Хакеры взялись шантажировать российские министерства, требуя от них выкуп за данные неких пользователей. С начала спецоперации проукраинские взломщики выгрузили по меньшей мере шесть терабайтов данных госорганов и компаний из России. «Известия» вместе с экспертами разбирались, насколько они достоверны, имеют ли ценность на «черном рынке» и можно ли считать кибервойну против россиян успешной.
Угроза анонимов
Хакеры из команды DumpForums решили публично шантажировать Минстрой. В воскресенье, 5 июня, на странице ведомства появилась плашка с требованием перевести на криптокошелек половину биткоина — порядка 1 млн рублей. Если ведомство не заплатит до 7 июня, они сольют «всех пользователей Минстроя РФ».
В Минстрое заверили, что работе его сайта ничего не угрожает: специалисты его защищают и постоянно отслеживают.
Автор цитаты
В своем Telegram-канале хакеры храбрятся: «Мы можем взломать сайт Кремля. Как вам такая идея?» К соответствующему посту они прикладывают скриншот с иконкой портала из поисковой выдачи.
Ценность данных с сайта Минстроя не слишком велика, отмечает руководитель аналитического центра компании Zecurion Владимир Ульянов. Если утечка действительно произошла (а этому нет подтверждения), вероятно, речь идет о подписчиках новостей.
Потенциальные жертвы едва ли могут пострадать от утечки таких данных, как имена и электронные ящики. «Их можно разве что в рамках социальной инженерии использовать», — говорит собеседник «Известий».
Из России не с любовью
Хакеры активизировались после начала спецоперации РФ по защите Донбассе. Первым под удар якобы попал сайт Минобороны, однако в ведомстве опровергли эти публикации. Даже если бы взлом произошел, утечка попросту невозможна: на серверах Минобороны не хранятся данные, это запрещено законом, напомнили там. Позже в «Роскосмосе» сообщали о реальных попытках взлома, однако атака была отражена, заверили в госкорпорации.
Помимо ведомств, под удар попали российские компании. Последние «жертвы» хакеров из группировки Anonymous — «Петербургский социальный коммерческий банк», инжиниринговый «Электроцентромонтаж» и таможенный брокер АЛЭТ. Всего с конца февраля они опубликовали свыше шести терабайтов данных из РФ на сайте DDoSecrets, заявляют в группировке.
DDoSecrets (Distributed Denial of Secrets) — некоммерческая площадка, которую называют преемницей WikiLeaks. В 2018 году ее открыла небольшая группа американских журналистов и активистов для «свободной передачи данных в общественных интересах». Так, на DDoSecrets публиковались утечки из правоохранительных органов США, офшорных структур, министерств различных стран.
Сейчас каждую неделю осуществляется несколько взломов российских ресурсов, пишет DDoSecrets в Telegram-канале: «Мы просматриваем данные, ищем в них общественный интерес, а затем помогаем им достичь широкой аудитории». В марте площадка выгрузила семь баз утекших данных из РФ, в апреле — более 20 российских и белорусских и еще три в мае.
Секретный микс
Даже западные СМИ, которые поощряют так называемый хактивизм, сомневаются в подлинности слитых данных. Сам DDoSecrets снабжает публикации дисклеймером: «Этот набор данных появился в открытом доступе во время кибер- или гибридной войны, что увеличивает риск заражения вирусами и публикации ложной информации».
Так, одной из первых переполох вызвала база данных, якобы связанная с Центробанком. Регулятор опроверг информацию о взломе, а эксперты подтвердили, что в выложенных хакерами файлах нет закрытых сведений.
На украинских ресурсах распространялась карта Google с данными россиян, которые якобы мародерствовали в зоне проведения спецоперации. Их извлекли, в частности, из утечек «Авито» и СДЭК прошлых лет, выяснили эксперты компании DLBI. Пользователей из одного региона зачем-то перенесли в другой, а информацию о званиях и военных частях попросту выдумали.
Некоторые слитые базы на поверку оказываются весьма скудными и включают лишь имена, логины и электронные адреса пользователей. Особой ценности они не имеют, поскольку не дают злоумышленникам доступа к паролю, а значит, и к личному кабинету, говорит исполнительный директор IT-компании HFLabs Константин Степанов. Рассылка по всплывшим адресам электронных ящиков — тоже проблема несущественная.
Автор цитаты
В 2020 году в сеть утекла база 5 млн клиентов языковой школы SkyEng: телефоны, e-mail и логины. Показательно, что злоумышленники продали ее всего за 40 тыс. рублей.
На виду — мелочи
Масштаб хакерских атак и последующих утечек можно оценить по сухим цифрам — количеству строк в слитых базах, а можно — по последствиям.
— Если по последствиям, то можно вспомнить Wildberries — неподтвержденная атака, которая привела к приостановке обслуживания клиентов на несколько дней, Росавиацию, которая перешла на бумажный документооборот, — отмечает директор центра мониторинга и противодействия киберинцидентам IZ:SOC компании «Информзащита» Иван Мелехин.
Он подчеркивает, что ни компании, ни госорганы не обязаны уведомлять регуляторов об утечках персональных данных, а тем более публично их обнародовать. «Ни один реальный инцидент, выявленный нашим центром мониторинга, не освещался, — говорит Иван Мелехин. — Таким образом, делать объективные выводы о масштабах утечек и последствий в текущих реалиях крайне сложно».
Последние подтвержденные утечки спровоцированы не хакерами, а сотрудниками самих организаций — случайно или предумышленно, говорит Константин Степанов из HFLabs. Самая громкая подобная утечка с начала весны произошла с «Яндекс.Едой», напоминает глава аналитического центра Zecurion Владимир Ульянов.
И так сойдет
Случай «Яндекса» — классическая утечка, спровоцированная сотрудником изнутри компании. Если подобные инциденты совершаются целенаправленно (а не по неаккуратности), их тоже можно рассматривать как часть кибервойны, отмечает он.
Так или иначе, именно ситуация с «Яндекс.Едой», по мнению Владимира Ульянова, станет переломной в вопросе отношения к персональным данным в России: так, Минцифры наконец согласовало законопроект, который ужесточает ответственность за персональные данные.
Автор цитаты
Кроме того, эту утечку превратили в подобие интерактивного развлечения. Показательно, что карта с утекшими данными продолжает пополняться новыми данными из СДЭКа, «Билайна», ВТБ и других источников.
Однако реальные кибермошенники обойдутся без визуализации: они легко разберутся в выгружаемых на «черный рынок» базах. На форумах в даркнете самые востребованные данные — паспортные, напоминает Константин Степанов. «Их покупают для регистрации электронных кошельков или оформления микрофинансовых займов, — объясняет он. — Адреса в сочетании с Ф.И.О. и номером телефона — тоже чувствительная информация для определенного круга людей».
На «черном рынке» представляют ценность и данные платежных карт, однако возможность их в силу прекращения обслуживания таких карт за пределами РФ сильно упала, отмечает эксперт «Информзащиты» Иван Мелехин. Спросом также пользуются сведения, с помощью которых можно нарушить критичные процессы в организации. Например, это может быть доступ к зараженным компьютерам для организации DDoS-атак.
Иван Мелехин, директор центра мониторинга и противодействия киберинцидентам IZ:SOC «Информзащита»:
Ни одна утечка данных клиентов в РФ до настоящего момента не приводила к каким-либо существенным последствиям ни для субъектов, ни для компаний, допустивших утечку. Можно сделать вывод, что в текущих реалиях персональные данные обычных россиян не представляют ценности ни для «черного рынка», ни для государства».
Другое дело — закрытая информация госорганов. Так, в сеть утек архив Минкульта из 230 тыс. электронных писем. В переписках обсуждали зарплаты, кадровые решения, нюансы работы с объектами культурного наследия — в частности, выявленные у них дефекты. В ведомстве подчеркивали, что документооборот не пострадал и работает в штатном режиме.
Именно конфиденциальные бумаги, в том числе по тендерам, — одна из самых уязвимых точек, подчеркивает коммерческий директор компании EveryTag Сергей Тимошенко. Даже с помощью скриншотов документов можно сильно навредить организации.
— Без доказательной базы факт такой утечки будет иметь формат «сплетни», никто не поверит в информацию с вырванными из контекста цифрами или именами, — поясняет собеседник «Известий». — Скомпрометировать такие документы достаточно сложно, так как зачастую они хранятся в защищенных системах компании. Но если злоумышленники всё же получат к ним доступ и воспользуются ими для получения выгоды, то такая утечка будет считаться «успешной».
Подтвержденных утечек документов с начала спецоперации РФ на Украине зафиксировано пока не было.
Черт ногу сломит
Украинские власти официально объявили о создании «первой в мире киберармии», в рядах которой, по их оценкам, насчитывается порядка 300 тыс. человек. Постпред РФ при ООН Василий Небензя назвал ее «неуправляемой», подчеркнув, что впоследствии она доставит немало проблем не только России, но и западным странам.
Массив данных, которые выгружается хакерами, попросту физически невозможно проверить, признают даже в Distributed Denial of Secrets. Последние месяцы «подарили» множество историй с утечками, каждая из них по-своему крупная, замечает гендиректор «БСС-Безопасность» Виктор Гулевич. По отдельности они могут быть несерьезными, а объединенные позволят злоумышленникам спланировать множество разнообразных атак.
Оценить эффективность «кибервойны», объявленной России в конце февраля, пока сложно. «Наши специалисты наблюдают рост DDoS-атак на все отрасли экономики РФ с начала специальной военной операции», — признает Виктор Гулевич. Однако «существенных взломов и кейсов с компрометацией того или иного ресурса не зафиксировано», резюмировал эксперт.