Niewiarygodne szczegóły włamania Rosjan do serwerów Yahoo

dodał 15 marca 2017 o 20:53 w kategorii Prawo  z tagami:
Niewiarygodne szczegóły włamania Rosjan do serwerów Yahoo

Amerykański Departament Sprawiedliwości opublikował szczegóły zarzutów wobec czterech osób oskarżonych o włamanie do Yahoo. Zasięg włamania jest bezprecedensowy a sprawcami okazali się m. in. funkcjonariusze FSB.

Często ciekawe szczegóły włamań pojawiają się dopiero wraz z opublikowaniem dokumentacji sądowej. Nie inaczej jest tym razem. Do tej pory wiedzieliśmy tylko, ze w jednym z dwóch incydentów Yahoo utraciło dane 500 milionów kont (drugi dotyczył miliarda kont). Pełna skala włamania jest jednak dużo większa a ślady prowadzą do Rosji.

Jak bardzo duża może być wpadka

Czytelnicy naszego serwisu bez wątpienia pamiętają niejedną wpadkę dużej firmy. Musimy jednak przyznać, że to, co stało się w Yahoo, trudno do czegokolwiek porównać. I nie mówimy tu tylko o danych 500 milionów kont klientów, choć ta liczba jest bez wątpienia imponująca. Według opublikowanych informacji włamywacze dostali się do sieci Yahoo co najmniej już w roku 2014, a dostęp utracili dopiero… we wrześniu 2016. Oznacza to, że przez dwa lata (lub więcej) poruszali się swobodnie w sieci firmy, pozostając niewykryci. Z wykradzionych danych korzystali jeszcze w grudniu 2016. Poziom ich dostępu do sieci Yahoo budzi zdumienie. Pod koniec roku 2014 wykradli z serwerów Yahoo bazę użytkowników zawierającą nazwy użytkowników, zapasowe adresy email, numery telefonów oraz informacje potrzebne do stworzenia ciasteczek autoryzujących dostęp do skrzynek (nonce). Następnie uzyskali dostęp do wewnątrzfirmowego narzędzia do zarządzania użytkownikami (Account Management Tool), które wykorzystywali by wyszukiwać interesujące ich skrzynki i tworzyć dla nich ciasteczka umożliwiające dostęp do ich zawartości.

Część ofiar ataków włamywaczy była wybierana zgodnie z zainteresowaniami Federalnej Służby Bezpieczeństwa, część interesowała samych włamywaczy. Akt oskarżenia wymienia wśród ofiar osoby pracujące dla obcych wywiadów i organów ścigania, rosyjskich dziennikarzy, urzędników z USA oraz Rosji, pracowników dużej rosyjskiej firmy zajmującej się cyberbezpieczeństwem (ciekawe o kogo może chodzić), pracowników firm, których sieci włamywacze również próbowali atakować, pracowników rosyjskiej firmy inwestycyjnej, francuskiej firmy transportowej, amerykańskich firm finansowych, szwajcarskiej firmy oferującej portfele bitcoinowe oraz amerykańskiej linii lotniczej. Przy okazji także zdobywali dostęp do kont użytkowników u innych dostawców poczty (prawdopodobnie chodzi m. in. o Google). Co więcej, potrafili także włamywać się do kont małżonków i dzieci swoich ofiar, by zdobywać więcej informacji na ich temat. W ten sposób włamali się do konta ok. 6500 wybranych osób. Gdy szukali pracowników konkretnej firmy, kierowali się domenami użytymi w pomocniczych adresach email zarejestrowanych w Yahoo.

Spośród wszystkich informacji zawartych w akcie oskarżenia nas jednak najbardziej zaskoczyły inne działania przestępców. Okazuje się, że jeden z włamywaczy, motywowany finansowo, przeszukiwał komunikację użytkowników Yahoo pod kątem numerów kart kredytowych oraz bonów podarunkowych, które następnie wykradał. Ukradł także listy kontaktów 30 milionów użytkowników, by następnie użyć znajdujących się na nich adresów do zbudowania list spamerskich. A na deser przekierował część ruchu z wyszukiwarki Yahoo. Do wyników odpowiedzi na zapytanie o problemy z erekcją dodał swój własny link, prowadzący do internetowej apteki sprzedającej magiczne pigułki i oferującej prowizje każdemu, kto skieruje tam klientów. Włamywacze przez dwa lata traktowali Yahoo jak swój prywatny folwark, z którego brali, co chcieli i zarabiali na nim jak na własnej firmie – i nikt się nie zorientował.

Kto za tym stoi

Według aktu oskarżenia inspiratorami przestępstwa było dwóch agentów Federalnej Służby Bezpieczeństwa – 33-letni Dymitr Aleksandrowicz Dokuczajew, oficer oddziału Center 18, zajmującego się cyberprzestępczością (bo najwyraźniej nie powinniśmy pisać, że jej zwalczaniem) oraz 43-letni Igor Anatoliewicz Suszczyn, jego przełożony, zatrudniony dla niepoznaki jako szef departamentu bezpieczeństwa w rosyjskim banku inwestycyjnym.

Obaj panowie zatrudnili do brudnej roboty Aleksieja Aleksiejewicza Belana, pseudonim Magg, oskarżonego już w roku 2012 oraz 2013 w USA o włamania do amerykańskich sklepów internetowych i kradzież danych 200 milionów użytkowników. Belan znalazł się nawet na liście Cyber Most Wanted ogłoszonej przez FBI i jest nadal oficjalnie poszukiwany przez Interpol (także w Rosji). W czerwcu 2013 Belan został nawet zatrzymany w jednym z europejskich krajów i oczekiwał na ekstradycję do USA, ale wymknął się spod kontroli organów ścigania i uciekł do Rosji. Obaj oficerowie FSB najwyraźniej zamiast aresztować Belana, nawiązali z nim współpracę korzystną dla obu stron. Podobno nawet udzielali mu wskazówek, jak uniknąć bycia wykrytym w trakcie włamania oraz przekazywali poufne informacje będące w posiadaniu organów ścigania. We włamaniach pomagał mu także czwarty oskarżony, mieszkający w Kanadzie Kazach Karim Baratow (już zatrzymany).

Powyższy przykład pokazuje świetną współpracę rosyjskich cyberprzestępców ze służbami specjalnymi. Podobny scenariusz opisywał także niedawno The New York Times, przedstawiając profil słynnego Slavika, botmastera pomagającego rosyjskim służbom przeszukiwać miliony komputerów na całym świecie.