Вступить в наш чат

Сегодня вспомним историю об одних из самых популярных и успешных, но не самых аккуратных и очень доверчивых русских хакеров, ограбивших РауРаl.

В конце 2000 года ФБР обманом заманило в США двух хакеров из Челябинска, после того, как мошенники появились в стране их очень быстро арестовали. Речь пойдет в двух русских хакеров, которых США объявило в розыск и обвинило во многих кибератаках, — 20-летний Алексей Иванов и 25-летний Василий Горшков.






При задержании у мошенников обнаружили файл с номерами 38 тысяч кредитных карт пользователей РауРаl.

Ребята работали в огромных масштабах, используя простой фишинг. Однако важно помнить, о каком времени мы говорим — в нулевых стационарные компьютеры только начали появляться и осведомленность граждан была очень слабой.

Чтобы завладеть личной информацией пользователей, хакеры создавали страницы, точную копию официального сайта популярной платежной системы РауРаl. Представитель РауРаl признался, что на протяжении нескольких лет в сети существовали такие «зеркала», но не стал сообщать точную информацию о похищении денежных средств. В то время у руля РауРаl ещё был Илон Маск.






Интересна была и операция по поимке челябинских хакеров. Во-первых, ФБР создали фиктивную компанию Invita. Отдельно стоит отметить, что уже на этом этапе операция могла провалиться, ведь по-английски «invite» означает «приглашать».

Далее ФБР под видом частной компании связалось с подозреваемыми и попросило их продемонстрировать фирме свои навыки. Талантливые хакеры успешно взломали Invita, а затем компания предложила работать на них.

Когда Иванов и Горшков в ноябре 2000 года приехали в США и пришли в офис компании, в качестве тестового задания им было необходимо выполнить взлом. Однако сделать это нужно было на компьютере ФБР, где уже стояли всевозможные трекеры, которые, в том числе считывали логины и пароли. После того, как ничего не подозревающие хакеры взломали что-то на глазах у ФБР, их арестовали.






Многие уверены, что Иванов и Горшков — лишь часть большой преступной группировки, и их арест послужит предостережением для российских хакеров.

Горшков получил срок в 4 года американской тюрьмы. А его товарищ Иванов сам признал себя виновным и провел в заключении три года и восемь месяцев.

После отбывания срока хакеры не давали комментариев и предпочли быть более аккуратными в интернете. Однако Горшков решил пойти путем праведным и стать слугой народа — в 2016 году появилась информация о неожиданном включении хакера с американской судимостью в челябинский облизбирком.

Вступить в наш чат

Владимир Дринкман – уроженец Сыктывкара, окончил в столице Коми школу № 1, учился в Сыктывкарском госуниверситете. 14 февраля 2018 года американский судья приговорил россиянина к 12 годам тюремного заключения за его участие в хакерской схеме, которая, по словам ФБР, нанесла ущерб в сотни миллионов долларов за счет продажи 160 миллионов украденных номеров кредитных карт.

Владимира Дринкмана арестовали в Амстердаме в июне 2012 года и экстрадировали в США в феврале 2015 года.





Дринкман был обвинен и признал себя виновным по нескольким статьям: сговор с целью незаконного доступа к компьютерам и сговор с целью мошенничества с использованием электронных средств связи.

Впервые на радарах ФБР Владимир появился еще в 2003 году, когда участвовал в мошеннических схемах. Тогда он устанавливал на устройства «снифферы», предназначенные для кражи данных из компьютерных сетей финансовых компаний, платежных систем и розничных продавцов.

Далее Дринкман сохранял украденные данные и продавал заинтересованным. За каждую кредитную карту он получал от 10 до 50$, а таких данных у него было очень много.





Хакерская схема обошлась банкам и компаниям очень дорого. Банки, выпускающие кредитные карты, обеднели на сотни миллионов долларов. Одна компания заявила о убытке в более чем 300 миллионов долларов. Всего о кражах сообщили только три компании, но число пострадавших составляет несколько десятков.

По официальным данным ФБР, Дринкман смог проникнуть в сети шестнадцати компаний, в том числе Nasdaq OMX Group Inc, 7-Eleven, французской Carrefour SA, JC Penney Co, JetBlue Airways Corp и Heartland Payment Systems Inc.





Отдельно стоит рассказать о том, как попался Владимир. Его поездка в Амстердам оказалась слишком дорогой. В следующем выпуске расскажем о легендарной схеме Дринкмана и его подельниках, а также подробнее о его поимке.





Дринкман сейчас

Вступить в наш чат

12 утра 28 июня 2012 года. Самый известный русский кардер Владимир Дринкман и его жена спешат сесть в такси. Они пару минут назад получили информацию о том, что за ними следит ФБР. Однако сбежать пара не успела. На россиянина надели наручники и арестовали по обвинению в содействии организации того, что было названо крупнейшей преступной хакерской схемой, когда-либо расследовавшейся в Соединенных Штатах.





Дринкмана обвинили в огромном количестве кибер-атак. Он грабил биржу Nasdaq, кредитные карты из Heartland Payment Systems, 7-Eleven, сеть супермаркетов Hannaford Brothers, Visa, Dow Jones и Jet Blue и другие.

Разумеется, он работал не один. По данным ФСБ группировка нанесла ущерб в размере более 300 миллионов долларов.

Это дело стало одним из самых обсуждаемых в сфере киберпреступности. Поймать русских хакеров не так просто не только из-за высокой степени защиты, но и из-за того факта, что многие из них также находятся в странах бывшего Советского Союза, где экстрадиция практически невозможна.
Тропу к амстердамскому отелю ФСБ строили годами

Изначально ФСБ даже не предполагали найти Дринкмана в Нидерландах. Разведка следила за Дмитрием Смилянец, 31-летним предполагаемым кибер-торговцом украденными данными.




Смилянец и Дринкман




В 2004 году был закрыт преступный форум, известный как DumpsMarket, онлайн-маркет по торговле украденными данными кредитных карт. Там и было обнаружено множество улик.

На форуме агенты заметили хакера по прозвищу Скорпо, которого вскоре связали с Дринкманом. Далее были замечены двое россиян под псевдонимами Anexx и Grigg. В ходе дальнейших исследований следователи обнаружили сообщника по прозвищу Сми. Большая часть группы держалась в тени.

Смилянец, он же Сми или Смелый, живший в Москве, оказался любителем вести публичную жизнь. Он руководил успешной командой онлайн-игр под названием «Москва 5», которая ездила на международные соревнования. У его аккаунта в Твиттере ddd1ms более 14 000 подписчиков. У него также есть аккаунт в ВК, группа и аккаунт в Facebook.




Хакер Дмитрий Смилянец («Смелый»), 12 июля 2011 года
Moscow Five / YouTube




Следователи надеялись разоблачить всех фигурантов дела через Смилянец. «Мы знали, что если поймаем его, если он будет сотрудничать, он предоставит много информации о людях», — сказал чиновник.

Поэтому они наблюдали и ждали.
Каникулы в Амстердаме

Летом 2012 года Смилянец опубликовал в Facebook фото, где даже отметил геолокацию, которая указывала на Амстердам.

ФБР принялись за дело. За пару они сделали обзвон всех гостинец в округе и нашли ту самую, где проживал хакер.

Американцы договорились с голландской службой безопасности о поимке Смилянец. Голландская полиция сразу отправилась в отель Manor. Сотрудники подтвердили, что Смилянец был там с женой.

Но вот чудо — на хакера было снято два номера. Кто же во втором? Мистер Владимир Дринкман.





ФБР точно знали, что Дринкман — это Скорпо, хотя это имя не появлялось на форуме уже много лет. Подняв все архивы американцы нашли интересный скрин с форума DumpsMarket. Там было следующее: сообщение от Scorpo администратору форума с просьбой сменить ник — на Anexxian. Тот самый ник, чьего владельца ФБР искали годами.

28 июня в 8:30 утра по Амстердаму в отель прибыли голландские полицейские в сопровождении агентов Секретной службы. Смилянца арестовали сразу. Его жена принялась тайно звонить жене Дринкмана и сообщать новости об аресте.

По словам официальных лиц, Дринкман позвонил на стойку регистрации и вызвал такси, но дальше заднего сиденья он не продвинулся. «Он не сопротивлялся», — сказал представитель голландской полиции Вим де Брюин. «Было спокойно и гладко».





Именно так произошла поимка самого известного русского кардера. На протяжении нескольких лет он успешно сковывался, но был пойман из-за подельника, любившего выкладывать фото своих приключений в сеть.

Вступить в наш чат

Ещё одна легендарная история о русском хакере, который украл более 169 миллионов долларов.

32-летний мужчина из Владивостока был приговорен к 27 годам лишения свободы за преступления, связанные с компьютерным взломом.

Роман Валерьевич Селезнев, он же Track2, был осужден в августе 2016 года по 38 пунктам обвинения, связанным с его схемой взлома компьютеров торговых точек с целью кражи номеров кредитных карт и продажи их на веб-сайта даркнета.





Роман сын Валерия Селезнёва, действующего депутата Госдумы РФ от партии ЛДПР. Отец не раз пытался спасти сына от уголовного преследования: заявлял, что Романа на самом деле похитило правительство США. А когда доказательства мошеннических действий Track2 были неоспоримыми отец подавал множество апелляций в суд, но все тщетно.





Хакер известен на подпольных форумах под никами Bulba, Track2, 2pac, nCuX и др. Он сам торговал дампами через сайты POS Dumps, track2.tv, bulba.cc, 2рас.сс — на последнем продавались миллионы дампов, снятых из терминалов магазинов Target, Neiman Marcus, Michaels, Staples и Home Depot, в 2013-2014 годы это был крупнейший магазин дампов в интернете.

Согласно доказательствам, представленным в суде, в период с октября 2009 г. по октябрь 2013 г. Селезнев взламывал системы розничных точек продаж и устанавливал вредоносное программное обеспечение, которое позволило ему украсть миллионы номеров кредитных карт более чем 500 американских компаний и отправить данные на серверы, которые он контролировал в России, Украине и Маклине, Вирджиния. Затем Селезнев объединил информацию о кредитных картах в группы, называемые «базами», и продал информацию о различных криминальных кардинговых сайтах покупателям, которые использовали их для мошеннических покупок, согласно доказательствам, представленным в ходе судебного разбирательства по этому делу.

Многие из предприятий, на которые нацелился Селезнев, были малыми предприятиями и включали рестораны и пиццерии в Западном Вашингтоне, в том числе Broadway Grill в Сиэтле, который был обанкротился после кибератаки. Схема Селезнева нанесла примерно 3700 финансовым учреждениям убытки на сумму более 169 миллионов долларов.





Селезнева взяли под стражу в июле 2014 года на Мальдивах, а находящийся у него на тот момент ноутбук содержал более 1,7 миллиона украденных номеров кредитных карт, в том числе некоторых из предприятий в Западном Вашингтоне. Ноутбук также содержал дополнительные доказательства, связывающие Селезнева с серверами, учетными записями электронной почты и финансовыми транзакциями, задействованными в схеме. Представленные в суде доказательства показали, что Селезнев заработал на своей преступной деятельности десятки миллионов долларов.

Селезнев был осужден 25 августа 2016 г. по 10 пунктам обвинения в мошенничестве с использованием электронных средств связи, восьми пунктам обвинения в умышленном повреждении защищенного компьютера, девяти пунктам обвинения в получении информации с защищенного компьютера, девяти пунктам обвинения в хранении 15 и более устройств несанкционированного доступа и двум пунктам обвинения. количество случаев кражи личных данных при отягчающих обстоятельствах.

"Преступное предприятие Селезнева было одновременно изощренным и обширным, с транснациональными последствиями», — сказал ответственный специальный агент Роберт Л. Кирстед из Секретной службы США.

Селезнев также обвиняется в отдельном обвинительном акте округа Невада в участии в коррупционной организации, находящейся под влиянием рэкета (RICO), и сговоре с целью участия в коррупционной организации, находящейся под влиянием рэкета, а также в двух пунктах обвинения в хранении 15 или более контрафактных и несанкционированных устройств. Кроме того, в Северном округе Грузии Селезневу предъявлено обвинение в заговоре с целью совершения банковского мошенничества, одном эпизоде ​​банковского мошенничества и четырех пунктах обвинения в мошенничестве с использованием электронных средств.

На свободе у Романа осталась гражданская жена и маленькая дочка. По словам жены, Роман был "обычным пользователем компьютера" и точно не виноват во всех присвоенных ему злодействах. А его отец не забыл подчеркнуть тот факт, что Роман в университете учился на гуманитарной специальности и с компьютерами встречался редко.

Вступить в наш чат

Group-IB разоблачил атаки группы хакеров, работающих с 2016 года. Хотя банда ранее нападала на российские банки, эксперты Group-IB также обнаружили доказательства деятельности группы более чем в 25 странах мира. Group-IB опубликовала свой первый подробный отчет о тактике и инструментах, используемых Silence. Гипотеза аналитиков безопасности Group-IB заключается в том, что по крайней мере один из членов банды является бывшим или нынешним сотрудником компании, занимающейся кибербезопасностью. Подтвержденный ущерб от деятельности Silence оценивается в 800 000 долларов США.





Silence — это группа русскоязычных хакеров, судя по их языку команд, расположению используемой ими инфраструктуры и географии их целей (Россия, Украина, Беларусь, Азербайджан, Польша и Казахстан). Хотя фишинговые письма рассылались также банковским служащим в Центральной и Западной Европе, Африке и Азии). Кроме того, Silence использовала русские слова, набранные на английской раскладке клавиатуры, для команд используемого бэкдора. Хакеры также использовали услуги русскоязычного веб-хостинга.

По данным Group-IB, в течение последних трех лет группа проводила тайные кибератаки на финансовые учреждения в России и Восточной Европе.

Группа оставалась незамеченной в течение многих лет, в основном из-за ее предрасположенности к использованию законных приложений и инструментов, уже найденных на компьютерах жертв.





Но Silence также создали свои собственные инструменты, такие как:

Silence — основа для атак на инфраструктуру;
Атмосфера — набор программных средств для атак на банкоматы;
Farse — инструмент для получения паролей со взломанного компьютера;
Cleaner — инструмент для удаления логов.

Эти инструменты в сочетании с тактикой скрытности помогли группе оставаться незамеченной гораздо дольше, чем многим ее коллегам.

Как ФБР удалось раскрыть самых аккуратных хакеров? Расскажем в следующей части.

Вступить в наш чат

Давайте разберемся, кто стоит за группировкой хакеров, прозванными самыми аккуратными мошенниками в мире.
Кто такие Silence Group

У команды Silence есть две четкие роли: оператор и разработчик. Предположительно, Оператор является лидером группы. Он действует как тестировщик, который обладает глубокими знаниями инструментов для проведения тестирования на проникновение в банковские системы. Эти знания позволяют группе легко ориентироваться внутри банка. Именно оператор получает доступ к защищенным системам внутри банка, а затем осуществляет кражу.

Разработчик является квалифицированным реверс-инженером. Он отвечает за разработку инструментов для проведения атак, а также способен модифицировать сложные эксплойты и стороннее программное обеспечение. Кроме того, разработчик обладает достаточными знаниями о процессах, системах ATM и имеет доступ к непубличным образцам вредоносных программ, которые обычно доступны только охранным компаниям.

Отличительной особенностью Silence является их нетипичная ролевая структура и небольшой размер. Оказывается, в эту русскоязычную группу входят всего два человека.





Как и в большинстве финансово мотивированных APT-групп, члены Silence являются русскоговорящими, о чем свидетельствует язык команд, приоритеты в размещении арендуемой инфраструктуры, выбор русскоязычных хостинг-провайдеров и местоположение целей.

Команды троянца Silence - это русские слова, набранные с использованием английской раскладки:

htrjyytrn > реконнект (повторное подключение) htcnfhn > рестарт (перезапуск) ytnpflfybq > нетзадач (нет задач)

Основные цели находятся в России, хотя фишинговые электронные письма были отправлены сотрудникам банков более чем в 25 странах Центральной и Западной Европы, Африки и Азии.

Для аренды серверов Silence использует русскоязычных хостинг-провайдеров.
Преступления самых аккуратных хакеров

Успешные атаки Silence в настоящее время были ограничены странами СНГ и Восточной Европы. Их основные цели расположены в России, Украине, Беларуси, Азербайджане, Польше и Казахстане.

Однако некоторые фишинговые электронные письма были отправлены сотрудникам банка более чем в 25 странах Центральной и Западной Европы, Африки и Азии.





Хронология атак

Июль 2016 — хакерам не удалось вывести деньги через российскую AWS CBR. Сотрудники банка быстро заметили подмену документов и залатали дыру в системе.
Август 2016 — всего за месяц хакеры снова получили доступ к системам AWS CBR. На этот раз банк попросил Group-IB отреагировать на инцидент. Атака была остановлена. Однако полный журнал инцидента восстановить было невозможно, поскольку в попытке очистить сеть ИТ-команда банка удалила большинство следов злоумышленника.
Октябрь 2017 года — наконец удачная кибератака. На этот раз Сайленс атаковал банкоматы и украл более 100 000 долларов всего за одну ночь. В том же году они провели DDoS-атаки с использованием IRC-бота Perl и общедоступных IRC-чатов для контроля троянов. После неудачной попытки с системой межбанковских транзакций в 2016 году преступники не пытались вывести деньги с помощью системы, даже получив доступ к серверам AWS CBR.
Февраль 2018 — успешная атака с использованием обработки карт. Они сняли более 550 000 долларов через банкоматы банка-партнера.
Апрель 2018 — через два месяца группа вернулась к своему проверенному методу и снова сняла средства через банкоматы. За одну ночь они выкачали около 150 000 долларов. На этот раз инструменты Silence были значительно изменены: они не были обременены избыточными функциями и стабильно работали без ошибок.

Что с Silence сейчас

На момент 2023 года хакеры так и не были пойманы, что говорит об их исключительной системе безопасности. На сегодняшний день расследование продолжается, но с 2018 года нет официальных заявлений или отчетов об активности Silence. Команда полностью оправдывает своё название — "Тишина".

Вступить в наш чат

Международные эксперты по кибербезопасности подсчитали, что в 2019 году кибератаки происходили во всем мире каждые 14 секунд. Сегодня вспомним о том, как хакеры украли данные на 2,5 трлн. долларов.





Что произошло

Данные миллионов клиентов обнаружены на черном рынке в результате крупнейшей в истории утечки информации о кибербезопасности в российском банковском секторе.

Аналитики компании DeviceLock, занимающейся кибербезопасностью, обнаружили личную информацию, относящуюся к 60 миллионам держателей кредитных карт Сбербанка, для продажи на черном рынке. Им удалось проанализировать данные около 200 предполагаемых клиентов, предоставленные им продавцом, и проверить их подлинность.

Российская газета «Коммерсант» дополнительно проверила некоторые данные, успешно найдя в базе данных данные кредитных карт своих журналистов, включая личные данные, такие как их место работы за последние три года.

«Это самая большая и подробная банковская база данных, которая когда-либо появлялась на черном рынке», — сказал основатель DeviceLock Ашот Оганесян.

«В мировом рейтинге банковских утечек это можно считать крупным инцидентом. Для российского рынка это абсолютный рекорд, по крайней мере, за последние десять лет», — сказал он The Moscow Times.

Данные появились для продажи на сайте, который заблокирован российским регулятором связи Роскомнадзором. Предполагается, что утечка данных могла произойти в конце августа 2019.





Что ответил банк

Сбербанк подтвердил утечку данных «не менее 200 клиентов», заявив, что утечка могла произойти от сотрудника банка.

В официальном заявлении на своем сайте банк сказал:

«На данный момент проводится служебное расследование, о его результатах будет сообщено в будущем. Наиболее вероятным объяснением произошедшего являются умышленные преступные действия сотрудника, так как внешнее проникновение в базу данных невозможно из-за ее изолированности от внешней сети. Украденная информация ни в коем случае не угрожает сохранности средств клиентов», — говорится в сообщении.

В частности, в Сбербанке заявили, что, поскольку просочившаяся информация не содержит трехзначных CVV-кодов кредитных карт, а клиенты также требуют код подтверждения в текстовом сообщении для совершения онлайн-платежей, клиенты не подвергаются риску мошенничества.
Какой масштаб трагедии на самом деле

Однако Оганесян сообщил The Moscow Times, что в результате утечки клиенты Сбербанка стали жертвами «различных видов мошенничества». В частности, он выделил телефонное мошенничество, сославшись на инцидент, произошедший ранее в этом году, когда клиентам Сбербанка звонили мошенники, выдававшие себя за представителей банка.

Сообщается, что в сеть утекли данные о 60 миллионов карт пользователей Сбербанка. Эта утечка стала самой масштабной за всё время работы банка.





Кто взломал

За всё время расследования Сбербанк так и не вышел на преступников. Во всяком случае, не делал официальных заявлений о том, что хакеры найдены и наказаны.

Служба безопасности Сбера сообщила о своей версии произошедшего: к взлому причастны работники банка, розыск которых всё ещё ведётся.

Вступить в наш чат

Эта история началась еще летом. Эстония попала под волну кибератак из-за того, что снесла несколько советских памятников.

«В августе 2022 Эстония подверглась самым масштабным кибератакам, с которыми она сталкивалась с 2007 года», — написал в Twitter заместитель министра экономики и коммуникаций Эстонии Луукас Ильвес.

Ильвес также сказал, что ддосу подверглись не только правительственные сайты, но и частные учреждения.

Ответственность за атаки взяла на себя российская хакерская группа Killnet, заявившая в своей учетной записи Telegram, что она заблокировала доступ к более чем 200 государственным и частным эстонским учреждениям, таким как онлайн-система идентификации граждан.





Killnet, заявившая об аналогичной атаке на Литву в июне, заявила, что действовала после того, как во вторник в городе Нарва, недалеко от границы Эстонии с Россией, была изъята из публичного обозрения копия советского танка Ту-34 времен Второй мировой войны и доставлена в Эстонию.

Ранее эстонское правительство распорядилось о скорейшем сносе всех общественных мемориалов советской эпохи в преимущественно русскоязычном городе, сославшись на растущую там напряженность и обвинив Москву в попытке использовать прошлое для разделения эстонского общества.
Напряженность вокруг советских памятников

При DDoS-атаке хакеры пытаются завалить сеть необычно большими объемами трафика данных, чтобы парализовать ее, когда она больше не может справляться с объемом запрошенных данных.

Эстония, член Европейского союза и НАТО, приняла меры по усилению кибербезопасности в 2007 году после масштабных DDoS-атак на публичные и частные веб-сайты, ответственность за которые она возложила на российских субъектов, разгневанных его удалением во время еще одного памятника советской эпохи.

Как и ее балтийские соседи, Эстония снесла множество памятников, прославляющих Советский Союз или коммунистических лидеров, с тех пор, как страна восстановила независимость в 1991 году.

Правительство и многие эстонцы рассматривали памятник в Таллинне как болезненное напоминание о 50-летней советской оккупации, в то время как некоторые этнические русские рассматривали его снос как попытку стереть свою историю.

Эти события напомнили о том, как в 2007 году группа русских хакеров уже совершала кибератаку на Эстонию. В следующем выпуске расскажем о том, какой ущерб понесло правительство Эстонии, а также удалось ли им раскрыть и наказать нарушителей.

Вступить в наш чат

Прошлым летом российская хакерская группа, известная как Cold River, атаковала три ядерные исследовательские лаборатории в Соединенных Штатах, согласно интернет-записям, просмотренным Reuters и пятью экспертами по кибербезопасности.

В период с августа по сентябрь, когда Владимир Путин указал, что Россия будет готова использовать ядерное оружие для защиты своей территории, Cold River нацелился на национальные лаборатории в Брукхейвене (BNL), Аргонне (ANL) и Ливерморе Лоуренса (LLNL). {акеры создают поддельные страницы входа для каждого учреждения и рассылают электронные письма ученым-ядерщикам, пытаясь заставить их раскрыть свои пароли.





Кто такие Cold River

Cold River впервые попала в поле зрения специалистов разведки после нападения на министерство иностранных дел Великобритании в 2016 году. За последние годы она была замешана в десятках других громких хакерских атак. Агентство Reuters отследило учетные записи электронной почты, использованные в его хакерских операциях в период с 2015 по 2020 год, до ИТ-специалиста в российском городе Сыктывкар.

«Это одна из самых важных хакерских групп, о которых вы никогда не слышали», — сказал Адам Мейерс, старший вице-президент по разведке американской компании по кибербезопасности CrowdStrike. «Они участвуют в прямой поддержке информационных операций Кремля».





Западные чиновники заявляют, что российское правительство является мировым лидером в области хакерских атак и использует кибершпионаж, чтобы шпионить за иностранными правительствами и отраслями, чтобы получить конкурентное преимущество. Однако Москва последовательно отрицает, что проводит хакерские операции.

В мае Cold River взломал и слил электронные письма, принадлежащие бывшему главе британской разведывательной службы МИ-6. Это была лишь одна из нескольких операций «взлома и утечки», проведенных в прошлом году хакерами, связанными с Россией, в ходе которых конфиденциальные сообщения были обнародованы в Великобритании, Польше и Латвии.

По данным французской фирмы по кибербезопасности Sekoia.io, во время другой недавней шпионской операции, направленной против критиков Москвы, компания Cold River зарегистрировала доменные имена, имитирующие как минимум три европейские неправительственные организации, расследующие военные преступления.

Попытки взлома, связанные с неправительственными организациями, имели место непосредственно перед и после опубликования 18 октября доклада независимой следственной комиссии ООН, в котором было установлено, что российские силы несут ответственность за «подавляющее большинство» нарушений прав человека в первые недели войны на Украине.

Вступить в наш чат

Пророссийская хакерская группа взяла на себя ответственность за временное закрытие нескольких веб-сайтов аэропортов США.

Кибератаки, о которых заявила Killnet, затронули, в частности, веб-сайты Los Angeles International, Chicago O'Hare и Hartsfield-Jackson International в Атланте.

Хакеры разместили список аэропортов в Telegram, призывая хакеров участвовать в так называемой DDoS-атаке — распределенном отказе в обслуживании, когда компьютерная сеть переполняется одновременными передачами данных.
Кто пострадал

Призыв хакеров к действию включал аэропорты по всей стране, включая Алабаму, Аризону, Арканзас, Калифорнию, Колорадо, Коннектикут, Делавэр, Флориду, Джорджию, Гавайи, Айдахо, Иллинойс, Индиану, Айову, Канзас, Кентукки, Луизиану, Мэриленд, Массачусетс, Мичиган, Миннесота, Миссисипи и Миссури.





Не сразу стало ясно, сколько аэропортов действительно пострадало и все ли сайты пострадавших пострадали.

В Атланте власти заявили, что ATL.com «заработал после инцидента рано утром, который сделал его недоступным для публики». Но люди в Твиттере продолжали жаловаться на то, что части сайта были недоступны в течение нескольких часов после того, как было сделано объявление.
Какие ещё атаки сделали Killnet

В более раннем сообщении Killnet отметил другие уязвимые сайты США, которые могут подвергнуться аналогичным DDoS-атакам, включая морские терминалы и логистические объекты, центры мониторинга погоды, системы здравоохранения, системы метро, а также биржи и системы онлайн-торговли.

Хакеры поздравили несколько команд, которые помогли вывести сайты из строя, написав: «Кто участвовал в ликвидации Соединенных Штатов Америки, не останавливайтесь !!»

Вследствие расширения и сплочения этой группы последовала очередная волна кибератак на государственные сайты штатов.

Вступить в наш чат

Группировка NoName057(16) утверждает, что они атаковали центральный банк Дании, министерство финансов и 7 частных кредиторов. Хакеры объяснили взломы тем, что «Дания поддерживает украинских неонацистов».

Что произошло

В январе русские хакеры заявили, что они ответственны за кибератаки на сайты Дании. В этот раз взлом осуществляли не Killnet, которые еще в декабре взломали сайт ФБР США, а хакеры из группировки NoName057(16).

Взлому подверглись интернет-странички ЦБ Дании и семи частных банков. Также хакеры атаковали сайт Минфин Дании.





В чем причина

Для разъяснения своих действий группировка представила анонимного представителя, который рассказал, что поддержка Украины Данией стала причиной многочисленных атак на важные сайты государства.

«Дания поддерживает украинских неонацистов, — заявила группировка местным СМИ. — Этого достаточно, чтобы мы начали атаку на важнейшую инфраструктуру вашей страны. Банковский сектор был выбран потому, что он является одним из важнейших компонентов этой критически важной инфраструктуры».
Что было взломано

Из-за кибератак пострадали многие банки:

Danske Bank
Jyske Bank
Sydbank
Sparekassen Sjælland-Fyn
Bankinvest
Arbejdernes Landsbank
Handelsbanken





Атаки происходили с 9 по 11 января. Целых три дня большинство банков Дании были полностью или частично недоступны как для администрации, так и для клиентов.

Группа также взяла на себя ответственность за еще одну атаку на Национальный банк Дании, однако заявила, что это заявление не было опубликовано по ее официальным каналам, поскольку атака не нарушила глобальную работу веб-сайта.

Датские эксперты по кибербезопасности ранее выразили подозрения в отношении хакерской группы Killnet за ее роль в атаках.


Заключение
Друзья, благодарим, что вы с нами и активно следите за новостями в мире киберпреступлений. Мы продолжаем следить за развитием событий и будем держать вас в курсе. Как вы думаете, какой следующий ход стоит ожидать от Killnet и NoName057(16)?

Вступить в наш чат

Cуд освободил под залог гражданина России Михаила Шаргена, который был арестован CBI за предполагаемый взлом экзаменационного программного обеспечения JEE. Хакерской атакой воспользовались более 800 абитуриентов.





Освобожден под залог

25-летний Шарген, арестованный 3 октября, якобы вмешался в программное обеспечение iLeon, платформу, на которой проводился экзамен JEE (Main)-2021, чем помог абитуриентам успешно пройти вступительные испытания. Шарген был одним из участников большой схемы, специализировавшийся на взломе онлайн-экзаменов.

По словам чиновников, суд CBI принял к сведению тот факт, что все остальные сообвиняемые по делу были освобождены под залог, в том числе те, кто напрямую контактировал с кандидатами и их родителями для получения денег и документов. Аргументы CBI о том, что роль Шаргена не соответствовала роли других обвиняемых, поскольку он сыграл важную роль во взломе программного обеспечения, были отклонены судом.





«Только потому, что заявитель является иностранным гражданином, ему не может быть отказано в освобождении под залог, особенно когда его паспорт уже изъят следственным органом», — заявил суд, разрешая ходатайство об освобождении под залог.

Суд разрешил освободить Шаргена под личное поручительство в размере одного миллиона рупий (891 тысяча рублей) и под залог.
В чем обвиняется

Шарген был арестован 3 октября по прибытии в международный аэропорт имени Индиры Ганди из Алматы, Казахстан. В сентябре прошлого года агентство арестовало Affinity Education Pvt Ltd и трех ее директоров Сиддхарта Кришну, Вишвамбхара Мани Трипати и Говинда Варшни, а также других рекламщиков и сообщников за предполагаемое манипулирование экзаменом.

Утверждалось, что три директора в сговоре с другими партнерами и рекламщиками манипулировали онлайн-экзаменом JEE (Mains) и содействовали поступающим студентам в лучшие национальные технологические институты в обмен на огромные суммы денег. Раньше они решали вопросы через удаленный доступ из выбранного экзаменационного центра в Сонепате (Харьяна).

«Утверждалось также, что обвиняемые в целях безопасности получали листы с отметками для 10-го и 11-го классов, идентификаторы пользователей, пароли и чеки абитуриентов в разных частях страны. Cумма варьируется от 12-15 лакхов (более 1 миллиона рублей) на кандидата», — говорится в сообщении CBI.

Что с хакером сейчас

Расследование до сих пор ведется, суд устанавливает виновность Михаила Шаргена. В данный момент он отпущен под залог за неимением достаточного количества доказательств. Команда BlackMast следит за развитием событий.

Вступить в наш чат


Что произошло

Несколько немецких аэропортов заявили 16 февраля, что их веб-сайты не работают из-за предполагаемых кибератак. Аэропорты в Дюссельдорфе, Нюрнберге и Дортмунде были взломаны.





Сайты стали мишенью так называемых атак «распределенного отказа в обслуживании» (DDoS- атака), предназначенных для того, чтобы перегрузить цель потоком интернет-трафика, препятствуя нормальному функционированию системы.





«Сайт перегружен огромным спросом», — сказал представитель аэропорта Нюрнберга, добавив, что «неясно», когда он вернется к нормальной жизни.
Кто за этим стоит

Немецкое новостное издание Der Spiegel сообщило, что ответственность за атаку взяла на себя группа российских хакеров, хотя власти не прокомментировали, кто именно взломал сайты аэропортов.

Германия находится в состоянии повышенной готовности к российским кибератакам с тех пор, как Россия начала спецоперацию на Украине.





Были ли еще атаки

В прошлом месяце веб-сайты аэропортов, органов государственного управления и организаций финансового сектора подверглись кибератакам, которые, по словам властей, были спровоцированы российской хакерской группой.

Федеральное управление информационной безопасности заявило в октябре, что уровень угрозы хакерских атак и других киберпреступлений был выше, чем когда-либо.





Заключение

Русские хакеры активно взламывают структуры Германии. На прошлой неделе немецкий авиационный гигант Lufthansa был вынужден отменить или задержать рейсы из-за серьезного сбоя в работе ИТ, вызванного строительными работами во Франкфурте, где находится его главный офис. Не исключено, что это тоже кибер-атака от хакеров из России.

Команда BlackMast внимательно следит за развитием событий и оперативно рассказывает о новых взломах.

Вступить в наш чат


Что произошло

Нэнси Файзер, министр внутренних дел Германии, сообщила, что Германия сейчас подвержена «огромной опасности» со стороны русских хакеров. Риск диверсий, дезинформации и шпионских атак высок как никогда.

В своем сообщении Файзер заявила, что Владимир Путин вкладывает огромные ресурсы в кибератаки, что является ключевой частью его тактики. «Война усугубила проблемы кибербезопасности. Участились атаки пророссийских хакеров», — сказала она в интервью новостной сети Funke Mediengruppe, опубликованном в воскресенье.




Нэнси Файзер, министр внутренних дел Германии


По словам Файзер, опасность спонсируемой и управляемой государством шпионской и диверсионной деятельности со стороны России остается очень высокой. Министр внутренних дел призвала федеральное и региональное правительства к совместной работе по отражению кибератак. «Мы конкурируем с постоянно новыми способами атаки и технологиями», — сказала она.
В чем причина

С тех пор, как Германия начала поддерживать Украину поставками оружия и введением санкций против России, кибератаки участились, в частности, против поставщиков энергии и военных организаций. Эксперты по безопасности предупреждают о значительной опасности, которую они представляют для внутренней безопасности Германии, в частности, о способности кибератак атаковать критически важную инфраструктуру, а также политические операции, такие как Бундестаг. Также недавно российские хакеры взломали сайты аэропортов Германии, об этом мы писали в предыдущем выпуске.

Немецкий парламент стал целью одной из крупнейших кибератак, с которыми когда-либо сталкивалась Германия, в мае 2015 года, когда была атакована внутренняя компьютерная система, украдены данные и отключены офисы депутатов. Предполагается, что за атакой стоит ГРУ, российская военная разведка.





Были ли еще атаки

В 2020 году был взломан личный кабинет бывшего канцлера Ангелы Меркель. Тот взлом она назвала «возмутительным».

Хакерская группировка Ghostwriter, которая якобы находится под контролем российских спецслужб, вскоре после начала спецоперации провела несколько взломов в Германии. В последние недели кибератаки были совершены на все инфраструктуры: от аэропортов до администрации мэрии. Российская группа Killnet недавно объявила, что планирует обратить более пристальное внимание на разрушение жизни в Германии.

Эксперты в области цифровых технологий заявили, что Германия находится в состоянии «постоянного огня» со стороны хакеров. Финансовые институты, заводы по производству вооружений, поставщики энергии, гуманитарные организации и налоговые органы стали объектами атак. Эксперты говорят, что атаки часто хорошо замаскированы и определить их местоположение не так просто.

Вольфганг Вин, вице-президент берлинской службы внешней разведки BND, предупредил на конференции по безопасности в Потсдаме прошлым летом, что в цифровой мир Германии проникли хакеры из России и Китая. «Россия в наших сетях, Китай в наших сетях», — сказал он.
Как меняется ситуация

Марк Кортхаус из берлинской компании по информационной безопасности Sys11 сообщил газете Frankfurter Allgemeine, что атаки становятся все более политизированными. По словам Кортхауса, когда в этом месяце Германия приняла решение поставить Украине танки Leopard 2, количество атак на немецкие цели резко возросло.

«Атаки — предупредительный сигнал, и мы должны отнестись к этому серьезно». По его словам, за более простыми атаками часто следовали более технически сложные, причем первоначальные атаки часто рассматривались хакерами как «прощупывание почвы».

Александр Вуккевич, директор лабораторий защиты компании по информационной безопасности Avira: «Каждый раз, когда Европа усиливает свои санкции против России или ускоряет помощь Украине, хакеры усиливают свои атаки».

Вступить в наш чат

Белый дом в четверг 2 марта объявил о новой стратегии кибербезопасности в рамках недавних усилий правительства США по укреплению своей киберзащиты. Усиление безопасности потребовалось на фоне неуклонного роста хакерских атак и цифровых преступлений, направленных против страны.





Суть стратегии:

Стратегия призывает к более жесткому регулированию существующих практик кибербезопасности в различных отраслях и улучшению сотрудничества между правительством и частным сектором. Это произошло после серии громких хакерских инцидентов, совершенных против Соединенных Штатов, и на фоне военного конфликта между Россией и Украиной, в котором кибервойна занимает сейчас важную роль.
Стратегия называет Китай и Россию наиболее серьезными угрозами кибербезопасности для Соединенных Штатов. Во время разговора с журналистами официальный представитель США, который отказался назвать свое имя, сказал, что часть новой стратегии направлена на обуздание российских хакеров.Из-за чего появилась необходимость в дополнительных мерах защиты:

Атаки программ-вымогателей, в ходе которых киберпреступные группировки захватывают контроль над системами цели и требуют выплаты выкупа, относятся к наиболее распространенным типам кибератак и в последние годы затронули широкий спектр отраслей.Как будет внедряться новая стратегия:

Стратегия призывает к созданию коалиций с иностранными партнерами, «чтобы оказать давление на Россию и других злоумышленников, чтобы они изменили свое поведение», — сказал второй официальный представитель США, принявший участие в телефонном разговоре, который также отказался назватьСреди прочего, стратегия призывает к улучшению стандартов исправления уязвимостей в компьютерных системах и реализации указа, который потребует от облачных компаний проверять личность иностранных клиентов.




Заключение

Похоже, что правительство США серьезно настроено на улучшение своей кибербезопасности. В лице русских хакеров США видит опасность, способную нанести серьезный вред государству.
Как отреагируют русские хакеры, и как быстро они смогут обойти новые защиты? Команда BlackMast с интересом следит за развитием событий, новый выпуск Дневников Даркнета уже через неделю!