные технические решения, но и публичное признание проблемы и привлечение правоохранительных органов. Мы уверены в целостности нашего ПО и систем. У нас есть комплексные меры по предотвращению, обнаружению и реагированию на атаки”. 

Итог

Действия Кларка не вызывают той же бури осуждения в обществе, как, например, атаки Lazarus. В основном из-за того, что данные не были слиты в сеть, сам хакер не скрывался от полиции, да и вообще – со стороны пользователей деятельность Slipstream была воспринята как некий акт привлечения внимания к серьезной проблеме в информационной безопасности. Некоторые даже называют его борцом за киберсправедливость.  

Думаю, тебе было интересно узнать о том, как по-разному люди могут использовать свои способности. А самое главное, что мы можем извлечь из этих историй – это то, что нужно быть предельно внимательными и аккуратными со своими данными в интернете, а особенно бдительными к ссылкам, которые мы получаем на e-mail.

Заказать звонок
Наш менеджер перезвонит вам в течении 5 минут
Отправить запрос
Наш специалист свяжется с вами в течении 5 минут