Хакеры украли идентификационные данные для проведения кибератак

Вашингтон. В прошлом году во время войны между Россией и Грузией российские хакеры украли идентификационные данные американцев и программные инструменты США для их использования в атаке на правительственные сайты Грузии. Эта информация получена из нового исследования, которое в понедельник выпустит американская некоммерческая организация.

Как выяснила организация «Ю.С. Кибер Консеквенс Юнит», хакеры превратили обычное программное обеспечения корпорации «Майкрософт» в кибероружие, а также осуществляли сотрудничество на популярных американских сайтах социальных сетей, включая «Твиттер» и «Фейсбук» для координации атак на грузинские сайты. Во время исследования кибератак на Грузию вскоре после событий прошлого года связь с США была ещё не известна.

Исследование показало, как кибернетическая война опережает военные и международные соглашения, которые не учитывают возможность того, что американские ресурсы и гражданские технологии могут быть превращены в оружие.

Кража идентификационных данных, социальные сети и изменения коммерческого программного обеспечения являются обычными средствами атак, но в сочетании они переводят атаки на новый уровень действия, так считает Амит Йоран, бывший руководитель по кибербезопасности Департамента внутренней безопасности. «Каждый из этих инструментов не представляет собой ничего нового, но здесь их использовали в таком сочетании, какого мы раньше не видели», - заявил г-н Йоран, руководитель компании по компьютерной безопасности «НетВитнесс Корп».

В результате пятидневного конфликта между Россией и Грузией в августе 2008 года погибли сотни людей, грузинская армия разбита и две части территории Грузии на границе с Россией – Абхазия и Южная Осетия – находятся под российской оккупацией.

Кибератаки в августе 2008 года значительно повредили коммуникационные возможности Грузии, выведя из строя 10 сайтов более чем на неделю. Среди атакованных ресурсов сайты грузинского президента и министра обороны, а также сайт национального банка и основные новостные порталы.

Вывод из строя систем коммуникаций в начале наступления является стандартной военной практикой, говорит Джон Бумгарнер, главный технический руководитель «Ю.С. Кибер Консеквенс Юнит», бывший кибердетектив Агентства национальной безопасности и Центрального разведывательного управления.

«Ю.С. Кибер Консеквенс Юнит» оценивает последствия угроз в сфере экономики и национальной безопасности и информирует американское правительство, руководителей ключевых отраслей и международных институтов.

«Корпорации и граждане США должны понимать, что они могут стать пешками в глобальной кибервойне», – заявил г-н Бумгарнер, написавший отчёт об этом исследовании.

В апреле Белый дом завершил анализ своей политики в сфере кибербезопасности. Среди вопросов, которые сейчас изучает администрация президента Обамы, пересмотр правил ведения войны и международных обязательств с целью приведения их в соответствие с новыми условиями кибератак.

Представительница Департамента внутренней безопасности Эйми Кудва заявила, что не может комментировать отчёт, который она не видела и который ещё не опубликован.

В прошлом году впервые подобная кибератака совпала с военной кампанией.

Грузинские атаки, согласно результатам исследованиям, совершены российскими криминальными группировками, которые не связаны напрямую с правительством России. Однако, атаки, которые произошли на несколько часов позже вторжения России, дают предположение о том, что российские власти, возможно, косвенно координировали эти кибератаки. Так заключил в отчёте г-н Бумгарнер.

«Российские власти и военные не имеют ничего общего с кибератаками на грузинские сайты в прошлом году», – заявил пресс-секретарь посольства РФ в Вашингтоне, Евгений Хоришко.

В понедельник «Ю.С. Кибер Консеквенс Юнит» планирует выпустить в открытый доступ отчёт на 9 страницах по этому делу.

Г-н Бумгарнер проследил источники кибератак и пришёл к выводу, что это были 10 сайтов, зарегистрированных в России и Турции. Девять из них были зарегистрированы с помощью украденных у американцев идентификационных данных американцев и информации с кредитных карт. Один сайт был зарегистрирован с помощью данных человека из Франции.

Десять сайтов были использованы для координации атак «ботнетов», которые использовали тысячи компьютеров по всему миру для выведения из строя сайтов грузинского правительства, а также ресурсов крупных грузинских банков и СМИ. Во время таких ботнет-атак тысячи других компьютеров получали команду зайти на указанные сайты, что приводило к их выводу из строя.

По сведениям «Ю.С. Кибер Консеквенс Юнит», российские и турецкие компьютерные серверы, задействованные в атаке, ранее использовались киберкрименальными организациями.

Первый отчёты прошлого года приписывали эти атаки российской кибернетической мафии, известной как «Российская бизнес-сеть». Г-н Бумгарнер сообщил, что связать напрямую подобные атаки с этой группой было невозможно. Специалисты по безопасности расходятся во мнении насчёт существования подобной организации в настоящее время.

Некоторое программное обеспечение, задействованное в проведения этих атак, являлось модифицированной версией кода «Майкрософт», который обычно используется администраторами сети для тестирования компьютерных систем. Как выяснил Бумгарнер, код находится в открытом доступе на сайте «Майрософт». Назвать же его он отказался.

Представитель компании «Майкрософт» отказался от комментариев по поводу этого, сославшись на то, что он ещё не видел отчёт.

По словам г-на Бумгарнера, как только ботнет-атака была запущена, другие потенциальные злоумышленники заметили её и стали сотрудничать на различных интернет-ресурсах, включая «Твиттер» и «Фейсбук».

Г-н Бумгарнер при помощи средств анализа данных просматривал страницы социальных сетей «Фейсбук» (некоторые пользователи держат их в открытом доступе) и «Твиттер» в поиске русских слов, которые указывали на причастность к атаке. Он обнаружил, что пользователи на этих сайтах обменивались кодом для атаки и списками атакуемых, а также призывали других присоединиться.

«Эта сложная для решения проблема», – заявил представитель «Фейсбук» Барри Шнитт, поскольку невозможно пресечь подобное сотрудничество без отслеживания содержания сообщений. У «Фейсбук» есть механизм для проверки подлинности идентификационных данных пользователя, сами пользователи могут сообщить о неуместной деятельности на сайте, но отслеживать переписку компания не может.

«Твиттер» на просьбу прокомментировать ситуацию не ответил.

Обсуждение на форуме

обсуждали: Редакция (1) всего 1 сообщений

обсудить