Четвер, 14 Листопада, 2024

Як працює кримінальна індустрія, яка хакає мільярдні компанії

Наприкінці жовтня хакер, який називає себе Dark X, заявив, що він увійшов на сервер і вкрав особисті дані 350 мільйонів клієнтів Hot Topic. Наступного дня Dark X опублікував дані, включаючи передбачувані електронні адреси, номери телефонів і часткові номери кредитних карток, для продажу на підпільному форумі. Наступного дня після цього Dark X сказав, що Hot Topic їх вигнав з системи.

Dark X сказав, що очевидний злом, який, можливо, є найбільшим зломом роздрібної торгівлі за всю історію, стався частково через удачу. Вони випадково отримали облікові дані для входу від розробника, який мав доступ до коштовностей Hot Topic. Щоб підтвердити це, Dark X надіслав облікові дані розробника для входу в Snowflake, інструмент сховища даних, на який останнім часом неодноразово нападали хакери. Алон Гал з фірми з кібербезпеки Hudson Rock, який першим знайшов зв’язок між інфокрадіями та зломом Hot Topic, сказав, що хакер надіслав йому той самий набір облікових даних.

Частина удачі правдива. Але заявлений злом Hot Topic також є безпосередньо пов’язаним із розгалуженою підпільною індустрією, яка зробила хакінг деяких із найважливіших компаній у світі дитячою забавкою.

AT&T. Ticketmaster. Santander Bank. Neiman Marcus. Electronic Arts. Усі вони були зламані завдяки інфокрадіям, різновиду шкідливого програмного забезпечення, яке призначене для крадіжки паролів і файлів cookie, що зберігаються у браузері жертви.

У свою чергу інфокрадії створили складну екосистему, яка росте в тіні та де злочинці виконують різні ролі. Є російські програмісти шкідливих програм, які постійно оновлюють свій код. Є команди професіоналів, які використовують блискучу рекламу, щоб найняти підрядників для поширення зловмисного програмного забезпечення на YouTube, TikTok або GitHub. І є англомовні підлітки на іншому кінці світу, які потім використовують зібрані облікові дані для проникнення в корпорації.

Наприкінці жовтня правоохоронні органи оголосили про операцію проти двох найпоширеніших крадіїв у світі. Але ринок настільки зріс, що зараз правоохоронні заходи проти хоча б однієї його частини навряд чи вплинуть на довготривале поширення інфокрадіїв.

На основі інтерв’ю з розробниками зловмисного програмного забезпечення, хакерами, які використовують викрадені облікові дані, а також перегляду посібників, які розповідають новобранцям, як поширювати зловмисне програмне забезпечення, видання 404 Media окреслило цю галузь.

Кінцевим результатом зусиль учасників цієї галузі є те, що завантаження невинного на вигляд фрагмента програмного забезпечення однією особою може призвести до витоку даних у багатомільярдній компанії, вводячи Google та інших технологічних гігантів у гру в кішки-мишки, що постійно загострюється.

«Ми професіонали у своїй галузі й продовжуватимемо працювати над обходом майбутніх оновлень Google», — сказав адміністратор LummaC2, одного з найпопулярніших зловмисних додатків для викрадання інформації. «Це потребує деякого часу, але ми маємо всі ресурси та знання, щоб продовжувати боротьбу з Chrome».

Викрадачі

Екосистема інфокрадіїв починається зі шкідливого програмного забезпечення. Існують десятки таких імен, як Nexus, Aurora, META та Raccoon.

За даними фірми з кібербезпеки Recorded Future, на даний момент найпоширенішим інформаційним викрадачем є RedLine. Наявність готової частини зловмисного програмного забезпечення також значно знижує бар’єр для входу для нових хакерів. Адміністратор LummaC2, який, за словами Recorded Future, входить до десятки кращих інфокрадіїв, сказав, що він вітає як початківців, так і досвідчених хакерів.

Спочатку багато з цих розробників були зацікавлені в крадіжці облікових даних або ключів, пов’язаних з гаманцями криптовалюти. Озброївшись ними, хакери можуть спустошити цифрові гаманці жертви та швидко заробити.

Сьогодні багато хто все ще продає свої інструменти як такі, що здатні вкрасти біткойни, і навіть запровадили оптичне розпізнавання символів для виявлення початкових фраз у зображеннях.

Але нещодавно ті самі розробники та їхні партнери з’ясували, що всі інші дані, які зберігаються у браузері, наприклад, паролі до місця роботи жертви, можуть генерувати додатковий потік доходу.

«Розробники зловмисного програмного забезпечення та їхні клієнти зрозуміли, що особисті та корпоративні облікові дані, такі як дані для входу в онлайн-акаунти, фінансові дані та інша конфіденційна інформація, мають значну цінність на чорному ринку», —  сказала RussianPanda, незалежний дослідник безпеки, яка уважно стежить за викрадачами інформації.

За її словами, розробники Infostealer спробували зібрати цю інформацію. По суті, вихлопи від крадіжок, зосереджених на криптовалютах, створили цілу нову галузь, яка спричиняє ще більше руйнувань у сфері охорони здоров’я, технологічних та інших галузях.

Деякі викрадачі потім продають ці зібрані облікові дані та файли cookie або журнали самостійно через ботів у Telegram. Telegram, а не просто програма для обміну повідомленнями, надає критичну інфраструктуру для цих команд. Весь процес від купівлі до продажу вкрадених логів автоматизовано через ботів Telegram.

Створити додатки-викрадачі інформації не особливо важко, але розробники зловмисного програмного забезпечення постійно стикаються з інженерами технічних гігантів, таких як Google, які намагаються перешкодити їм викрасти облікові дані користувачів.

Наприклад, у липні Google Chrome випустив оновлення, призначене для блокування додатків, окрім Chrome, зокрема зловмисного програмного забезпечення, від доступу до даних cookie. На мить Chrome мав перевагу.

LummaC2 надав своїм користувачам деякі обхідні шляхи , але жоден із них не був надійним. Деякі розробники зловмисного програмного забезпечення висловлюють свої скарги більш явно. В одному оновленні пара інформаційних викрадачів включила фразу «ChromeFuckNewCookies» у свій код шкідливого програмного забезпечення.

«Це трохи кота-мишки, але ми вважаємо, що це гра, у яку ми хочемо грати якомога більше, якщо результати залишаться позитивними», — сказав Вілл Гарріс, штатний інженер програмного забезпечення Google Chrome. «Очевидно, ми хочемо захистити користувачів настільки, наскільки це можливо».

Це не лише забезпечення безпеки самого Chrome і захисту додаткових даних від викрадачів інформації. Це також включає «перешкоди», як-от більше дослідників, які пишуть про певні прийоми інфокрадіїв, що, у свою чергу, обмежує інструменти, доступні розробникам шкідливого ПЗ.

Випуск оновлень одне за одним на регулярній основі, а не всі одразу, також може завадити розробникам шкідливого програмного забезпечення. Замість того, щоб злочинці-кодери знали, що їм потрібно виправити зараз, вони ніколи не можуть бути цілком впевнені, що Google придушить цю діру в наступному оновленні, витрачаючи більше свого часу.

Після одного оновлення багато клієнтів додатків-крадіїв були «надзвичайно засмучені, і їм [розробникам зловмисного програмного забезпечення] довелося працювати ночами, щоб знайти обхід», — сказав Гарріс.

Він додав, що один автор викрадача на ім’я Відар теж збільшив вартість свого інструменту.

Він також звернув увагу на Microsoft Windows. Якщо ви порівнюєте Windows, скажімо, з Android, або з ChromeOS, або навіть macOS, ці платформи мають сильну ізоляцію програм. Це означає, що зловмисному програмному забезпеченню важче викрасти дані з інших частин системи. «Ми помітили, що в Windows, яка, очевидно, була основною платформою для нас, ці засоби захисту не існували», – каже Гарріс.

У електронному листі представник Microsoft сказав: «На додаток до базових вимог до апаратного забезпечення для всіх ПК з Windows, таких як TPM, Secure Boot і безпека на основі віртуалізації, у Win11 за умовчанням увімкнено багато функцій безпеки, які ускладнюють роботу викрадачів інформації. Наше керівництво полягає в тому, що користувачі повинні працювати як стандартний користувач, а не адміністратор на своєму пристрої Windows. Запуск стандартного користувача означає, що користувачі (і програми, якими користуються користувачі) можуть вносити зміни до свого комп’ютера, але не мають повного доступу до системи за замовчуванням, тому викрадачі інформації не матимуть повного доступу, необхідного для легкого викрадення даних, які вони шукають».

Згідно з Recorded Future, зловмисне програмне забезпечення Infostealer для Mac існує, але в набагато меншому ступені.

Трафери

Творець шкідливого програмного забезпечення може мати в руках ефективне програмне забезпечення. Але, зрештою, перенесення цього програмного забезпечення на комп’ютери жертв – це робота когось іншого.

На тлі грає електронний реп, чоловік простягає руки вперед і відкидається на спинку крісла. Камера обертається навколо їхньої передбачуваної квартири: величезні вікна від підлоги до стелі у великій їдальні, підлога з дерев’яних панелей і дивна люстра. На іншому кадрі чоловік відкриває ноутбук, друкує, а потім робить ковток чогось схожого на віскі. Підсумок: це можете бути ви, якщо ми будемо працювати разом.

Це одне з запаморочливої кількості оголошень на підпільному форумі під назвою Lolz, де «торгівці» збираються шукати нових рекрутів. У цьому випадку чоловік на відео шукає людей, щоб просувати підроблений інструмент казино, який може викрасти кошти людей.

Але більша частина решти розділу Traffers присвячена поширенню інфокрадіїв. Робота цих підрядників полягає в тому, щоб допомагати поширювати зловмисне програмне забезпечення або отримувати трафік, а команди змагаються за увагу на переповненому ринку.

Кожен намагається підняти один одного за допомогою епатажної реклами та брендингу. Вони використовують такі назви, як «Клуб хлопчиків-мільярдерів», «Бафомет» і «Чемодан».

Їхня реклама містить анімовані зображення розкішних автомобілів або приватних літаків, згенерованих комп’ютером. Інший для Cryptoland Team показує лицаря в обладунках, який дивиться вниз на скелет у капюшоні, який пише на пергаментному папері. Команда Cryptoland каже, що працює з LummaC2 та іншим крадієм під назвою Rhadamanthys.

«Оплата логами або грошима. Ми даємо вам вибір: або ви берете логи, або ми їх купуємо», — йдеться в одному з оголошень від команди під назвою Baphomet.

У кожній з них вказано марку інфокрадія, яку вони використовують, яку частину прибутку може розраховувати співавтор і чи дозволяють партнеру брати будь-які додаткові викрадені журнали.

І більшість прямо стверджують, що будь-кому, з ким вони працюють, забороняється націлюватися на країни Співдружності Незалежних Держав (СНГ) або колишніх членів Радянського Союзу, до яких належать Білорусь, Україна та Росія. Потім співавтори залишають відгуки та знімки екрана, які доводять, що вони заробили гроші, працюючи з командою.

Багато з цих команд створюють нові програми за допомогою власних ботів Telegram. Деякі суворі в тому, що вони хочуть працювати лише з людьми, які вже мають досвід, а інші, здається, беруть на борт будь-кого. Журналіст 404 Media зміг легко пройти процес подачі заявки для двох команд трейферів, відповівши на кілька основних запитань. Після цього боти надіслали посилання на відповідні посібники команд, у яких описано, як поширювати шкідливе ПЗ.

Один посібник від Baphomet, наприклад, рекомендує об’єднати крадію в шахрайське програмне забезпечення для Roblox. Потім описується, як налаштувати відео на YouTube, що рекламує чіт, і, як наслідок, сприяти поширенню зловмисного програмного забезпечення.

Інша реклама від команди траферів говорить, що вона працює з TikTok, Telegram, Instagram, Twitter, Facebook, YouTube, YouTube Shorts, електронними розсилками, блогерами та впливовими людьми. На відео, де хакер п’є віскі, в один момент його ноутбук показує сторінку в TikTok. Багато посібників відображають це та рекомендують розповсюджувати інфокрадії через інші сайти соціальних мереж або вказують на GitHub як на ефективний метод поширення.

Деякі викрадачі інформації також приховані у зламаному або піратському програмному забезпеченні. Однією з причин їх ефективності є те, що користувачі шукають безкоштовне програмне забезпечення.

Представник Google сказав в електронному листі: «Ми маємо політику для запобігання спаму, шахрайства чи інших шахрайських дій, які використовують спільноту YouTube. Це включає заборону контенту, основною метою якого є обманом змусити інших залишити YouTube і перейти на інший сайт».

І ці торговці та інші явно успішні в масовому масштабі. Recorded Future стверджує, що щодня спостерігає 250 000 нових заражень інфокрадіями.

Канали та сайти

Зібрані облікові дані потім передаються в канали Telegram, де можна придбати купу файлів cookie та логінів. Адміністратор LummaC2 сказав: «Це приносить нам хороший дохід, але я не готовий розкривати конкретні суми», маючи на увазі продаж вкрадених журналів.

Тестуючи бота Telegram, можна фільтрувати за країною, кількістю файлів cookie або доступними паролями. 404 Media бачив у продажу багато американських колод. За останні кілька тижнів деякі з цих каналів Telegram були видалені.

Вони, у свою чергу, мають власний бренд, подібно до траферів. Багато каналів також безкоштовно поширюють вкрадені облікові дані, ймовірно, намагаючись рекламувати свої платні пропозиції.

Навіть вільно доступні облікові дані можуть бути руйнівними для цільової організації. Раніше цього року дослідник безпеки використав розкриті логіни для зламу сервера, що належить AU10TIX, компанії з перевірки особи, яка працює з TikTok, Uber і X. Ці облікові дані надійшли з безкоштовного потоку, доступного в Telegram.

Деякі веб-сайти також присвячені або мають розділи для продажу журналів викрадачів інформації. Genesis Market — це сайт, на якому хакери, відповідальні за злом Electronic Arts у 2021 році, отримали токен входу в месенджер Slack, що використовує ця компанія. У 2023 році влада закрила Genesis Market. Але значна частина продажу облікових даних перемістилася на інший довгостроковий сайт, Russian Market.

І ось тут вступають хакери. Judische, хакер, пов’язаний зі зломами в AT&T, Ticketmaster та інших компаній, які використовували Snowflake, ймовірно, вилучив викрадені облікові дані з таких каналів, а потім використав їх для входу на цільові сервери. У деяких випадках ці компанії не використовували багатофакторну автентифікацію. Але сила журналів полягає в тому, що вони іноді можуть обійти цей додатковий рівень захисту — файли cookie можуть обдурити систему, змусивши її подумати, що цей користувач довірений, і не запитувати в нього додатковий код входу.

Це ще одне джерело кримінальних доходів.

За матеріалами: Wired, 404 Media

НАПИСАТИ ВІДПОВІДЬ

Коментуйте, будь-ласка!
Будь ласка введіть ваше ім'я

Євген
Євген
Євген пише для TechToday з 2012 року. Інженер за освітою. Захоплюється реставрацією старих автомобілів.

Vodafone

Залишайтеся з нами

10,052Фанитак
1,445Послідовникислідувати
105Абонентипідписуватися