«Русские хакеры», если верить СМИ, в 2020 году не отошли от излюбленной традиции атаковать американские министерства и вмешиваться в выборы. А еще хакерские группировки, которые на Западе считаются пророссийскими, переориентировались на медицинский кибершпионаж. Например, они атаковали западные организации и институты, занимающиеся разработкой вакцины от COVID-19. Однако в этом году было много кибератак, не связанных с «российскими хакерами». О них мы поговорили с экспертом компании Group-IB. 2020-й также запомнился громкими утечками персональных данных, о чем мы расспросили основателя сервиса DLBI Ашота Оганесяна.
Топ утечек персональных данных
Резонанс, вызванный совместным расследованием Bellingcat, The Insider и CNN об отравлении Алексея Навального, высветил проблему федерального масштаба: персональные данные россиян являются легкодоступным товаром на теневых рынках. Большинство данных можно либо купить за небольшую цену, либо при должной сноровке получить бесплатно. Согласно исследованию компании InfoWatch, специализирующейся на информационной безопасности, в 2019 году число утечек данных из российских компаний и госорганов составило 15,7% от числа утечек по всему миру. Тогда же Россия седьмой год подряд заняла второе место в мировом распределении (после США) по количеству утечек. При этом, судя по всему, их становится с каждым годом все больше: в 2019 году, по сравнению с данными 2018 года, объем скомпрометированной пользовательской информации вырос более чем в шесть раз. В 2020 году на Россию пришлась каждая третья утечка персональных сведений, связанных с коронавирусом.
2020 год «порадовал» пользователей громкими сливами. В начале мая в свободном доступе оказалась база данных 33,7 миллиона пользователей LiveJournal («Живого журнала»). Утечка произошла в 2014 году, но только в 2020-м появилась в паблике. Из него мы узнали, что Кристина Потупчик, скорее всего, все же имела отношение к группе активисток Medvedev Girls, журналист Олег Кашин вел сразу несколько аккаунтов, а у дизайнера Артемия Лебедева был простой и забавный пароль от учетной записи.
В начале июня в даркнете появилась база с данными миллионов пользователей Telegram, из них около 12 миллионов — россияне. Формально это нельзя назвать утечкой: базы с информацией о миллионах пользователей Telegram возникают в результате прогона номерной емкости. Многие сим-карты вставляются в специальные картоприемники, на каждом запускается эмулятор Android. Затем начинаются автоматический процесс перебора номеров (начиная, например, с +7911) и проверка их на наличие в Telegram. Если аккаунт с определенным номером зарегистрирован в мессенджере — он добавляется в контакты. Большое количество симок необходимо из-за того, что Telegram позволяет одной сим-карте иметь не более пяти тысяч аккаунтов.
В июле «Медуза» выяснила, что паспортные данные более миллиона интернет-избирателей, участвовавших в голосовании по поправкам к Конституции, лежали практически в открытом доступе. База содержала расшифрованные номера паспортов записавшихся на голосование.
Ашот Оганесян, основатель сервиса разведки утечек данных DLBI, специально для Daily Storm выделил топ-5 главных утечек персональных данных россиян в 2020 году.
— Из последнего: в свободный доступ попали файлы (Excel, Word, JPG) с персональными данными москвичей, переболевших коронавирусом, — говорит эксперт. — Всего 362 файла общим размером около одного гигабайта. В некоторых Excel-файлах находится более 100 тысяч строк, содержащих: Ф.И.О., даты рождения, адреса проживания, телефоны, номера паспортов.
Оганесян отметил еще одну государственную утечку:
— Некорректно настроенная база данных, используемая разработчиками портала госуслуг Республики Татарстан оказалась в свободном доступе. Там были персональные данные пользователей сервисов госуслуг: СНИЛС, ИНН, Ф.И.О.. Сервер с этой базой данных находился в открытом доступе около суток.
В середине лета произошла крупная утечка в онлайн-школе английского языка Skyeng. Данные учащихся и сотрудников школы были выставлены на продажу в интернете. В Skyeng не подтвердили факт утечки или взлома, но корреспондент «Коммерсанта» обзвонил некоторых клиентов, чьи данные оказались в открытом доступе, и подтвердил подлинность данных.
— Базу с пятью миллионами строк (именно строк, не клиентов) продавали за 80 тысяч рублей, а за 40 тысяч рублей продавали выборку из этой базы с 270 тысячами строк, содержащими данные только российских клиентов, — указывает эксперт.
Также Оганесян отметил, что в 2020 году в свободном доступе на официальном сайте «РЖД Бонус» оказался дамп (резервная копия) базы данных этого сайта. Дамп содержал список 1,3 миллиона пользователей с адресами электронной почты, хешированными паролями и IP-адресами.
Собеседник Daily Storm завершил топ утечкой из инвестиционной компании «Фридом Финанс»:
— В результате характерной для вирусов-вымогателей атаки на сеть компании злоумышленниками было похищено 12 гигабайт файлов с информацией о 16 тысячах клиентов компании, а также данные сотрудников (включая логины и пароли к различным сервисам). В открытом доступе был размещен архив с данными 50 клиентов, включая справки об остатках на счетах из различных банков, договоры и заявления.
Ашот Оганесян отметил, что «ничего необычного» в разрезе утечек персональных данных уходящий год не привнес. Разве что, по его словам, больше обычного утекали данные пациентов больниц, включая больных COVID-19.
Топ хакерских атак
В середине декабря газета The Washington Post со ссылкой на свои источники сообщила, что за кибератакой на Минфин и Министерство торговли США стоит пророссийская хакерская группировка Cozy Bear (APT29). Информацию об атаке подтвердили спецслужбы США, не уточнив, кто именно за ней стоит. Байден обвинил «русских хакеров» в краже важных сведений у американского бизнеса, но Кремль отверг эти обвинения. Впрочем, еще ни одно государство в мире не брало на себя ответственность за совершение кибератак. Согласно докладу CISA, хакеры из Cozy Bear были первой пророссийской группировкой, которой удалось внедриться в систему национального комитета Демократической партии США летом 2015 года.
В 2020 году Cozy Bear переориентировалась на медицинский кибершпионаж: эксперты Национального центра кибербезопасности Великобритании утверждают, что Cozy Bear атаковала организации и институты, занимающиеся разработкой вакцины от COVID-19 в Канаде, США и Великобритании. Весной этого года еще одна проправительственная группировка Primitive Bear начала активную рассылку фишинговых писем, якобы содержащих актуальную информацию о COVID-19.
Группировку Fancy Bear, которую постоянно связывают с ГРУ, в уходящем году вновь обвиняют во вмешательстве в американские выборы: в сентябре об этом заявила корпорация Microsoft. Fancy Bear приписывается атака на более чем 200 политических организаций. 19 октября Департамент юстиции США выдвинул новые обвинения против ГРУ, в частности — создание кибероружия Olympic Destroyer, которое вывело из строя тысячи компьютеров, использовавшихся для обеспечения зимней Олимпиады 2018 года в Пхенчхане. Эксперты «Лаборатории Касперского» обнаружили ряд улик, указывающих на то, что авторы вируса — «модные медведи». Считается, что именно члены группировки Fancy Bear весной 2016 года проникли в систему национального комитета Демократической партии США (вторые после Cozy Bear) и выкрали информацию с личного почтового сервера Хиллари Клинтон.
Анастасия Тихонова, руководитель отдела исследования APT компании Group-IB, специально для Daily Storm выделила топ-5 самых громких хакерских атак 2020 года.
Эксперт отметила кибератаку на системы очистки воды компаний, работающих в сфере энергетики и водоснабжения Израиля. Весной хакерам удалось получить доступ к системам, они даже пытались удаленно изменить уровень содержания хлора, что могло вызвать волну отравлений. Национальный кибердиректорат Израиля (INCD) выпустил предупреждение о возможных кибератаках на автоматизированные системы управления технологическим процессом (АСУ ТП) водоочистных сооружений, водонасосных станций и канализационных сетей, а также рекомендовал оперативно сменить пароли для всех подключенных к интернету систем.
Тихонова обращает внимание на сентябрьскую атаку вируса-шифровальщика на Университетскую клинику Дюссельдорфа (Германия), которая привела к гибели 78-летней пациентки.
— Женщине срочно потребовалась медицинская помощь, она вызвала бригаду. Но когда медики приехали, выяснилось, что ближайшая крупная больница временно не принимает пациентов. Накануне серверы этой клиники поразил вирус-вымогатель DoppelPaymer, за которым может стоять русскоязычная хакерская группа, — рассказывает эксперт. — Злоумышленники заблокировали доступ к базам данных, системам мониторинга аппаратуры и прочим важным функциям, потребовав «выкуп». Женщину пришлось везти в другую клинику, в часе езды от Дюссельдорфа. В итоге врачам не удалось спасти ей жизнь.
От вируса-шифровальщика, отмечает Тихонова, в июле этого года пострадал американский производитель носимой электроники и навигационной техники Garmin. Инцидент затронул не только носимые гаджеты и связанные с ним службы, но и решения, поддерживающие линейку авиационного оборудования компании (flyGarmin и Garmin Pilot).
— В результате миллионы любителей бега никуда не побежали, велосипедисты — не поехали. А те, кто все же пошел на тренировку, не смогли узнать свой результат. У пилотов гражданской авиации США долгое время не получалось обновить полетные карты, — подытоживает эксперт.
Еще одна кибератака, попавшая в топ, — июньский взлом компьютерных систем девяти заводов японского автопроизводителя Honda, расположенных в девяти разных странах. От атаки пострадали предприятия в Японии, Италии, Турции, Великобритании и США. Производство в Штатах и Бразилии было приостановлено. Злоумышленники использовали вирусов-вымогателей.
Замыкает список громких кибератак компрометация мониторинговой платформы Orion американской компании SolarWinds. Киберпреступники несколько месяцев шпионили за ее клиентами: корпорациями, ведомствами и пользователями, которые скачивали зараженное обновление.
— Компания уведомила об инциденте 33 тысячи клиентов: жертвами атаки на SolarWinds стали несколько IT-гигантов, в том числе компания FireEye, один из крупнейших в мире поставщиков решений по кибербезопасности. После сообщений об атаке акции SolarWinds рухнули почти на 25%, — объясняет Тихонова.
Собеседница Daily Storm считает, что паралич целых отраслей экономики, массовый перевод сотрудников на удаленный режим и массовые сокращения привели к всплеску компьютерной преступности, которая открыла для себя новые схемы и способы незаконного обогащения.
— В период пандемии аналитики Group-IB отметили рост количества кибератак от прогосударственных хакерских групп и киберкриминала, эксплуатирующих тему COVID-19, — рассказывает Тихонова. — Преступники эксплуатируют тему COVID-19, используя шпионское ПО, шифровальщики и бэкдоры. Злоумышленники искали способ проникновения в сети предприятий, адресно атакуя сотрудников, работающих удаленно, путем заражения их компьютеров вредоносными программами, через которые затем получали доступ в корпоративную сеть.
Анастасия Тихонова обращает внимание, что на фоне снижения количества успешных целевых атак на банки можно заметить стремительный рост числа финансовых мошенничеств с использованием социальной инженерии (например, фишинга). Жертвами в основном становились клиенты банков. Главный мотив киберпреступников, по словам эксперта, остался прежним — кража денег или информации, которую можно продать. Однако мотив приобрел новую «упаковку», адаптированную под актуальную повестку: в 2020 году подавляющее большинство преступных групп переключились на работу с шифровальщиками. С их помощью можно заработать не меньше, чем в случае успешной атаки на банк, а техническое исполнение — значительно проще.
— В этом году активно развивался и рынок услуг Cybercrime-As-a-Service, связанный со сдачей в аренду компьютерных сетей, зараженных вредоносным программным обеспечением (ботнетов), — подытоживает Тихонова. — Ботнеты используются, например, при организации DDoS-атак, рассылке фишинговых писем и предоставлении прокси-серверов. Появляются новые продавцы доступов, которые вступают в партнерские отношения с операторами шифровальщиков; APT-группы, которые раньше занимались банковскими хищениями, теперь работают по приватным партнерским программам. Прогосударственные группировки также не игнорируют этот способ обогащения, открывая путь шифровальщикам к инфраструктуре крупных компаний. Эта угроза приобрела колоссальные масштабы и теперь актуальна для каждой компании, независимо от отрасли и географической принадлежности.