На этот раз специалисты Hold Security обнаружили, что конфиденциальные данные были похищены с 422 тыс. веб-сайтов.
Среди них были как те, что находятся в собственности компаний, так и те, что принадлежат частным лицам. Однако огласить имена жертв и пострадавших компаний представители Hold Security не смогли из-за соглашения о неразглашении.
Специалист в области обеспечения вопросов безопасности проанализировал данные Hold Security и подтвердил аутентичность информации. Второй эксперт на условиях анонимности уточнил, что среди похищенных аккаунтов есть и принадлежащие крупным корпорациям. Причем последние были в курсе происшедшего, но не предавали случившееся огласке.
Эксперты уверяют, что целью хакеров были не только американские корпорации, но даже любые личные аккаунты, к которым была возможность получить доступ. Среди взломанных сайтов есть те, что принадлежат к Fortune Global 500, то есть к компаниям с самой высокой выручкой по версии журнала Fortune.
Данный инцидент дезавуирует все последние резонансные скандалы с хакерами из-за своих масштабов.
Эксперты утверждают, что хакерам удалось продать лишь малую часть похищенной информации. По большей части похищенные аккаунты использовались для рассылки спама, что приносило злоумышленникам дополнительный доход.
В то же время продажа большого числа аккаунтов на черном рынке выглядит гораздо более привлекательной коммерческой перспективой.
Кредитную карту с легкостью можно заблокировать, а вот личные данные и пароль пригодятся злоумышленникам уже для того, чтобы выдавать себя за реально существующего человека или даже помочь в создании поддельных документов. Более того, полученные логины-пароли хакеры используют на других сайтах: зачастую люди их не меняют во всех соцсетях.
Благодаря этому злоумышленники получают доступ к другим соцсетям, а также к личным кабинетам в банках.
Специалисты Hold Security обратились к своим источникам в хакерской среде и смогли выяснить, что совершавшая взлом группа хакеров базируется в маленьком городке на юге Центральной России рядом с границами Казахстана и Монголии.
Экспертам даже удалось с ними пообщаться. Выяснилось, что в группу входят около 12 человек. Всем им не больше 20 лет, а принадлежащие им серверы также находятся на территории России.
По рассказам специалистов, в этой конкретной группе хакеров практикуют разделение труда: кто-то пишет коды и программы, кто-то ворует личные данные и взламывает сайты, а кто-то занимается их реализацией. Деятельность этой группы началась в 2011 году, и тогда ее участники — начинающие программисты — занимались рассылкой спама. А на вырученные деньги покупали на черном рынке базы с личной информацией.
В апреле 2014 года им предложила партнерство некая сторонняя группа хакеров, вместе с которой и был совершен беспрецедентный по масштабам взлом.
Идентифицировать вторую группу пока не удалось. Специалисты утверждают, что взломы были совершены с помощью ботнета — сети взломанных компьютеров — и использовались уязвимости в SQL-содержимом сайтов. Из 4,5 млрд похищенных аккаунтов порядка 1,2 являлись уникальными, в том числе 542 млн адресов электронной почты. Многие из них до сих пор используются злоумышленниками.
По ее словам, «большинство людей ленятся придумывать и запоминать несколько паролей, предпочитая использовать один общий, тем самым ставя собственную безопасность под угрозу». Еще одной проблемой является использование множества популярных движков.
«Одна ошибка в распространенном движке сайта может приводить к компрометации многих тысяч площадок. Кроме того, не надо забывать об атаках типа Heartbleed, которая позволила похитить пароли с сотен тысяч различных сайтов. К сожалению, администраторы многих корпоративных ресурсов до сих пор не устранили эту проблему либо она была устранена втихую, без предупреждения пользователей о необходимости смены пароля», — резюмирует Артамонова.
Главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев скептически отнесся к заявлению Hold Security. «Компания Hold Security неизвестна в ИБ-сообществе, и у нас нет оснований доверять их информации об этом инциденте. Они не предоставляют никаких данных об атаке, ссылаясь на политику неразглашения: нет информации о предполагаемых жертвах, не называются имена компаний, подвергшихся атаке. Так что пока нет детальной информации о предполагаемой атаке, нельзя сказать что-то более конкретное», — заявил он «Газете.Ru».
Западные специалисты уверены, что хакеры никак не связаны с правительством России, несмотря на то что отношения между двумя странами в последнее время серьезно охладились. В списке взломанных есть и российские компании.
Тем не менее Россия ни разу не выдавала третьим странам своих граждан, обвиненных в хакерских атаках. А это, по мнению американской стороны, все равно что содействие взломам.
Российские хакеры стали своеобразным мемом, когда речь идет об интернет-криминале: они регулярно оказываются в центре громких скандалов.
Этой зимой героем новостей стал 17-летний петербуржец Сергей Тарасов. Написанная им вирусная программа «Картоха» смогла похитить данные о 110 млн банковских карт в США. Правда, Тарасов не использовал собственную программу, а только ее продавал.
Но главная цель российских хакеров — мобильные устройства. Согласно исследованию компании Lookout, в 2013 году Россия оказалась самой опасной страной для пользователей мобильных устройств. Как отмечают эксперты, причина этого в том, что взломать смартфон или планшет несколько сложнее, чем обычный компьютер, решающую роль здесь играют знания хакера, а российские ИТ-специалисты — одни из самых сильных в мире.
