«Мобильник у высшего чиновника — это преступление»
Взломанный твиттер премьер-министра, переписка его пресс-секретаря, выставленная на интернет-торгах, трехлетний архив СМС-сообщений высокопоставленного чиновника администрации президента — далеко не полный список достижений хакеров группы «Анонимный интернационал», известной также как «Шалтай-Болтай». Кибервзломщики не зря выкладывают содержимое важных почтовых ящиков и переписку в шифруемых мессенджерах. Читайте внимательно: если вами заинтересуются, спастись практически невозможно.
«URA.Ru» с помощью экспертов попробовало выяснить, как «интернет-активистам» удалось получить доступ к персональным устройствам политиков и насколько высокой должна быть квалификация хакера, чтобы достать такую информацию. Оказалось, что «киберэлитой» для этого быть не обязательно.
«Письма лично на почту ношу»
Большинство опубликованных взломов «Анонимного интернационала» можно разбить на несколько групп: вскрытие ящика на бесплатном почтовом сервере (вице-премьер Аркадий Дворкович), и на домене gov.ru (пресс-секретарь председателя правительства Наталья Тимакова), взлом аккаунта в социальных сетях (премьер-министр Дмитрий Медведев), выкачивание смс-переписки и архива сообщений коммуникатора (замглавы Управления внутренней политики администрации президента Тимур Прокопенко).
Прокомментировать каждую из этих групп «URA.Ru» согласились два специалиста: антивирусный эксперт лаборатории Касперского Сергей Ложкин и «специалист по обратной стороне кибербезопасности», по понятным причинам согласившийся только на анонимный комментарий. Несмотря на то, что они находятся по разные стороны баррикад, их предположения и выводы почти дословно совпадают.
— Взлом почтового ящика большинства известных бесплатных почтовых сервисов технически очень и очень сложен, — отмечает Ложкин. — Компании крупные, они достаточно серьезно следят за безопасностью. Но таким способом мало кто пользуется — обычно все осуществляется с помощью социальной инженерии — например, человеку приходят фишинговые письма. Они сделаны в фирменной цветовой гамме того же почтового сервера и предлагают человеку сбросить пароль, поменять данные в связи со взломом, и т.д. Человек проходит по ссылке, попадает на фейковый сайт, который выглядит абсолютно так же, как его сервис, и самостоятельно отдает свой почтовый пароль в руки преступников.
— Ломать почту снаружи — геморройное занятие, — вторит ему «специалист». — Брутфорсом (метод последовательного перебора) давно никто ничего не ломает. Тут, в основном, работает социальный хак. Способов миллион: от «дай телефон позвонить» и фишинга до троянов, которые просто заберут бэкап (резервная копия всех данных устройства) с локального компа и утащат на удаленное хранилище.
Взлом «корпоративной» почты может стать более сложной задачей.
— Если почтовый сервис разработан специалистами высокого уровня, которые пишут хороший код и которые серьезно относятся к тому, что делают, то квалификация взломщика должна быть на уровне сотрудников спецслужб, занимаются разведкой в области киберпространства, — констатирует Сергей Ложкин. — Человек должен очень хорошо знать, как устроена сетевая архитектура, разбираться в том, как использовать вредоносное ПО, чтобы каким-то образом, через определенные лазейки, получить доступ. В реальности, конечно, это чаще всего происходит именно через вредоносное ПО. Очень опасен инсайдер — сотрудник атакуемой организациии, который действует в интересах хакера. Он может выполнить различные задания, рассказать взломщику о сетевой инфраструктуре, о том, как используются определенные изолированные участки сети и т.д. Инсайдер всегда является очень большой угрозой по одной простой причине: ему можно просто дать флешку с вредоносом, он ее запустит в сеть и этого будет достаточно.
Впрочем, в случае с почтой на правительственном домене «gov.ru» все несколько проще.
— Все эти ресурсы, — gov.ru, если он русский, и *.gov, если западный — в первую очередь, информационные, — считает эксперт лаборатории Касперского. — Вероятность, что на подобных ресурсах окажутся некие ДСП документы, крайне мала. Безусловно, они там могут появиться по вине нерадивого сотрудника, или если этот ресурс используется как прослойка для последующего входа через vpn (защищенный вход) во внутреннюю сеть. Но я не слышал о том, чтобы там что-то было, все-таки gov.ru — информационный ресурс.
«Сквозь дыру в моей голове»
Наиболее резонансные взломы «Анонимного интернационала» — кража доступа в твиттер-аккаунт Дмитрия Медведева и изъятие переписки Тимура Прокопенко — по мнению анонимного эксперта «URA.Ru», могут иметь одно и то же происхождение:
— По поводу интересующих событий — скорее всего, вскрыли iCloud, в котором лежало все остальное, включая backup телефона, — предполагает он. — И backup, конечно же, не был зашифрован. Ну и понеслось...
«URA.Ru»: У Дмитрия Медведева действительно был iPhone, про это вся страна в курсе. Но у Тимура Прокопенко мог быть любой другой телефон — от «Нокии» до Vertu.
— Я подозреваю, что все-таки iPhone. Так вот. Судя по датам, ломали сильно заранее через дырку, которую Apple нашел и прикрыл в конце 2014 года. Эта дырка позволяла брутфорсить пароли на iCloud. А поскольку пароли у всех простые, брутфорс тоже был простой и быстрый. Медведева, судя по всему, именно так и ломанули.
Другие операционные системы, впрочем, не менее уязвимы, и, если намерение хакера наложится на небрежность его жертвы, получить доступ к аккаунтам в соцсетях становится легко осуществимой задачей — даже с учетом так называемой «двойной авторизации».
— Все компрометируется с помощью вредоносного ПО, — объясняет Сергей Ложкин. — Например, вы ведь часто заходите в соцсети из дома? Взломщики легко обнаружат, что вы заходите с одного и того же компьютера и одного и того же IP-адреса. Затем киберпреступник просто взламывает ваш компьютер с помощью вредоносной программы и использует ваш же компьютер для доступа в соцсети. Вот и все — двойная авторизация просто не включится. Еще способ — это заразить устройство двойной авторизации — например, телефон. Сейчас у всех смартфоны, заразить которые не особенно сложно. А дальше идет перехват смски, которая будет отправлена киберпреступнику, который войдет в сеть, вот и все.
«URA.Ru»: Подождите: тогда СМС должна упасть к нам обоим.
— Нет, вредонос перехватит вашу смску, и до вас она просто не дойдет. Вы не узнаете, что кто-то зашел в социальную сеть под вашим логином.
Телефон чиновника так же, как и аккаунт в соцсетях, может стать объектом интереса хакера. Причем надежность и защищенность мобильника не особенно зависят от производителя, сотовой сети или операционной системы. iOS хранит данные в iCloud, который можно взломать, а Android и Windows подвержены риску подселения трояна.
— Если вредоносное ПО получает доступ к вашему телефону, то киберпреступник получает доступ абсолютно ко всему, — отмечает Сергей Ложкин. — Он видит всю вашу переписку, может скачать все ваши фотографии и увести все ваши деньги, потому что он будет перехватывать все ваши запросы в системе онлайн-банкинга через мобильный телефон. Если вредонос разработан профессионалом, он сможет по команде «снаружи» записывать все ваши разговоры, проводить съемку и отправлять эти данные киберпреступникам.
Мобильник как преступление
— Говорить о том, что «Шалтай» — какие-то суперпрофи, я не могу, потому что не видел пока ни одного капитально сложного взлома, — констатирует анонимный эксперт «URA.Ru». — Понимаешь, ломать «физика» намного проще, чем правильную контору, которая знает, что на нее нападают. И неважно, сколько ФСОшников у Медведева за спиной. Пока он пользуется айфоном — он просто физик. Серьезно. И вообще: мобильник у высшего чиновника — это преступление с точки зрения национальной безопасности. Вот Путин не пользуется телефоном вообще — потому что в курсе.
«URA.Ru»: То есть это именно хакеры — не спецслужбы, не организации с сильным IT-штатом?
— Хакеры — это инструмент. Вопрос: кто заказчик.
«URA.Ru»: А ты не допускаешь, что это просто идейные парни?
— Конечно, нет. Это заказ. Идейные вывалили бы все сразу и не устраивали спектакль типа «мы еще чо знаем». Эти зарабатывают, очевидно. Скорее всего, хакеры ломают, передают массивы заказчику, он оформляет и передает обратно для публикации. Заказ массива, обработка, заказ слива. Это называется аутсорсинг.
«URA.Ru»: Такая схема предполагает постоянную связь. А это — уязвимость и риск деанонимизации.
— Ой, нет. Вариантов масса. Через дропбокс шифрованными архивами, (называет еще несколько способов, за озвучиваниие которых можно вызвать санкции со стороны Роскомнадзора) — выбирай, что понравится.
Если успешные взломы «Анонимного интернационала» связаны исключительно с уязвимостью в системе iCloud, можно предположить, что «сливов» персональной информации больше не будет.
— Что будут выкладывать дальше — не знаю, — размышляет «теневой» эксперт «URA.Ru». — Судя по тому, что уже скачано, в наличии остались, пожалуй, только личные фотографии и данные кредитных карт. Лично я бы попробовал что-то сделать с кредитками — вполне возможно, жертвы «Шалтая» до сих пор не догадались их перевыпустить.
«URA.Ru»: После того, как Apple ликвидировал уязвимый сегмент в Icloud, политикам бояться нечего?
— Нет уж, пусть дальше боятся. Наверняка есть еще дыры, о которых пока неизвестно. Плюс никто не отменял фишинг, трояны на компах с Itunes и кастомизированные телефоны (полностью настроенные под конкретного владельца). То, что у нас чиновники ходят с паролями «12345» на почте и телефонах — это потому, что их за это не бьют больно по голове. Беречь цифру никто никого не учит и не собирается. В плане сетевой безопасности у нас народ в основной массе — темный и дурной. Никто не задумывается, что в кармане лежит вся жизнь.
Эксперт лаборатории Касперского озвучил ту же мысль, но несколько более деликатно.
— Мы живем в век растущих технологий, киберпреступников огромное количество — это бизнес, который приносит миллиарды долларов, — напоминает Сергей Ложкин. — Взлому и запуску вредоноса подвержено любое устройство, в котором есть операционная система. А операционная система у нас есть сейчас практически везде: телефон, компьютер, автомобиль... Телевизоры уже тоже используются, в том числе, и для разговоров по Скайпу, в них есть камера и микрофон, а значит, может случиться, что вы смотрите его, а он «смотрит» вас. Так что нужно ставить антивирусы, не нужно открывать подозрительные письма и ходить по «левым» ссылкам. Это — культура, которой пока мало кто владеет.
Когда материал был готов к публикации, стала известна еще одна небольшая подробность: до недавнего времени Тимур Прокопенко действительно пользовался мобильным телефоном iPhone. Анонимный эксперт «URA.Ru» оказался прав.
Сохрани номер URA.RU - сообщи новость первым!