Жертвой кибератаки может стать кто угодно: злоумышленники взламывают устройства отдельных людей, компаний и даже сайты правительств. Урон от таких нападений часто бывает не только финансовым, но и репутационным. А крупные взломы неизбежно привлекают к себе много внимания.
10. DarkHotel. Подмоченная репутация дорогих отелей, 2007–2014 годы
- Цель: шантажировать известных политиков и богатых бизнесменов.
- Способ: внедрение программы-шпиона в открытые Wi-Fi-сети.
- Виновники: неизвестны.
- Ущерб: точно неизвестен, скорее всего, много личных средств жертв.
Вредоносную программу‑шпиона, также известную как Tapaoux, злоумышленники распространяли«Тёмный отель»: кибершпионская сеть в азиатских гостиницах / Kaspersky Daily с помощью открытых Wi‑Fi-сетей в ряде отелей премиум‑класса. Такие сети очень плохо защищены, из‑за чего хакерам легко удавалось устанавливать на сервера гостиниц своё ПО.
На подключавшиеся к Wi‑Fi компьютеры предлагалось установить официальное на первый взгляд обновление какой‑нибудь программы. Например, Adobe Flash или Google Toolbar. Так обычно маскировался вирус.
Хакеры применяли и индивидуальный подход: однажды DarkHotel прикинулся торрент‑файлом для скачивания японского эротического комикса.
После попадания на устройство вирусная программа предлагала ввести личные данные, например номер карты, при «обновлении», а также умела считывать нажатия клавиш при наборе текста. В результате злоумышленники получали доступ к логинам и паролям пользователя, а также его учётным записям.
Хакеры специально подселяли вирус в сети отелей перед приездом высокопоставленных гостей, чтобы получить доступ к их устройствам. При этом злоумышленники точно знали, где будет жить жертва, и настраивали программу так, чтобы она заражала только нужное им устройство. После операции все данные с серверов удалялись.
Целями DarkHotel становились топ‑менеджеры крупных компаний, успешные предприниматели, высокопоставленные политики и чиновники. В основном взломы совершались‘Dark Hotel’ Hacks Target Business Travelers: Report / NBC News в Японии, Китае, России и Корее. Получив конфиденциальную информацию, хакеры, судя по всему, шантажировали своих жертв, угрожая распространить секретные данные. Также краденые сведения использовались для поиска новых мишеней и организации следующих атак.
Кто стоял за этими киберпреступлениями, неизвестно до сих пор.
9. Mirai. Восстание умных устройств, 2016 год
- Цель: обвалить сайт провайдера доменных имён Dyn.
- Способ: DDoS-атака устройств, заражённых ботнетами.
- Виновники: хакеры из New World Hackers и RedCult.
- Ущерб: больше 110 миллионов долларов.
Вместе с бумом различных устройств, подключаемых к интернету, — роутеров, «умных домов», онлайн‑касс, систем видеонаблюдения или игровых приставок — появились и новые возможности для киберпреступников. Подобные девайсы обычно слабо защищены, поэтому их легко заразить ботнету. С его помощью хакеры создают Что такое кибератака? / Cisco сети из взломанных компьютеров и других устройств, которые затем контролируют без ведома их владельцев.
В результате заражённые ботнетами девайсы могут распространять вирус и атаковать определённые хакерами цели. Например, завалить обращениями сервер так, что тот перестанет успевать обрабатывать запросы и связь с ним пропадёт. Это называется DDoS‑атакой.
Особенно широко прославился ботнет со звучным названием Mirai («будущее» с японского). В течение нескольких лет он заразил сотни тысяч подключённых к сети роутеров, камер наблюдения, ТВ‑приставок и другой техники, пользователи которых не удосужились сменить заводские пароли.
Вирус проникал в устройства через простой подбор ключа.
И вот в октябре 2016 года вся эта армада получилаK. Kochetkova. Что случилось с Twitter, PayPal, Amazon и другими американскими сервисами / Kaspersky Daily сигнал завалить обращениями провайдера доменных имён Dyn. Это привело к тому, что упали PayPal, Twitter, Netflix, Spotify, онлайн‑сервисы PlayStation, SoundCloud, The New York Times, CNN и около 80 других компаний‑пользователей Dyn.
Ответственность за нападение взяли на себя хакерские группировки New World Hackers и RedCult. Никаких требований они не выдвигали, однако общий ущерб от простоя онлайн‑сервисов составил около 110 миллионов долларов.
От Mirai удалось отбиться с помощью перераспределения трафика и перезапуска отдельных компонентов системы Dyn. Однако произошедшее заставляет задуматься о безопасности умных устройств, которые могут составлять почти половину мощностей всех ботнетов.
8. Скандальные утечки личных данных знаменитостей из iCloud и Twitter, 2014 и 2020 годы
- Цель: посмотреть, что фоткают знаменитости. И попутно заработать.
- Способ: предложение заполнить анкету на подставном сайте.
- Виновники: обычные ребята из США и Великобритании.
- Ущерб: репутационный, в придачу — больше 110 тысяч долларов.
iCloud
Завладеть личными данными пользователей киберпреступники могут с помощью рассылки мошеннических сообщений. Например, СМС, маскирующихся под предупреждения от службы безопасности. Пользователю пишут, что в его профиль якобы пытаются проникнуть. Фальшивая техподдержка предлагает пройти по ссылке, которая на самом деле ведёт на сайт злоумышленников, и заполнить там анкету с именем пользователя и паролем, чтобы защитить персональные данные. Завладев сведениями доверчивого человека, мошенники получают доступ к аккаунту.
В 2014 году таким способом хакерам удалосьC. Arthur. Naked celebrity hack: security experts focus on iCloud backup theory / The Guardian взломать iCloud ряда знаменитостей и выложить их личные данные в свободный доступ. Слив был не столько обширным, сколько громким. В интернет, например, попали личные фотографии знаменитостей, в том числе и весьма пикантные снимки. Всего украли около 500 изображений. Причём возможно, что не все из них были опубликованы.
От взлома пострадали Ким Кардашьян, Аврил Лавин, Кейт Аптон, Эмбер Хёрд, Дженнифер Лоуренс, Кирстен Данст, Рианна, Скарлетт Йоханссон, Вайнона Райдер и другие.
В течение четырёх лет после взлома были найденыFormer Hanover teacher sentenced in ‘Celebgate’ nude photo hacking / WTVR и арестованы пятеро причастных к нему хакеров из США. Четверо получили от восьми до 34 месяцев тюрьмы, а одному удалось отделаться штрафом в 5 700 долларов.
В июле 2020 года под раздачу попалиТред службы поддержки Twitter о взломе / Twitter известные пользователи Twitter. Одному из взломщиков убедил сотрудника соцсети, что работает в IT‑отделе. Так хакеры получили доступ к нужным аккаунтам. А затем разместили там посты с призывом поддержать Bitcoin и отправить деньги на указанный криптокошелёк. Оттуда средства якобы должны были вернуться в двойном размере.
Жертвами снова стали различные известные личности: Билл Гейтс, Илон Маск, Джефф Безос, Барак Обама и другие американские селебрити.
Также атаке подверглись некоторые корпоративные аккаунты — например, компаний Apple и Uber. Всего пострадало около 50 профилей.
Соцсети пришлось временно заблокировать взломанные аккаунты и удалить мошеннические посты. Однако злоумышленникам удалось поднять хороший куш на этой афере. Всего за несколько часов около 300 пользователей отправилиE. Birnbaum, I. Lapowsky, T. Krazit. Hackers took over Twitter after ‘a coordinated social engineering attack’ on employees / protocol хакерам более 110 тысяч долларов.
Взломщиками оказалисьStatement from FB*I San Francisco Assistant Special Agent in Charge Sanjay Virmani on Arrests in Twitter Cyber Attack / FB*I San Francisco три парня и одна девушка в возрасте от 17 до 22 лет из США и Великобритании. Замаскироваться под сотрудника Twitter удалось самому младшему из них — Грэму Кларку. Сейчас молодые люди ждут суда.
7. Взлом НАСА и Министерства обороны США 15‑летним подростком, 1999
- Цель: узнать, что будет, если взломать НАСА.
- Способ: установка программы-шпиона на правительственный сервер.
- Виновник: 15-летний хакер-любитель.
- Ущерб: 1,7 миллиона долларов и три недели работы учёных.
Джонатан Джеймс, подросток из Майами, увлекался космосом и как свои пять пальцев знал операционную систему Unix и язык программирования C. Ради забавы мальчик искал уязвимости в ресурсах Министерства обороны США и нашёлK. Poulsen. Former Teen Hacker’s Suicide Linked to TJX Probe / WIRED их.
Подростку удалось установить на сервер одного из подразделений программу‑шпион для перехвата служебной переписки. Это дало свободный доступ к паролям и личным данным сотрудников различных ведомств.
Также у Джонатана получилось похитить код, используемый НАСА для поддержания системы жизнеобеспечения на МКС. Из‑за этого работы по проекту задержались на три недели. Стоимость похищенного ПО оценили в 1,7 миллиона долларов.
В 2000 году мальчик был пойман и осуждён на шесть месяцев домашнего ареста. Спустя девять лет Джонатана Джеймса заподозрили в участии в хакерской атаке на компании TJX, DSW и OfficeMax. После допросов он застрелился, сообщив в предсмертной записке, что невиновен, но не верит в правосудие.
6. BlueLeaks. Крупнейшая кража данных силовых структур США, 2020 год
- Цель: опозорить правительство США.
- Способ: взлом сторонней компании-поставщика услуг.
- Виновники: хакеры из Anonymous.
- Ущерб: слив конфиденциальных данных и скандал в американских правоохранительных органах.
Американские спецслужбы и сами оказались уязвимы перед хакерскими кибератаками. Причём преступники продемонстрировали, что тоже могут применять хитрые схемы. Так, злоумышленники проникли не в правительственные системы, а взломали компанию по веб‑разработке Netsential, которая предоставляла федеральным и местным агентствам технические возможности для обмена информацией.
В итоге хакерам из группировки Anonymous удалосьA. Greenberg. Hack Brief: Anonymous Stole and Leaked a Megatrove of Police Documents / WIRED украсть более миллиона файлов американских правоохранителей и спецслужб: всего 269 гигабайт информации. Взломщики опубликовали эти данные на сайте DDoSecrets. В открытый доступ попали видео- и аудиоролики, электронные письма, служебные записки, финансовая отчётность, а также планы и разведывательные документы.
Хотя секретной информации или данных о нарушении закона самими правоохранителями там не оказалось, многие сведения были довольно скандальными. Например, стало известно, что спецслужбы вели слежку за активистами Black Lives Matter. Слитые файлы энтузиасты начали разбирать и затем публиковать под хештегом #blueleaks.
Несмотря на предварительную проверку, выполненную DDoSecrets, среди слитых файлов попадались и конфиденциальные данные. Например, информация о подозреваемых, жертвах преступлений и номера банковских счетов.
По требованию США сервер DDoSecrets с данными BlueLeaks в Германии был заблокирован. В отношении Anonymous возбудили уголовное дело, но конкретных подозреваемых или обвиняемых пока нет.
5. GhostNet. Китай против Google, правозащитников и далай‑ламы, 2007–2009
- Цель: следить за диссидентами и правительствами азиатских стран.
- Способ: распространение программы-шпиона с помощью сервера Google.
- Виновники: спецслужбы Китая.
- Ущерб: кража конфиденциальной информации политиков и компаний; сопутствующий — уход Google из Китая.
Кибератаками и кибершпионажем занимаются не только хакерские группировки, но и целые государства. Так, всю мощь взломщиков, стоящих на службе Китая, почувствовал на себе Google.
В 2009 году компания обнаружила, что с помощью её сервера на территории Китая в течение двух лет распространялась программа‑шпион. Она внедриласьJ. Markoff. Vast Spy System Loots Computers in 103 Countries / The New York Times по меньшей мере в 1 295 компьютеров государственных организаций и частных компаний в 103 странах.
Пострадали самые разные ресурсы: от министерств иностранных дел и НАТО до приютов далай‑ламы. Также «сеть‑призрак» (GhostNet) нанесла урон более чем 200 американским фирмам.
С помощью вируса Китай следил за правительствами Южной и Юго‑Восточной Азии, а также китайскими диссидентами и правозащитниками. Программа, к примеру, могла активировать камеры и микрофоны компьютера, чтобы подслушивать, о чём говорят рядом. Также с её помощью китайские хакеры похитили исходный код серверов отдельных компаний. Скорее всего, он был нужен для создания собственных подобных ресурсов.
Обнаружение GhostNet сыграло большую роль в том, что Google закрыл свой бизнес в Китае, не продержавшись в Поднебесной и пяти лет.
4. Stuxnet. Израиль и США против Ирана, 2009–2010 год
- Цель: замедлить иранскую ядерную программу.
- Способ: внедрение сетевого червя на сервера иранских компаний.
- Виновники: спецслужбы Израиля и США.
- Ущерб: 20% иранских центрифуг для обогащения урана вышли из строя.
Обычно для кибератак необходимо, чтобы жертва была подключена к интернету. Но, чтобы распространить вредоносное ПО даже среди тех компьютеров, что не имеют выхода в Сеть, злоумышленники могут заражать USB‑флешки.
Подобную технику весьма эффективно использовали спецслужбы США и Израиля, которые хотели замедлить иранскую программу по созданию ядерного оружия. Однако объекты атомной промышленности страны были изолированы от Всемирной сети, что требовало оригинального подхода.
Подготовка операции была беспрецедентной. Хакеры разработали сложный комплексный вирус Stuxnet, который действовал с конкретной целью. Он атаковал только программное обеспечение Siemens для промышленного оборудования. После этого вирус испыталиW. J. Broad, J. Markoff, D. E. Sanger. Israeli Test on Worm Called Crucial in Iran Nuclear Delay / The New York Times на похожей технике в израильском закрытом городе Димона.
Первые пять жертв (иранские компании, работающие в атомной отрасли) былиStuxnet: начало / Kaspersky Daily тщательно отобраны. Через их серверы американцам удалось распространить Stuxnet, который ничего не подозревающие ядерщики сами занесли на секретное оборудование через флешки.
Взлом приводил к тому, что центрифуги, с помощью которых иранские атомщики обогащали уран, начинали вращаться слишком быстро и выходили из строя. При этом вредоносная программа умела имитировать показания нормальной работы, чтобы специалисты не заметили сбоев. Таким образом из строя было выведено около тысячи установок — пятая часть таких устройств в стране, а развитие ядерной программы Ирана заторможено и отброшено на несколько лет назад. Поэтому история со Stuxnet считается самой масштабной и успешной кибердиверсией.
Вирус не только выполнил задачу, для которой был создан, но и распространился среди сотен тысяч компьютеров, хотя и не нанёс им особого вреда. Установить реальное происхождение Stuxnet удалось только два года спустя после изучения 2 000 заражённых файлов.
3. Атака на серверы Демократической партии США, 2016 год
- Цель: устроить скандал и заодно испортить репутацию Хиллари Клинтон.
- Способ: установка программы-шпиона на сервера Демократической партии.
- Виновники: неизвестны, но власти США подозревают российских хакеров.
- Ущерб: поражение Клинтон на президентских выборах.
Из‑за противостояния Хиллари Клинтон и Дональда Трампа выборы президента США в 2016 году были скандальными с самого начала. Их кульминацией стала кибератака на ресурсы Демократической партии, одной из двух главных политических сил страны.
Хакеры смогли установить на серверы демократов программу, с помощью которой можно было управлять информацией и шпионить за пользователями. После похищения данных злоумышленники скрыли за собой все следы.
Полученную информацию, а это 30 тысяч электронных писем, хакеры передалиHillary Clinton Email / WikiLeaks WikiLeaks. Ключевыми в сливе стали семь с половиной тысяч писем Хиллари Клинтон. В них обнаружились не только персональные данные членов партии и сведения о спонсорах, но и секретные документы. Оказалось, что Клинтон, кандидат в президенты и высокопоставленный политик со стажем, отправляла и получала конфиденциальную информацию через личный почтовый ящик.
В итоге Клинтон была дискредитирована и проиграла выборы Трампу.
Кто стоял за атакой, доподлинно неизвестно до сих пор, но американские политики упорно обвиняют в этом российских хакеров из группировок Cozy Bear и Fancy Bear. Они, по мнению американского истеблишмента, и раньше участвовали во взломах ресурсов зарубежных политиков.
2. WannaCry. Эпидемия шифровки данных, 2017 год
- Цель: вымогать деньги у случайных людей и компаний.
- Способ: шифровка файлов пользователей Windows.
- Виновники: хакеры из Lazarus Group.
- Ущерб: больше четырёх миллиардов долларов.
Один из самых неприятных видов вредоносных программ — шифровальщики данных. Они заражают компьютер и кодируют на нём файлы, меняя их тип и делая нечитабельными. После этого подобные вирусы выводят на рабочий стол баннер с требованием заплатить выкуп за разблокировку устройства, обычно в криптовалюте.
В 2017 году интернет захлестнула настоящая эпидемия wcry‑файлов. Отсюда и пошло название шифровальщика — WannaCry. Для заражения вирус использовал уязвимость Windows на устройствах с ещё не обновившейся операционной системой. Затем заражённые девайсы сами становились рассадниками вируса и распространяли его в Сети.
Впервые обнаруженный в Испании WannaCry за четыре дня заразилA. Hern. WannaCry, Petya, NotPetya: how ransomware hit the big time in 2017 / The Guardian 200 тысяч компьютеров в 150 странах. Программа также атаковала банкоматы, автоматы для продажи билетов, напитков и еды или информационные табло, работающие на Windows и подключённые к Сети. Ещё от вируса пострадало оборудование в некоторых больницах и заводах.
Есть мнение, что создатели WannaCry изначально собирались поразить все устройства на Windows в мире, но не успели дописать код, случайно выпустив вирус в Сеть.
После заражения создатели вредоносной программы требовали с владельца устройства сначала по 300 долларов, а позднее, когда разыгрался аппетит, — по 600. Пользователей также пугали «постановкой на счётчик»: якобы через три дня сумма увеличится, а через семь — файлы будет невозможно расшифровать. На самом деле вернуть данные в первоначальное состояние в любом случае было нельзя.
Победил WannaCry исследователь Маркус Хатчинс. Он заметил, что перед заражением программа отправляла запрос на несуществующий домен. После его регистрации распространение вируса прекратилось. Судя по всему, так создатели предполагали остановить шифровальщик, если тот выйдет из‑под контроля.
Атака оказалась одной из самых масштабных в истории. По некоторым данным, она нанеслаRansomware WannaCry: All You Need to Know / Kaspersky ущерба на четыре миллиарда долларов. Создание WannaCry связывают с хакерской группой Lazarus Group. Но конкретные виновники атаки не найдены.
1. NotPetya/ExPetr. Самый большой урон от действий хакеров, 2016–2017 год
- Цель: шантажировать бизнесы по всему миру.
- Способ: шифровка файлов пользователей Windows.
- Виновники: неизвестны, но власти США подозревают российских хакеров.
- Ущерб: больше 10 миллиардов долларов.
Родственник WannaCry — другой шифровальщик, известный под подозрительно русскими названиями: Petya, Petya.A, Petya.D, Trojan.Ransom.Petya, PetrWrap, NotPetya, ExPetr. Он тоже распространялся через Сеть и шифровал данные пользователей Windows, а уплата выкупа в 300 долларов в криптовалюте никак не спасала файлы.
«Петя», в отличие от WannaCry, был специально нацелен на бизнесы, поэтому и последствия атаки оказались гораздо большими, хотя заражённых устройств было меньше. Злоумышленникам удалось захватить контроль над сервером финансового программного обеспечения MeDoc. Оттуда они начали распространять вирус под видом обновления. Массовое заражение, судя по всему, пошло с Украины, которой вредоносная программа нанесла наибольший урон.
В итоге от вируса пострадали самые разные компании по всему миру. Например, в Австралии всталоPetya cyber‑attack: Cadbury factory hit as ransomware spreads to Australian businesses / The Guardian производство шоколада, на Украине вышлиА. Линник. Что же ты наделал, Petya / Газета.ru из строя кассовые аппараты, а в России была нарушенаТуроператор «Анекс» остановил продажи из‑за кибератаки / Фонтанка.ру работа туроператора. Убытки понесли и некоторые крупные компании, например «Роснефть», Maersk и Mondelez. Атака могла иметь и более опасные последствия. Так, ExPetr ударилИз‑за кибератак мониторинг Чернобыльской АЭС перевели в ручной режим / РИА Новости даже по инфраструктуре мониторинга за ситуацией в Чернобыле.
Общий ущерб от взлома составилWhat can we learn from the «most devastating» cyberattack in history? / CBC News более 10 миллиардов долларов. Больше, чем от любой другой кибератаки. Власти США обвинилиSix Russian GRU Officers Charged in Connection with Worldwide Deployment of Destructive Malware and Other Disruptive Actions in Cyberspace / The United States Department of Justice в создании «Пети» группировку Sandworm, которая также известна как Telebots, Voodoo Bear, Iron Viking и BlackEnergy. По мнению американских законников, она состоит из российских разведчиков.
Читать в источнике: 10 самых громких кибератак в истории – Лайфхакер (lifehacker.ru)