В конце октября хакер, называющий себя Dark X, заявил, что он вошел на сервер и украл личные данные 350 миллионов клиентов Hot Topic. На следующий день Dark X опубликовал данные, включая предполагаемые электронные адреса, номера телефонов и частичные номера кредитных карт, для продажи на подпольном форуме. На следующий день после этого Dark X сказал, что Hot Topic их выгнал из системы.
Dark X сказал, что очевидный взлом, который, возможно, является самым большим взломом розничной торговли за всю историю, произошел отчасти из-за удаче. Они случайно получили учетные данные для входа от разработчика, имевшего доступ к драгоценностям Hot Topic. Чтобы подтвердить это, Dark X направил учетные данные разработчику для входа в Snowflake, инструмент хранилища данных, на который в последнее время неоднократно нападали хакеры. Алон Гал из фирмы по кибербезопасности Hudson Rock, первым нашедший связь между инфокрадиями и взломом Hot Topic, сказал, что хакер прислал ему тот же набор учетных данных.
Часть удачи правдива. Но заявленный взлом Hot Topic также напрямую связан с разветвленной подпольной индустрией, которая сделала хакинг некоторых из важнейших компаний в мире детской игрой.
AT&T. Ticketmaster. Santander Bank. Neiman Marcus. Electronic Arts. Все они были сломаны благодаря инфо-крадам, разновидности вредоносного программного обеспечения, которое предназначено для кражи паролей и файлов cookie, хранящихся в браузере жертвы.
В свою очередь инфоворы создали сложную экосистему, которая растет в тени и где преступники выполняют разные роли. Есть российские программисты вредоносных программ, постоянно обновляющих свой код. Есть команды профессионалов, которые используют блестящую рекламу, чтобы нанять подрядчиков для распространения вредоносного ПО на YouTube, TikTok или GitHub. Есть англоязычные подростки на другом конце света, которые затем используют собранные учетные данные для проникновения в корпорации.
В конце октября правоохранительные органы объявили об операции против двух самых распространенных воров в мире. Но рынок настолько возрос, что сейчас правоохранительные меры против хотя бы одной его части вряд ли повлияют на длительное распространение инфоворов.
На основе интервью с разработчиками вредоносного ПО, хакерами, использующими похищенные учетные данные, а также просмотра пособий, рассказывающих новобранцам, как распространять вредоносное программное обеспечение, издание 404 Media очертило эту область.
Конечным результатом усилий участников этой отрасли является то, что загрузка невиновного на вид фрагмента программного обеспечения одним лицом может привести к утечке данных в многомиллиардной компании, вводя Google и других технологических гигантов в игру в постоянно обостряющуюся кошку-мышку.
«Мы профессионалы в своей области и будем продолжать работать над обходом будущих обновлений Google», — сказал администратор LummaC2, одного из самых популярных вредоносных приложений для похищения информации. «Это требует некоторого времени, но у нас есть все ресурсы и знания, чтобы продолжать борьбу с Chrome».
Угонщики
Экосистема инфоворов начинается с вредоносного программного обеспечения. Есть десятки таких имен, как Nexus, Aurora, META и Raccoon.
По данным фирмы по кибербезопасности Recorded Future, на данный момент самым распространенным информационным похитителем является RedLine. Наличие готовой части вредоносного ПО также значительно снижает барьер для входа для новых хакеров. Администратор LummaC2, который, по словам Recorded Future, входит в десятку лучших инфоворов, сказал, что он приветствует как начинающих, так и опытных хакеров.
Первоначально многие из этих разработчиков были заинтересованы в краже учетных данных или ключей, связанных с кошельками криптовалюты. Вооружившись ими, хакеры могут разорить цифровые кошельки жертвы и быстро заработать.
Сегодня многие все еще продают свои инструменты как способные украсть биткойны, и даже ввели оптическое распознавание символов для обнаружения начальных фраз в изображениях.
Но недавно те же разработчики и их партнеры выяснили, что все остальные данные, хранящиеся в браузере, например пароли к месту работы жертвы, могут генерировать дополнительный поток дохода.
«Разработчики вредоносного ПО и их клиенты поняли, что личные и корпоративные учетные данные, такие как данные для входа в онлайн-аккаунты, финансовые данные и другая конфиденциальная информация, имеют значительную ценность на черном рынке», — сказала RussianPanda, независимый исследователь безопасности, которая внимательно следит за похитителями информации.
По ее словам, разработчики Infostealer попробовали собрать эту информацию. По сути, выхлопы от краж, сосредоточенных на криптовалютах, создали целую новую отрасль, которая влечет за собой еще большее разрушение в сфере здравоохранения, технологических и других отраслях.
Некоторые похитители затем продают эти собранные аккаунты и файлы cookie или журналы самостоятельно через ботов в Telegram. Telegram, а не просто приложение для обмена сообщениями, предоставляет критическую инфраструктуру для этих команд. Весь процесс от покупки до продажи украденных логов автоматизирован через ботов Telegram.
Создать приложения-похитители информации не особенно трудно, но разработчики вредоносного ПО постоянно сталкиваются с инженерами технических гигантов, таких как Google, которые пытаются помешать им похитить учетные данные пользователей.
Например, в июле Google Chrome выпустил обновление, предназначенное для блокировки приложений, кроме Chrome, включая вредоносное программное обеспечение, от доступа к данным cookie. На мгновение Chrome имел преимущество.
LummaC2 предоставил своим пользователям некоторые обходные пути, но ни один из них не был надежным. Некоторые разработчики вредоносного ПО выражают свои жалобы более явно. В одном обновлении пара информационных похитителей включила фразу ChromeFuckNewCookies в свой код вредоносного программного обеспечения.
«Это немного кота-мышки, но мы считаем, что это игра, в которую мы хотим играть как можно больше, если результаты останутся положительными», — сказал Уилл Гаррис, штатный инженер программного обеспечения Google Chrome. «Очевидно, мы хотим защитить пользователей настолько, насколько это возможно».
Это не только обеспечение безопасности Chrome и защиты дополнительных данных от похитителей информации. Это также включает «препятствия», такие как исследователи, пишущие об определенных приемах инфоворов, что, в свою очередь, ограничивает инструменты, доступные разработчикам вредоносного ПО.
Выпуск обновлений один за другим на регулярной основе, а не все сразу, также может помешать разработчикам вредоносного программного обеспечения. Вместо того чтобы преступники-кодеры знали, что им нужно исправить сейчас, они никогда не могут быть вполне уверены, что Google подавит эту дыру в следующем обновлении, тратя больше своего времени.
После одного обновления многие клиенты приложений-воров были «чрезвычайно расстроены, и им [разработчикам вредоносного программного обеспечения] пришлось работать по ночам, чтобы найти обход», — сказал Гаррис.
Он добавил, что один автор похитителя по имени Видар тоже увеличил стоимость своего инструмента.
Он также обратил внимание на Microsoft Windows. Если вы сравниваете Windows, скажем, с Android, ChromeOS или даже macOS, эти платформы имеют сильную изоляцию приложений. Это означает, что вредоносному программному обеспечению труднее угнать данные из других частей системы. «Мы заметили, что в Windows, которая, очевидно, была основной платформой для нас, эти средства защиты не существовали», — говорит Гаррис.
В электронном письме представитель Microsoft сказал: «В дополнение к базовым требованиям к аппаратному обеспечению для всех ПК с Windows, таких как TPM, Secure Boot и безопасность на основе виртуализации, в Win11 по умолчанию включены многие функции безопасности, усложняющие работу похитителей информации. Наше руководство состоит в том, что пользователи должны работать как стандартный пользователь, а не администратор на устройстве Windows. Запуск стандартного пользователя означает, что пользователи (и приложения, которыми пользуются пользователи) могут вносить изменения в свой компьютер, но не имеют полного доступа к системе по умолчанию, поэтому похитители информации не будут иметь полный доступ, необходимый для легкого похищения данных, которые они используют. ищут».
Согласно Recorded Future, злонамеренное программное обеспечение Infostealer для Mac существует, но в гораздо меньшей степени.
Траферы
Создатель вредоносного программного обеспечения может иметь в руках эффективное программное обеспечение. Но, наконец, перенос этого программного обеспечения на компьютеры жертв – это работа кого-то другого.
На фоне играет электронный рэп, мужчина протягивает руки вперед и откидывается на спинку кресла. Камера вращается вокруг их предполагаемой квартиры: огромные окна от пола до потолка в большой столовой, пол из деревянных панелей и удивительная люстра. На другом кадре мужчина открывает ноутбук, печатает, а затем делает глоток чего-то похожего на виски. Итог: это вы можете быть, если мы будем работать вместе.
Это одно из удивительного количества объявлений на подпольном форуме под названием Lolz, где «торговцы» собираются искать новые рекруты. В этом случае мужчина на видео ищет людей, чтобы продвигать поддельный инструмент казино, способный похитить средства людей.
Но большая часть остальной главы Traffers посвящена распространению инфоворов. Работа этих подрядчиков состоит в том, чтобы помогать распространять злонамеренное программное обеспечение или получать трафик, а команды соревнуются за внимание на переполненном рынке.
Каждый пытается поднять друг друга посредством эпатажной рекламы и брендинга. Они используют такие названия, как «Клуб мальчиков-миллиардеров», «Бафомет» и «Чемодан».
Их реклама содержит анимированные изображения роскошных автомобилей или приватных самолетов, сгенерированных компьютером. Другой для Cryptoland Team показывает рыцаря в доспехах, смотрящего вниз на скелет в капюшоне, пишущего на пергаментной бумаге. Команда Cryptoland говорит, что работает с LummaC2 и другим воровством под названием Rhadamanthys.
«Оплата логами или деньгами. Мы даем вам выбор: либо вы берете логи, либо мы их покупаем», — говорится в одном из объявлений от команды под названием Baphomet.
В каждой из них указана марка инфокрадия, которую они используют, какую часть прибыли может рассчитывать соавтор и позволяют ли партнеру брать любые дополнительные похищенные журналы.
И большинство прямо утверждают, что кому-либо, с кем они работают, запрещается нацеливаться на страны Содружества Независимых Государств (СНГ) или бывших членов Советского Союза, к которым относятся Беларусь, Украина и Россия. Затем соавторы оставляют отзывы и снимки экрана, доказывающие, что они заработали деньги, работая с командой.
Многие из этих команд создают новые программы с помощью собственных роботов Telegram. Некоторые строги в том, что они хотят работать только с людьми, уже имеющими опыт, а другие, кажется, берут на борт любого. Журналист 404 Media смог легко пройти процесс подачи заявки для двух команд трейферов, ответив на несколько основных вопросов. После этого боты отправили ссылку на соответствующие руководства команд, в которых описано, как распространять вредоносное ПО.
Одно руководство от Baphomet, например, рекомендует объединить кражу в мошенническое программное обеспечение для Roblox. Затем описывается, как настроить видео на YouTube, рекламирующий чит, и, как следствие, способствовать распространению вредоносного ПО.
Другая реклама от команды траферов говорит, что она работает с TikTok, Telegram, Instagram, Twitter, Facebook, YouTube, YouTube Shorts, электронными рассылками, блоггерами и влиятельными людьми. На видео, где хакер пьет виски, в один момент его ноутбук показывает страницу в TikTok. Многие руководства отражают это и рекомендуют распространять инфо-крадии через другие сайты социальных сетей или указывают на GitHub как на эффективный метод распространения.
Некоторые похитители информации также скрыты в сломанном или пиратском программном обеспечении. Одной из причин их эффективности является то, что пользователи ищут бесплатное программное обеспечение.
Представитель Google сказал в электронном письме: «У нас есть политика для предотвращения спама, мошенничества или других мошеннических действий, которые используют сообщество YouTube. Это включает в себя запрет контента, основной целью которого является обман заставить других покинуть YouTube и перейти на другой сайт».
И эти торговцы и другие очевидно успешны в массовом масштабе. Recorded Future утверждает, что ежедневно наблюдает 250 тысяч новых заражений инфорадиями.
Каналы и сайты
Собранные аккаунты затем передаются в каналы Telegram, где можно приобрести кучу файлов cookie и логинов. Администратор LummaC2 сказал: «Это приносит нам хороший доход, но я не готов раскрывать конкретные суммы», имея в виду продажу украденных журналов.
Тестируя бота Telegram, можно фильтровать по стране, количеству файлов cookie или доступным паролям. 404 Media видел в продаже многие американские бревен. За последние несколько недель некоторые из этих каналов были удалены.
Они, в свою очередь, имеют собственный бренд, подобно траферам. Многие каналы также бесплатно распространяют украденные учетные данные, вероятно, пытаясь рекламировать свои платные предложения.
Даже свободно доступные учетные данные могут быть разрушительными для целевой организации. Ранее в этом году исследователь безопасности использовал раскрытые логины для взлома сервера, принадлежащего AU10TIX, компании по проверке лица, работающего с TikTok, Uber и X. Эти учетные данные поступили из бесплатного потока, доступного в Telegram.
Некоторые веб-сайты также посвящены или имеют разделы для продажи журналов похитителей информации. Genesis Market – это сайт, на котором хакеры, ответственные за злом Electronic Arts в 2021 году, получили токен входа в мессенджер Slack, который использует эта компания. В 2023 году власти закрыли Genesis Market. Но значительная часть продаж учетных данных переместилась на другой долгосрочный сайт, Russian Market.
И вот здесь вступают хакеры. Judische, хакер, связанный со взломами в AT&T, Ticketmaster и других компаний, использовавших Snowflake, вероятно, удалил похищенные учетные данные из таких каналов, а затем использовал их для входа на целевые серверы. В некоторых случаях эти компании не использовали многофакторную аутентификацию. Но сила журналов состоит в том, что они иногда могут обойти этот дополнительный уровень защиты – файлы cookie могут обмануть систему, заставив ее подумать, что этот пользователь вверен, и не спрашивать у него дополнительный код входа.
Это еще один источник криминальных доходов.
По материалам: Wired, 404 Media