Первая в мире кибератака случилась тридцать лет назад - осенью 1988 года. Для Соединённых Штатов Америки, где в течение нескольких дней вирусом были поражены тысячи компьютеров, новая напасть стала полной неожиданностью. Сейчас застать специалистов по компьютерной безопасности врасплох стало гораздо сложнее, но киберпреступникам по всему миру это всё-таки удаётся. Ведь, как ни крути, а самые крупные кибератаки совершают гении программирования. Жаль только, что свои знания и умения они направляют совсем не туда, куда следовало бы.

Крупнейшие кибератаки

Сообщения о вирусах-шифровальщиках, атакующих компьютеры по всему миру, появляются на новостных лентах регулярно. И чем дальше, тем большие масштабы принимают кибератаки. Вот - лишь десять из них: самых резонансных и наиболее значимых для истории такого вида преступлений.

Червь Морриса, 1988 год

Сегодня дискета с исходным кодом червя Морриса - музейный экспонат. Взглянуть на неё можно в научном музее американского Бостона. Её бывшим владельцем был аспирант Роберт Таппан Моррис, который создал один из самых первых интернет-червей и привёл его в действие в технологическом институте штата Массачусетс 2 ноября 1988 года. В результате в США были парализованы 6 тыс. интернет-узлов, а общий ущерб от этого составил 96,5 млн долларов.
Для борьбы с червём привлекли самых лучших специалистов по компьютерной безопасности. Однако и им не удалось вычислить создателя вируса. Моррис сам сдался полиции - по настоянию своего отца, также имевшего отношение к компьютерной индустрии.

Чернобыль, 1998 год

У этого компьютерного вируса есть и пара других названий. Также он известен как «Чих» или CIH. Вирус тайваньского происхождения. В июне 1998 года его разработал местный студент, запрограммировавший начало массовой атаки вируса на персональные компьютеры по всему миру на 26 апреля 1999 года - день очередной годовщины Чернобыльской аварии. Заложенная заранее «бомба» сработала чётко в срок, поразив полмиллиона компьютеров на планете. При этом вредоносной программе удалось совершить доселе невозможное - вывести из строя аппаратную часть компьютеров, поразив микросхему Flash BIOS.

Melissa, 1999 год

Melissa был первым вредоносным кодом, отправленным по электронной почте. В марте 1999 года он парализовал работу серверов крупных компаний, расположенных по всему миру. Это произошло из-за того, что вирус генерировал всё новые и новые инфицированные письма, создавая мощнейшую нагрузку на серверы почты. При этом их работа либо очень сильно замедлялась, либо прекращалась полностью. Ущерб от вируса Melissa для пользователей и компаний оценивался в 80 млн долларов. Кроме того, он стал «родоначальником» нового типа вирусов.

Mafiaboy, 2000 год

Это была одна из самых первых DDoS-атак в мире, которую начал 16-летний канадский школьник. Под удар в феврале 2000-го попали несколько всемирно известных сайтов (от Amazon до Yahoo), в которых хакеру Mafiaboy удалось обнаружить уязвимость. В итоге работа ресурсов была нарушена почти на целую неделю. Ущерб от полномасштабной атаки оказался весьма серьёзным, его оценивают в 1,2 млрд долларов.

Титановый дождь, 2003 год

Так назвали серию мощных кибератак, от которых в 2003 году пострадали сразу несколько компаний оборонной промышленности и ряд прочих госучреждений США. Целью хакеров было получение доступа к секретной информации. Отследить авторов атак (оказалось, что они - из провинции Гуандун в Китае) удалось специалисту по компьютерной безопасности Шону Карпентеру. Он проделал колоссальную работу, однако вместо лавров победителя в итоге получил неприятности. В ФБР посчитали некорректным методы Шона, ведь в ходе своего расследования он произвёл «незаконный взлом компьютеров за рубежом».

Cabir, 2004 год

До мобильных телефонов вирусы добрались в 2004 году. Тогда появилась программа, которая давала о себе знать надписью «Cabire», высвечивавшейся на экране мобильного устройства при каждом включении. При этом вирус, посредством технологии Bluetooth, пытался заразить и другие мобильные телефоны. И это очень сильно влияло на заряд устройств, его хватало в самом лучшем случае на пару часов.

Кибератака на Эстонию, 2007 год

То, что случилось в апреле 2007 года, можно без особых натяжек назвать первой кибервойной. Тогда в Эстонии разом ушли в офлайн правительственные и финансовые сайты за компанию с медицинскими ресурсами и действующими онлайн-сервисами. Удар оказался весьма ощутимым, ведь в Эстонии к тому моменту уже действовало электронное правительство, а банковские платежи практически полностью были в онлайне. Кибератака парализовала всё государство. Причём произошло это на фоне массовых протестов, проходивших в стране против переноса памятника советским воинам Второй Мировой.

Zeus, 2007 год

Троянская программа начала распространяться в социальных сетях в 2007 году. Первыми пострадали пользователи Facebook, получившие письма с прилагавшимися к ним фотографиями. Попытка открыть фото оборачивалась тем, что пользователь попадал на страницы сайтов, поражённых вирусом ZeuS. При этом вредоносная программа сразу же проникала в систему компьютера, находила личные данные владельца ПК и оперативно снимала средства со счетов человека в европейских банках. Вирусная атака затронула немецких, итальянских и испанских пользователей. Общий ущерб составил 42 мдрд долларов.

Gauss, 2012 год

Этот вирус - банковский троян, крадущий финансовую информацию с поражённых ПК - был создан американскими и израильскими хакерами, работавшими в тандеме. В 2012 году, когда Gauss ударил по банкам Ливии, Израиля и Палестины, его причисляли к кибероружию. Главной задачей кибератаки, как выяснилось позже, была проверка информации о возможной тайной поддержке ливанскими банками террористов.

WannaCry, 2017 год

300 тысяч компьютеров и 150 стран мира - такова статистика по пострадавшим от этого вируса-шифровальщика. В 2017 году в разных концах света он проник в персональные компьютеры с операционной системой Windows (воспользовавшись тем, что они не имели на тот момент ряда необходимых обновлений), перекрыл владельцам доступ к содержимому жёсткого диска, но пообещал вернуть его за плату в 300 долларов. Те, кто отказался платить выкуп, лишились всей захваченной информации. Ущерб от WannaCry оценивается в 1 мдрд долларов. Авторство его до сих пор неизвестно, считается, что к созданию вируса приложили руку разработчики из КНДР.

Криминалисты по всему миру заявляют: преступники уходят в интернет, а банки обчищают не в ходе налётов, а с помощью внедрённых в систему зловредных вирусов. И это сигнал для каждого пользователя: быть аккуратнее со своей личной информацией в сети, надёжнее защищать данные о своих финансовых счетах, не пренебрегать регулярной сменой паролей.

Уязвимости, обход проверки цифровой подписи, виртуальные файловые системы, нестандартные алгоритмы шифрования и другие приемы. Но иногда всё немного проще, как в случае с вредоносной кампанией, которую мы обнаружили некоторое время назад и назвали Microcin – в честь microini, одного из использованных вредоносных компонентов.

Мы обнаружили подозрительный файл в формате RTF. В документе содержался эксплойт к ранее известной и закрытой уязвимости CVE-2015-1641 , но его код был сильно модифицирован. Примечательно, что вредоносный документ распространялся через сайты, предназначенные для очень узкой группы людей, и поэтому мы сразу стали подозревать, что перед нами целевая атака. Операторы вредоносной кампании «целились» в посетителей форумов, на которых обсуждаются вопросы, связанные с получением льготных квартир российскими военнослужащими и их семьями.

Такой подход кажется очень эффективным, т.к. существенно повышает вероятность того, что потенциальная жертва злоумышленников скачает и откроет вредоносный документ – ведь форум легитимный, а название документа соответствует его тематике.

Все ссылки в сообщениях на форуме ведут на вредоносный ресурс files[.]maintr**plus[.]com, где, и размещался RTF-документ с эксплойтом. Иногда злоумышленники использовали PPT-файлы, содержащие исполняемый PE-файл, но без эксплойта: запуск производился с помощью внедренного в PPT-файл скрипта.

В случае успешной эксплуатации в пакете MS Office, эксплойт создает на диске исполняемый PE-файл и запускает его. Вредоносная программа является платформой для внедрения дополнительных модулей, их скрытного хранения и добавления новых возможностей для злоумышленников. Шаги атаки можно представить следующим образом:

1. В результате срабатывания эксплойта на атакованный компьютер устанавливается вредоносная программа в соответствии с разрядностью операционной системы. Установка происходит через внедрение в системный процесс explorer.exe, без использования записи в память. Зловред имеет модульную структуру: основное тело хранится в реестре, дополнительные модули загружаются по команде управляющего сервера (C&C). Автозапуск основного модуля осуществляется через dll hijacking с помощью модифицированной системной библиотеки.
2. Основной модуль вредоносной программы получает команду на загрузку и запуск дополнительных модулей открывающих новые возможности злоумышленникам.
3. Дополнительные вредоносные модули, позволяют управлять зараженной системой, делать скриншоты окон и перехватывать клавиатурный ввод. Их мы видели и в других кампаниях кибершпионажа.
4. Злоумышленники используют модифицированный набор powershell-скриптов PowerSploit и различных утилит, чтобы похищать файлы и пароли, обнаруженные на зараженном компьютере.

На скомпрометированных компьютерах преступников прежде всего интересовали файлы с расширениями.doc, .ppt, .xls, .docx, .pptx, .xlsx, .pdf, .txt и.rtf. Перед отправкой на сервер злоумышленников файлы упаковывались в архив, защищённый паролем.

В целом, тактики, техники и процедуры, которые злоумышленники применяли в ходе атаки, едва ли можно назвать сложными и дорогостоящими, однако кое-что всё же привлекло наше внимание:

• Полезная нагрузка (как минимум, один из модулей) доставляется с применением упрощённой . В трафике это выглядит как загрузка обычного JPEG-изображения, но сразу после данных изображения следует зашифрованная полезная нагрузка. Microcin ищет специальную метку в таком файле – «ABCD» – и от нее, пропустив специальную структуру, начинает расшифровывать полезную нагрузку. Таким образом может доставляться как новый базонезависимый код, так и файлы PE-формата.
• Если перед закреплением в системе инсталлятор Microcin обнаружит запущенные процессы некоторых антивирусных программ, то установка пойдет без использования внедрения в explorer.exe, а модифицированная системная библиотека, которая используется для закрепления вредоносной программы в системе, помещается в каталог %WINDIR% посредством использования системного приложения wusa.exe с параметром «/extract» (на ОС, где есть UAC).

Заключение

В рассмотренной вредоносной кампании не используются принципиально новые технологии: уязвимости нулевого дня, новшества в техниках внедрения или маскировки. В арсенале злоумышленников:

• Атака типа watering hole с экплойтом MS Office;
• Беcфайловое хранение основного набора вредоносных функций (шеллкода) и дополнительных модулей;
• Внедрение в системный процесс без записи в его память;
• DLL hijacking по отношению к системному процессу как способ автозапуска, который не оставляет следов в ключах автозапуска в реестре.

Также атакующие используют powershell-скрипты, широко применяемые в тестах на проникновение. Бэкдоры мы видели в различных целевых атаках, а PowerSploit – это и вовсе проект с открытым кодом. Однако и известные технологии могут позволить злоумышленникам достигнуть своих целей.

На наш взгляд, рассмотренная вредоносная кампания интересна в первую очередь используемыми векторами атаки – часто организации, которые могут оказаться в списке целей киберпреступников, не обращают на них внимание.

Во-первых, если инфраструктура вашей организации хорошо защищена, и атаковать её будет «дорого» (то есть для этого могут понадобиться дорогие эксплойты под уязвимости нулевого дня и прочие сложные инструменты), атакующие, скорее всего, попытаются атаковать рядовых сотрудников. Логика подобного шага проста: личные IT-ресурсы сотрудника (его компьютер или мобильное устройство) вполне могут стать «дверью» в ваш периметр без прямой атаки. Поэтому организациям необходимо информировать сотрудников о существующих киберугрозах и о том, как они работают.

Во-вторых, Microcin – одна из множества вредоносных кампаний, использующих инструменты и методы, которые сложно обнаружить с помощью стандартных защитных решений даже корпоративного уровня. Поэтому мы рекомендуем крупным корпорациям и госорганам использовать комплексные решения для защиты от целевых атак. Подобные решения способны распознать атаку, даже если использование очевидно вредоносных инструментов в ней сведено к минимуму, а вместо этого атакующие стремятся прибегать к помощи легальных инструментов для тестирования на проникновение, удалённого доступа и других задач.

Построение комплексной защитной системы может существенно снизить риск стать жертвой целевой атаки, даже неизвестной на момент ее реализации. Другого выхода нет – иначе секреты будут похищены, а информация, зачастую, стоит больше затрат на ее надежную защиту.

Практически ежедневно в СМИ появляются новые сообщения о кибератаках, зафиксированных в разных странах. Существуют же случаи, которые запомнятся людям надолго.

"Титановый дождь"

Неизвестным хакерам почти четыре года подряд удавалось осуществлять незаконную операцию под названием "Титановый дождь". С 2003 по 2007 год злоумышленники взламывали сети отделов безопасности, энергетики и обороны различных государств. Отдельно в этом списке стоит МИД Великобритании, также подвергшийся атакам интернет-преступников.

Всего за указанный период хакеры скачали несколько терабайт секретной информации, но так и остались незамеченными. Считалось, что нелегальные мероприятия проводят военные из Китая, проживающие в провинции Гуандун. Представители Пекина опровергли эти предположения, отметив, что преступники попросту "замаскировали" свои компьютеры под ложными адресами.

Главной особенностью операции Shady RAT является то, что она продолжается и по сей день. Как и в первом случае, источником угрозы считается КНР, однако аргументировать свои обвинения специалисты пока не могут.

Еще в 2011 году компания McAfee, специализирующаяся на разработке антивирусного ПО, зафиксировала ряд взломов, связанных одинаковыми особенностями. Как выяснилось, речь шла о масштабной акции хакеров, длящейся с 2006 года.

Злоумышленники отправляют электронные письма сотрудникам крупных организаций, заражая их ПК вирусами типа "троян". Жертвами взломов уже стали Олимпийский комитет ООН, Ассоциация государств Юго-Восточной Азии, а также невероятное количество коммерческих фирм из Японии, Швейцарии, Великобритании, Индонезии, Дании, Сингапура, Гонконга, Германии и Индии. Кроме того, атакам подвергались компьютеры правительств США, Тайваня, Южной Кореи, Вьетнама и Канады.

Месть за памятник

В 2007 году, после того, как власти Эстонии решили снести советский памятник в центре Таллина, страна подверглась массовым кибератакам. Из-за неполадок довольно долго не работали несколько банков и мобильных операторов. При этом граждане не могли воспользоваться банкоматами или интернет-банкингом. Посещение правительственных и новостных ресурсов также оказалось невозможным.

В свете последних событий представители государства сразу же обвинили в нападении Россию. Москва отвергла заявления, подчеркнув, что Кремль не занимается подобными вещами.

Конфликт в Южной Осетии

В августе 2008 года начался вооруженный конфликт между Грузией и самопровозглашенными республиками Южная Осетия и Абхазия. С тех пор Тбилиси начал подвергаться онлайн-нападениям, в которых сразу же обвинили РФ. Москва официально поддерживала противоположную сторону, поэтому атаки ее хакеров на грузинские ресурсы выглядели вполне логичными. Премьер-министр страны Дмитрий Медведев не подтвердил эту информацию и заявил, что государство не имеет отношения к кибератакам.

Правоохранительным органам Тбилиси все-таки удалось установить личность преступников, которыми оказались члены группы Russian Business Network. По версии зарубежных специалистов, участники объединения намеренно блокировали веб-сайты Михаила Саакашвили, МИД и Минобороны Грузии.

Stuxnet и ядерная программа Ирана

В июне 2010 года эксперты обнаружили червь под названием Stuxnet. Он использует уязвимости Windows, чтобы взламывать промышленные системы Siemens. Подобное ПО установлено на атомных электростанциях и других предприятиях, связанных с сегментом.

Наибольшее количество зараженных компьютеров было замечено на территории Ирана, где атакам подверглись 16 тысяч машин. Предполагается, что данное программное обеспечение разработал Израиль для того, чтобы помешать разработке ядерного вооружения Тегераном. В 2011 году издание The New York Times подтвердило обвинения, сославшись на собственное исследование.

Олимпиада и WADA

Не менее интересными оказались взломы от хакерской организации Fancy Bears, возмущенной действиями Всемирного антидопингового агентства (WADA). В большинстве случаев речь идет о документах, уличающих ведомство в поддержке зарубежных спортсменов и предвзятому отношению к участникам Олимпийских игр из России.

В последний раз, когда интернет-преступники заявили о себе, они разместили в Сети отрывки переписки между двумя членами WADA. Если верить этим материалам, несколько членов сборной США употребляли кокаин, чтобы сбросить вес перед соревнованиями. При этом агентство знало о происходящем, но никак не отреагировало на поступок спортсменов.

Хиллари Клинтон и WikiLeaks

Во время предвыборной гонки в США, одним из участников которой стала Хиллари Клинтон, на просторах Интернета и в СМИ обрела популярность еще одна анонимная организация. Ее члены публиковали в Сети фрагменты переписки кандидатки, которая, находясь на посту госсекретаря, использовала личный почтовый сервер, а не правительственные линии.

Большинство документов попали на портал WikiLeaks, обвинивший Клинтон во многих нарушениях. После этого вокруг чиновницы разгорелся настоящий скандал, связанный с ее деятельностью. Позднее во Всемирной паутине даже появилась информация о том, что супруга экс-президента страны периодически практикует однополую любовь со своей помощницей.

Хакеры создали новую версию вируса WannaCry, которая останавливается при обнаружении управляющего домена и атакует компьютеры по управлением Windows. Вредоносная программа за двое суток заблокировала девайсы коммерческих и государственных организаций, на экранах которых появлялось требование заплатить от $300-600, иначе вся информация будет удалена. Вирус атаковал уже более 200 тысяч устройств в более чем 150 странах мира. «Цифровая Москва» решила вспомнить, какими громкими делами запомнились последние несколько лет.

2013 год: спам или не спам?

Четыре года назад пользователи европейской части континента в течение целой недели жаловались на низкую скорость интернета. Виной тому стала DDoS-атака, которая поразила даже системы крупных корпораций, у которых установлены Tier-1-операторы (то есть, операторы связи, связанные со всей Сетью через соединения, за которые никому не платят) и крупные точки обмена трафиком. Атака достигла скорости 300 Гб/с и до сих пор считается одной из крупных в мире.

Как впоследствии оказалось, причиной для таких агрессивных действий хакеров послужил конфликт между некоммерческой организацией Spamhaus, которая составляет списки распространителей спама, и голландским провайдером Cyberbunker, после того как тот оказался в упомянутых списках. В ответ Cyberbunker начал кибератаку против блокировщиков, которая не только вывела из строя Spamhaus, но сделала другие ресурсы уязвимыми для DDoS-атак. Так, нападкам подверглась компания CDN CloudFlare, предоставляющая защиту от DDoS. Нападение на нее началось 18 марта и на следующий день выросло до 90 Гб/с. Не сумев пробиться, атакующие снова переключились на провайдеров, увеличив мощность атаки до рекордных 300 Гб/с, чего не выдерживали сети.

По словам специалистов, в этом случае атака произошла методом DNS amplification: когда серверы хакеров рассылали DNS-серверам по всему интернету большое количество рекурсивных запросов с поддельными обратными адресами. Чтобы ответить на вопрос весом несколько десятков байт, системе требовалось несколько килобайт, причем отправляеться он будет по адресу жертвы, делая атаку более интенсивной. При использовании DNS amplification большой трафик связан с тем, что «зомбированными» оказываются не компьютеры пользователей, а серверы. Причем, несмотря на то, что об этой уязвимости известно довольно давно, многие серверы не решают проблему с ее закрытием.

Еще в мире:

Также в июне того же года ФБР и Microsoft совместно пресекли деятельность около тысячи бот‑сетей, которые входили в вирусную сеть. С помощью комплекса программного обеспечения Citadel ("Цитадель") киберпреступники заражали вирусами девайсы пользователей и получали доступ к персональной информации и сведениям о счетах в банке. К слову, на тот момент хакеры уже похитили около $500 000 000 - но это, правда, с учетом и 2012 года.

7 августа оказались взломаны неосновные Twitter-аккаунты кинформационного агентства РИА Новости: Международного мультимедийного пресс‑центра и RIA Novosti Deutsch. Взломщики разместили там ложную информацию о смерти президента СССР Михаила Горбачева . Оба фальшивых сообшения «провисели» не больше пяти минут, после чего были удалены. Но, к слову, это была не первая попытка кибернападения на агентство. В марте 2013 года хакеры провели крупную DDoS‑атаку, которая потом повторилась еще в июле.

2014: российские хакеры воруют данные

По данным Центра стратегических и международных исследований (CSIS), 2014 год запомнился «большими цифрами». Так, ущерб от краж личных данных в 2014 году составил $150 000 000 000. Совместно же США , Япония , Китай и Германия потеряли на $50 000 000 000 больше. По оценкам профессионалов, эта история повторяется из года в год.

Одна из запоминающихся кибератак того года была связана с обнаруженной уязвимостью в протоколе NTP (Network Time Protocol). Она была открыта в январе того года американской организацией US-CERT, задачей которой является обеспечение информационной безопасностью. Причем она распространилась по всему миру, от нее пострадали крупные компании, российские банки и госучреждения. По мощности она достигла 70-80 Гб/с и поднималась до 120 Гб/с. Всего жертвами нападения хакеров стали 15 организаций.

В том же году компания Hold Security заявила об утечке пользовательской информации: были украдены около 1,2 млрд уникальных связок «логин/пароль» от адресов электронной почты. Киберпреступники с помощью сети зараженных компьютеров собрали 4,5 млрд пар записей с 420 тысяч сайтов. К слову, некоторые источники утверждают, что сами хакеры были из России.

Еще в 2014 году от хакерских атак серьезно пострадали энергокомпании США и ЕС , системы которых оказались заражены вредоносной программой Energetic Bear, которая могла следить за потреблением электроэнергии в реальном времени и даже повреждать физические системы, такие, как ветряные турбины, газопроводы и электростанции. Всего жертвами кибератаки стали 1000 организаций в 84 странах мира.

Довольно часто нападки от киберпреступников связаны с похищением данных кредитных и дебетовых банковских карт. К примеру, в 2014 году оказались скомпрометированными оказались более 50 млн клиентов розничной сети Target: хакеры с помощью трояна.POSRAM (iSight или новая модификация BlackPOS) получили их данные во время проведения платежей.

2015: уязвимости в iOS и Android и политические распри

Где-то с 2015 года злоумышленники стали все больше обращать внимание на пользователей мобильных устройств, используя уязвимости и баги в операционных системах iOS и Android.

Так, в третьем квартале 2015 года риску были подвергнуты 94,1% гаджетов на Android. А все из-за уязвимости в Mediaserver ОС Android, в обязанности которого входит сканирование и обнаружение мультимедийных файлов. К слову, за тот год в ключевом компоненте операционной системы были найдены только за третий квартал пять «прорех».

Благодаря одной из них (CVE-2015-3824) кибермошенники смогли осуществить рассылку зараженных MMS-сообщений, при открытии которых на устройство устанавливался вредоносный код. Другая уязвимость (CVE-2015-3823) приводила к перегрузкам гаджетов и, кроме того разрешала хакерам дистанционно выполнять произвольный код.

Поклонников продукции Apple , разумеется, тоже никто не забыл. Даже несмотря на закрытость системы, дотошные хакеры нашли «лазейки» и уязвимости в iOS. И не просто нашли, но еще и заразили вредоносным кодом XcodeGhost приложения не только в сторонних магазинах, но и на официальной странцие App Store. Причем пострадали в основном китайские пользователи, и впоследствии, как оказалось, именно китайские разработчики использовали для создания приложений скачанный с форумов и зараженный вредоносным кодм инструмент разработки Xcode. Помимо этого, зараженными оказались инструмент для разработки трехмерных изображений и игр Unity, а также технология передачи файлов AirDrop.

Еще одна уязвимость под названием Quicksand оказалась способной обеспечивать утечку данных через систему управления мобильными устройствами (mobile device management, MDM). Через нее к злоумышленникам уходила не только частная информация, но и корпоративная.

В 2015 году помимо всего прочего происходило огромное количество кибератак, так или иначе связанных с политическими событиями. Например, 7 января группировка «КиберБеркут» вывела из строя сайты парламента ФРГ и ведомства канцлера Ангелы Меркель, а почти ровно через месяц другие киберпреступники получили доступ к базе данных компании Anthem, получив сведения о 80 млн клиентов и сотрудников фирмы. Здесь эксперты винят китайских хакеров. Всего через неделю, 10 февраля 2015 года, в ленте Twitter американского еженедельника Newsweek появились угрозы в адрес семьи действующего тогда президента США Барака Обамы . В этой атаке подозревается «Киберхалифат».

В ноябре анонимный хакер взломал сервер американского телекоммуникационного провайдера Securus Technologies и отправил журналистам более 70 млн регистрационных записей о телефонных звонках и еще144 тысячи аудиозаписей бесед американских заключенных, из которых 14 тысяч были с их адвокатами. Запись разговоров запрещена в стране, однако из-за обнародования выяснилось, что Securus нарушала законодательство.

Пока в мире кипели страсти, 7 декабряв России «обвалился»сайт "Почты России" . Он подвергся крупной DDoS-атаке, поэтому с 8:00 до 13:00 доступ к нему для пользователей был ограничен.

2016 год оказался наиболее насыщенным и богатым на события, особенно в России. Объем покушений на хищение средств со счетов российских банков составил 5 млрд рублей, причем два из них мошенникам получилось украсть.

Так, одним из первых в прошлом году пострадал почтовый сервис Mail.ru . Хакерам удалось похитить пароли от электронных почт 57 млн пользователей. Чуть меньше пострадали те, кто зарегистрировал почтовый ящик на Yahoo (40 млн), Hotmail (33 млн) и Gmail (24 млн). Общее количество учетных записей, данные которых попали в руки злоумышленников, составило 272 миллиона. Часть из них принадлежит сотрудникам крупных американских банков и организаций в области промышленности и розничной торговли.

К слову, некоторые случаи кибератак на банки (а их было несколько подряд) сопровождались рассылкой SMS и публикациями в соцсетях, которые сообщали сведения о якобы наступившем кризисе кредитно-финансовой системы России, банкротстве и отзыве лицензий у крупных банков. Позже стало известно, что командные центры для проведения кибератак находились на территории Нидерландов , а их владельцем является хостинговая компания BlazingFast.

Также в 2016 году стало известно о киберпреступнике под псевдонимом Peace, которому удалось получить доступ к именам пользователей соцсети «ВКонтакте», паролям, адресам электронной почты и номерам телефонов, которые еще раньше были украдены другими киберпреступниками во время кибератаки на сайт 2011-2013 годов. Хакер выставил данные на продажу на одной из онлайн-платформ. По его словам, у него были «пароли и явки» от 70 млн аккаунтов «ВКонтакте», которые он по какой-то причине продавать отказался. Подтвердил верность информации от злоумышленника портал LeakedSource, который проверил выставленные на продажу сведения и выяснил, что 92 из случайно выбранных 100 аккаунтов оказались активными.

К концу года, по словам секретаря Совета безопасности Николая Патрушева, количество внешних кибератак на российские интернет-ресурсы выросло более чем в три раза: до 52,5 миллиона против с 14,4 миллиона в 2015 году. С июня 2015 года по июль 2016 года ущерб российским банкам составил порядка 3,8 млрд рублей. Сейчас, согласно статистике, 30 процентов всех хакерских нападений приходится на банки, 26 процентов - на госорганы, а 17 процентов - на СМИ.

Решать проблему планируют с помощью государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), разработкой которой занимается Федеральная служба безопасности . Планируется, что положение о ней утвердят во втором квартале 2017 года. Сейчас реализована большая часть сервисов системы и налаживается работа с абонентами-госорганами.

Подросток против Министерства обороны США

Если кто и заслуживает звания реального «Мистера Робота» (в честь гениального хакера из одноименного сериала), то это Джонатан Джеймс. В 1999 году он смог удаленно подключиться к одному из компьютеров Министерства обороны США и с помощью программы получил доступ к сообщениям, реальным именам сотрудников и их действующим паролям. Полученная Джеймсом информация, разумеется, была секретна и касалась в основном планов по защите Штатов от потенциальных угроз. Но, пожалуй, самое главное — в его руках оказался даже программный код системы жизнеобеспечения космонавтов на Международной космической станции.

На момент первой атаки Джеймсу было 16 лет. Безнаказанным он уйти не смог: его поймали в 2000 году и, ввиду несовершеннолетия, приговорили к домашнему аресту и запрету на пользование компьютерами. А вот если бы Джонатану на момент взлома было больше восемнадцати, он бы получил около десяти лет колонии.

В 2008 Джеймс был найден застреленным. Официальная версия — самоубийство, но, конечно же, в сети появилась и теория о том, что хакера устранили американские спецслужбы.

Самая крупная DDOS-атака в истории

DDOS — довольно распространенная хакерская атака, цель которой — вывести из строя атакуемый объект. Злоумышленник, зачастую с множества компьютеров, посылает на сервер гигантские объемы данных, с которыми тот заведомо не может справится, из-за чего у обычных пользователей возникают огромные проблемы с подключением. В худшем (для хакера — лучшем) случае, сервер просто «падает», то есть перестает работать.

Иронично, что самой крупной DDOS-атаке в истории подверглась международная организация Spamhaus , цель которой — бороться со спамом в сети: вычислять спамеров, формировать черные списки и продавать их держателям почтовых серверов. В 2013 году Spamhaus добавила в черный список голландского провайдера CyberBunker — поэтому любая информация от CyberBunker автоматически считалась спамом на всех почтовых серверах, сотрудничавших со Spamhaus .

Спустя несколько дней Spamhaus подверглась катастрофической DDOS-атаке, которая лавиной повалила сервера компании: объем DDOS-трафика достигал астрономических 300 гигабит в секунду. И это при том, что уже 50 гигабит хватит для того, чтобы обрушить довольно большой сервер.

Официальный сайт компании Spamhaus

Антиспам-фильтры перестали работать по всей Европе. Так продолжалось более недели, и Spamhaus даже была вынуждена обратиться за помощью в Google . Обвинили в инциденте в итоге хакеров из России и стран Восточной Европы.

В 2013 году основатель CyberBunker был арестован в Испании по подозрению в причастности к атаке. Позднее его выпустили, решение суда пока не оглашено.

Хакеры против изменщиков

Иногда хакеры могут не просто украсть ваши деньги или аккаунт от какого-нибудь World of Warcraft . Но и разрушить семью.

Именно это случилось со многими пользователями сомнительного сайта Ashley Madison . Его целевая аудитория — женатые мужчины и замужние женщины, ищущие интрижку на стороне. Интернет-ресурс для тех, кто собрался изменить.

Долгое время худшим, что случалось с Ashley Madison , было общественное порицание. Однако в июле 2015 года группа хакеров The Impact Team заявила, что им удалось получить доступ к базе данных всех клиентов сервиса, то есть имена, почтовые адреса, номера кредиток, истории платежей… Взломщики выдвинули одно простое требование: Ashley Madison должен немедленно прекратить свое существование — или вся информация будет выложена в публичный доступ.

Официальный сайт компании Ashley Madison

ashleymadison.com

Спустя пять дней представители сервиса сообщили, что лазейка в безопасности была ликвидирована, а к делу о взломе подключены силовые структуры США. Закрывать сайт они не планировали, поставив на то, что хакеры блефуют. Напрасно — не дождавшись выполнения требований, The Impact Team безжалостно выложили в сеть все то, что так старательно скрывали посетители ресурса. Была даже составлена удобная база данных, где любой человек мог вбить интересующее его имя и посмотреть, есть ли оно в базе. Можно было узнать, изменяет ли тебе муж и жена, «проверить на вшивость» лучшего друга или начальника.

Последствия были катастрофическими: 24 августа полиция Торонто сообщила о двух случаях самоубийства, связанных со взломом Ashley Madison . Рушились семьи, разбивались браки, а мир до сих пор спорит, кто во всем этом виноват.

Биткойнов на полмиллиарда

Биткойны — это криптовалюта, которую многие экономисты называют валютой будущего. При транзакциях биткойнов не нужны посредники, ваши сбережения не могут сгореть, их нельзя заморозить и почти невозможно отследить.

Сейчас биткойны можно запросто поменять на те же доллары, поэтому неудивительно, что хакерам эта тема ой как интересна.

7 февраля 2014 года крупнейший в мире сервис по обмену биткойнов Mt.Gox обнаружил уязвимость в системе и сообщил, что в течение трех-четырех лет хакеры украли у пользователей биткойнов общей суммой на полмиллиарда долларов. Поскольку все похищенные средства переводили на один и тот же аккаунт, есть большая вероятность, что злоумышленник действовал в одиночку.

Конец у истории печальный: Mt.Gox понесла значительные финансовые и репутационные убытки и обанкротилась. Хакера не нашли, и, учитывая характер биткойнов как валюты и его состояние в полмиллиарда долларов, вряд ли когда-нибудь найдут.​

Yahoo

Последствия этого взлома не слишком серьезные, однако упомянуть о нем стоит по нескольким причинам. Во-первых, атакована была Yahoo , одна из крупнейших IT-компаний. Во-вторых, масштабы украденных данных поражают.

В 2014 году с серверов Yahoo утекло более полумиллиарда (а по некоторым оценкам — миллиард) данных об аккаунтах с сервисов компании. Детали взлома были опубликованы только спустя два года, в 2016-м. Так что если вы зарегистрированы на Yahoo и, скажем, имеете на нем электронную почту и слышите об этой истории впервые, время сменить пароль.

Официальный сайт компании Yahoo

Хотя, по словам сотрудников Yahoo , в руки хакеров в худшем случае попали лишь реальные имена, телефоны и даты рождения пользователей, но не номера кредиток. Кроме того, пароли на серверах компании хранятся в зашифрованном виде. Но кто знает наверняка?