Якби ви отримали електронного листа – здавалося б, від боса із запитанням, як минула відпустка, – чи ви би його відкрили? Швидше за все, так – і хакери про це знають.
Одна група зловмисників з допомогою цього простого методу вивідала секрети і завдала значної шкоди кільком великим світовим корпораціям.
Що це за люди і чого вони прагнуть?
Проаналізувавши хакерські атаки високого рівня за кілька останніх років, експерти з питань інформаційної безпеки виявили, що до багатьох із них причетна одна і та сама група.
Comment Group (Коментатори) – це китайські хакери-найманці, які працюють на замовлення індивідів, корпорацій чи урядів.
Свою назву вони отримали завдяки своєму колишньому фірмовому методу: залишати посилання на шкідливі програми у розділах коментарів популярних сайтів.
Та це вже в минулому. Нині Comment Group славиться як віртуоз іншої хакерської методики – збирання даних.
"Вони знаходять найслабшу ланку у фірмі, – пояснює Джеймі Бласко, працівник компанії Alienvault, що займається захистом інформації. – І збирають інформацію про цю фірму. Дані вивуджують з працівників, з інтернету, з внутрішніх мереж, з Google – одне слово, звідусіль".
Ядерна атака
Цей підхід зарекомендував себе як надзвичайно ефективний.
Вважається, що Comment Group причетна до величезної кількості атак: від зламу поштових скриньок високих чиновників у ЄС до спроби проникнути у комп’ютери атомної електростанції, що, за даними Bloomberg, майже вдалася.
У документах, опублікованих Wikileaks, американський уряд називає Comment Group однією з найсерйозніших хакерських загроз, що походять з Китаю.
Зокрема, в одній із дипломатичних депеш згадується про атаку на американських чиновників, які обговорювали у Копенгагені проблему кліматичних змін.
Її було здійснено через електронну пошту: посадовці отримали "повідомлення, замасковане під листа від відомого журналіста-міжнародника з National Journal. В темі листа було вказано Китай і кліматичні зміни, а зміст відповідав сфері професійних інтересів отримувачів", – йдеться в депеші.
Безалкогольні напої і Вень Цзябао
Ще один приклад, який демонструє стиль групи, – атака на Coca-Cola. Наприкінці минулого року компанія припускала, що її комп’ютери було зламано.
І не просто зламано – мова йде про втручання, яке, можливо, зірвало угоду на суму 2,4 млрд. доларів.
Американський гігант хотів поглинути компанію China Huiyuan Juice Group – найбільшого китайського виробника безалкогольних напоїв, але хакери – як вважається, з Comment Group – викрили плани Coca-Cola.
Яким чином? Один із управлінців компанії, віце-президент Тихоокеанської групи Пол Етчеллс, відкрив е-мейл від генерального директора. Принаймні, йому здавалося, що це лист від шефа.
У листі було посилання, клікнувши на яке, Етчеллс завантажив на свій комп’ютер зловмисницьку програму. З її допомогою хакери протягом місяця шпигували за діяльністю Coca-Cola.
А китайський уряд незабаром заблокував угоду про поглинання, пославшись на антимонопольні міркування.
"Мішенню Comment Group ставали багато фірм, які американські компанії хотіли поглинути або вже поглинали в Китаї, – каже Бласко. – Я бачив це у десятках різних галузей. Хакери намагаються отримати доступ до фінансової інформації, причому заражають машини не тільки компанії, а й за третіх сторін, наприклад адвокатів, які допомагають компанії".
Цією третьою стороною може опинитися кожен, хто має будь-який зв’язок із компанією, хай навіть віддалений.
Багато ознак, характерних для Comment Group, мала і нещодавня атака на комп’ютери New York Times.
Видання зазначило, що напад стався саме тоді, коли журналісти працювали над великим матеріалом, присвяченим колишньому китайському прем’єру Вень Цзябао.
Організована структура
За описами експертів, структура Comment Group мало чим відрізняється від структури будь-якої фірми, де різні групи працівників виконують різні завдання.
От тільки йдеться не про бухгалтерію чи відділ продажів: Comment Group поділена на підрозділи таким чином, щоб максимально ефективно красти інформацію, каже Бласко.
"Одна частина команди розробляє експлойти – шкідливі програми, інша працює над тим, щоб отримати доступ до систем жертв. Далі йдуть оператори. Вони не дуже обізнані у комп'ютерах і лише оперують шкідливим ПЗ – збирають інформацію на машинах жертв і зберігають її".
Але що робить Comment Group по-справжньому видатною, то це її аналітичний відділ.
"Вони шукають будь-які уривки інформації, котрі дозволять їм проникнути в мережу потрібної організації, – пояснює Девід Емм, старший дослідник Лабораторії Касперського. – Це автоматично ставить під удар усіх публічних осіб цієї організації, бо вони генерують більше таких інформаційних уривків".
Емм каже, що головна складність в роботі хакерів – зробити повідомлення-приманку якомога більш схожим на справжнє, використовуючи реальні деталі з життя жертви.
Кожен, навіть недосвідчений користувач електронною поштою знає, що від явного спаму треба триматись подалі. Лист від стандартного "нігерійського принца" нікого вже не введе в оману.
"Всі ми стикались зі спамом, – каже Емм. – Він нас дратує, і тому ми одразу його видаляємо. Але якщо лист надійде від когось зі знайомих, ми, швидше за все, поставимося до нього серйозно. Уявіть: Джон з відділу техпідтримки написав, що проводить вибіркову перевірку, – очевидно, що на такий мейл ви зреагуєте, на відміну від звичайного спаму".
"Полювання біля водопою"
Емм розповів BBC і про інший метод, який часто використовують хакери, і з яким дуже важко боротися.
"Він відомий як "полювання біля водопою", – каже експерт. – Суть його у тому, щоб здогадатися, які сайти часто відвідують працівники компанії-жертви. Далі на цих сторінках ховають шкідливі програми, і коли співробітник туди заходить – програма зловмисників завантажується в систему організації".
Підчепити хакерську програму можна будь-де: від сайту школи, в яку ви ходили, до сторінки з результатами любительських турнірів, у яких бере участь футбольна команда вашої корпорації.
"Якщо хакер знає про існування цієї команди, то легко довідається, у якій місцевій лізі вона виступає, і може заразити сайт цієї ліги", – каже Давід Емм.
Опиратися таким продуманим стратегіям вкрай нелегко.
Емм вірить, що компаніям слід закликати працівників бути уважними.
"Одна із проблем – це те, що організації ставляться до інформаційної безпеки не дуже серйозно, – каже він. – Співробітників треба навчати так, як дітей навчають правильно переходити вулицю. Ви ж не просто вбиваєте дітям у голову одну-єдину схему, а намагаєтесь прищепити загальне уявлення про безпеку, щоб вони розуміли, що дороги і переходи бувають різні, вміли орієнтуватися залежно від ситуації, і знали, чого їм остерігатися. З комп’ютерною безпекою – точно те саме".
Джерело: ВВС Україна