Хакеры переходят от вандализма к воровству информации

Этим летом кибер-атаки доминируют в заголовках, в то время как правительственные агентства, корпорации и предприятия малого бизнеса подвергаются поражению вредоносным ПО, DDoS-атакам (распределенные атаки “отказ в предоставлении сервиса”) и сетевым вторжениям. На фронте персональной информации объектом кражи стали индивидуальные учетные записи к почтовым ящикам и социальным сетям.

Мотивом деятельности для большинства хакеров являются деньги от перепродажи ворованной информации другим преступникам или от грабежа банковских счетов, сообщает Джош Шаул, технический директор компании Application Security. Кроме того, несколько групп (включая печально известный хакерский коллектив Anonymous) превратили кибер-атаки в форму протеста, и это привело к росту количества политически мотивированных атак за последние месяцы.

Исследователи из Panda Labs предсказали в прошлом декабре, что киберпротесты, добавившие слово “hactivism” (“хактивизм”) в словарь английского языка, будут учащаться, поскольку они способны привлекать внимание.

В последнее время хактивизм трансформируется вслед за эволюцией тактик и мотиваций. В прошлом киберпротестанты в основном портили веб-сайты и устраивали DDoS-атаки для выражения своего недовольства.

В этих атаках веб-сайты нагружались большим количеством запросов к серверам и базам данных, после чего становились недоступными для обычных посетителей. Активность большинства хактивистов низкотехнологича, считает Шаул.

Группа Anonymous призывала сторонников скачивать инструмент Low Orbit Ion Cannon (низкоорбитальная ионная пушка) и “обстреливать” сайт-цель миллионами пакетов. Программа не делала чего-то более сложного, нежели автоматическое выполнение скрипта, который за очень короткое время посылал повторяющийся простой запрос на целевой веб-сервер.

Некоторые из прошлых целей группы включали антипиратские организации, такие как американские MPA и RIAA; компании, разорвавшие отношения с WikiLeaks, и даже тоталитарные режимы в Северной Африке, разгонявшие продемократические демонстрации.

Все поменялось, когда Аарон Барр, в ту пору исполнительный директор HBGary Federal, похвастался о раскрытии нескольких членов группы Anonymous. Кто-то из них взломал почтовый сервер HBGary Federal и опубликовал украденные письма и служебные документы на вики-сайте, подобном WikiLeaks.

Несколько исследователей сообщили eWeek, что атака на HBGary Federal была знаком того, что хактивисты приняли на вооружение новые, более агрессивные тактики для выражения своего недовольства.

Хакерская вечеринка LulzSec

Переход к краже информации стал еще более выраженным, когда группа из шести хакеров по имени LulzSecurity устроила с мая по июнь 2011-го 50-дневное хакерское веселье. Они атаковали некоторые владения Sony, чтобы обнажить плохие практики обеспечения безопасности, все еще распространенные после массированного апрельского взлома PlayStation Network и Sony Online Entertainment. В последующих атаках LulzSec взломала плохо защищенные серверы различных медиа- и софтверных компаний для сбора имен и паролей пользователей. Группа опубликовала информацию на твиттере, сервисе Pastebin и создала торрент-файлы для загрузки.

Продолжая портить веб-сайты (такие, как PBS.org и сайт баптистской церкви Вестборо) и проводить DDoS-атаки (на сайты американского сената и британского агентства по борьбе с организованной преступностью), группа LulzSec крала пользовательскую информацию для развлечения или “прикола” (“lulz”). В своих пресс-релизах, описывающих последние атаки, LulzSec обвинила правительство и бизнес в провале в деле обеспечения элементарной безопасности.

“Беспокоит то, как много интернет-пользователей поддерживает LulzSec, продолжающую опрометчиво нарушать закон”, — говорит Честер Вишневски, старший советник по безопасности компании Sophos.

В методах атак Anonymous и LulzSec использовались легкодоступные инструменты для испытаний на проникновение и хорошо известные методы поиска и использования уязвимостей. “Тем не менее им удалось атаковать привлекающие внимание цели”, — говорит Роел Шувенберг, старший исследователь по антивирусам компании Kaspersky Lab.

“Одно хорошее следствие из атак хактивистов заключается в том, что они показали текущее состояние технологий безопасности в организациях, которые полагали, что имеют наивысший уровень безопасности”, — считает Ануп Гош, основатель и главный научный сотрудник компании Invincea.

LulzSec также стерла границу между поиском проблем безопасности и злоумышленной активностью, когда группа подверглась критике за опубликование персональной информации, украденной при взломе Sony Pictures Entertainment и других сайтов. Индивидуальные потребители пострадали дважды: сначала их конфиденциальные данные были скомпрометированы, а затем утекли к другим злоумышленникам.

“Есть надежные способы для информирования бизнеса о том, что веб-сайт небезопасен или информация недостаточно защищена; вы не должны подвергать риску невинных людей”, — указывает Вишневски из Sophos. Помимо этого LulzSec и Anonymous воодушевляли сторонников взламывать, красть и публиковать секретную государственную информацию из любых источников. Несколько членов групп заявили в твиттере о необходимости атак, чтобы вскрывать предполагаемую ложь и нелегальную активность правительств.

Преследуя правительство

После роспуска LulzSec ее место заняла группа Anonymous, которая преследовала и наказывала правительственные агентства и контракторов министерства обороны за некоторые виды деятельности. Под удар Anonymous попала консалтинговая компания Booz Allen Hamilton за участие в программах правительственной слежки и сбора разведывательных данных. Взломщики украли из Booz Allen 90 000 учетных записей военнослужащих и выложили их для публичного доступа.

Группа Anonymous ударила и по контракторам FBI после того, как правоохранительные органы арестовали нескольких подозреваемых, принимавших участие в коллективных DDoS-атаках.

Хотя хактивисты все больше и больше атакуют правительственные агентства и контракторов министерства обороны, они не единственные, кто это делает, считает Гош из Invincea. Он добавил, что эти кибер-инциденты могут замаскировать тот факт, что организации подвергаются атакам и регулярному компромату со стороны компаний, состоящих на службе других государств.

Исследователи из Invincea Labs раскрыли и проанализировали изощренные фишинговые атаки, нацеленные на оборонное и разведывательное сообщество, вероятно, проведенные при участии национальных государств, сообщает Гош.

Эти виды фишинговых атак на подъеме, противники нацеливаются на наиболее привлекательную уязвимость — человеческое любопытство, говорит он, добавляя, что значительная доля взломов, выявленных за последние два года (в том числе в Night Dragon, Google, RSA Security и Oak Ridge National Labs) и привлекших общее внимание, была проведена с использованием некоторых элементов фишинга.

Хотя киберпреступники всегда были и есть, люди обычно не беспокоятся о том, что может быть украдено и что может случиться, считает Cамуэль Леллуш, менеджер по продуктовой линейке компании ActivIdentity. Он добавляет, что благодаря мобильным устройствам, социальным сетям, облачным сервисам и интернет-банк-клиентам появилось больше информации, которую можно украсть, и это повышает активность хакеров.

Леллуш утверждает: “Цель хактивистов — сделать их акции публичными, вот почему мы все больше слышим об этих атаках. В противоположность этому киберпреступники хотят остаться незамеченными, чтобы продолжать кражи”.

Кибервзломщики поражают привлекающие внимание цели и раскрывают все большие объемы информации ради финансовой выгоды, стратегического превосходства или поддержки “хактивистов” в судебных процессах.