NYT получила доступ к программе, через которую работают хакеры. У нее оказался русский интерфейс
Связанная с Россией хакерская группировка DarkSide, которую ФБР считает причастной к кибератаке на американский трубопровод, ежемесячно зарабатывает на вымогательстве миллионы долларов. Об этом говорится в материале The New York Times. Журналистам удалось получить доступ к системе управления, которую используют хакеры-партнеры DarkSide для организации атак. Она доступна в том числе на русском языке.
Как писала The Wall Street Journal, хакеры, проводившие атаку на оператора американского трубопровода Colonial Pipeline, использовали программы-вымогатели, которые блокируют системы и требуют от жертв плату за разблокировку.
The New York Times отмечает, что разработанная DarkSide программа-вымогатель предлагается клиентам по модели "программа как услуга". Разработчик вредоносного ПО берет плату с заказчика, который "может не иметь технических навыков для создания программы-вымогателя, но все же способен взломать компьютер жертвы".
Услуги DarkSide включают в себя оказание технической поддержки хакерам, ведение переговоров с жертвами атак, обработку платежей и разработку специализированных кампаний давления с помощью шантажа и других средств, таких как повторные взломы. За эти услуги хакерская группировка получает определенную комиссию: от 25%, если сумма, полученная от жертвы, составляет менее 500 тысяч долларов, и до 10% - если выше 5 миллионов долларов. Это следует из данных компании FireEye, специализирующейся на компьютерной безопасности.
Журналисты получили доступ к системе управления, которую хакеры-партнеры DarkSide используют для организации атак. Данные для входа The New York Times предоставил один из клиентов DarkSide.
Газета приводит скриншот с правилами "партнерской программы" DarkSide на русском языке. Там говорится, что группировка в работе с партнерами "использует качественный, а не количественный подход" и "очень дорожит своей репутацией". Ресурсы DarkSide, согласно этим правилам, запрещено использовать против медицинских и образовательных организаций, государственного сектора, сферы похоронных услуг и благотворительных организаций. Кроме того, "запрещено работать по странам СНГ".
Панель управления DarkSide все еще работала 20 мая, когда доступ к ней получит корреспондент газеты. При этом за несколько дней до этого группировка объявила о закрытии. Сотрудник службы поддержки клиентов почти сразу ответил на запрос корреспондента в чате, но когда он представился журналистом, аккаунт сразу же заблокировали.
Одной из жертв DarkSide стало небольшое американское издательство, которое в основном работает с начальными школами. От него потребовали выкуп в размере 1,75 миллиона долларов. The New York Times удалось узнать подробности атаки. Первое, что видит жертва на экране, это сообщение на английском: "Добро пожаловать в DarkSide". После чего появляется информация, что компьютеры и серверы атакованного зашифрованы, а все резервные копии удалены.
Программное обеспечение DarkSide не только блокирует компьютеры жертв, но и крадет конфиденциальные данные, позволяя хакерам требовать оплаты не только за разблокировку, но и за отказ от раскрытия персональной информации. Журналисты получили доступ к архиву чата, в котором беседовали сотрудник службы поддержки DarkSide и хакер Уорис, проводивший атаку на издательство. Сотрудник в переписке хвастался, что участвовал в более чем 300 атаках с требованием выкупа. Вместе они разработали план по оказанию давления на издательство, которое представляет собой семейный бизнес с более чем 100-летней историей.
Переговоры о выплате между издательством и хакерской группировкой длились 22 дня и велись по электронной почте с хакерами, которые "говорили на искаженном английском", утверждает представитель компании. В марте переговоры провалились из-за отказа издательства выплатить 1,75 миллиона долларов. В ответ DarkSide угрожала утечкой новости об атаке в СМИ.
"Игнорирование - очень плохая стратегия для вас. У вас не так много времени. Через два дня мы разошлем новость по всем крупным СМИ. И все увидят катастрофическую утечку данных", - написал представитель DarkSide в письме.
После атаки на Colonial Pipeline Джо Байден заявил, что США имеют основания полагать, что стоящие за кибератакой хакеры живут в России. При этом он отметил, что российские власти вряд ли были причастны к атаке, но несут "определенную ответственность". На следующий день после того, как в СМИ появилась информация об атаке на трубопровод, участники хакерской группировки надеялись на пожертвования от своих партнеров, разместив соответствующее сообщение, отмечает The New York Times. Вскоре на форуме хакеров появилось сообщении о том, что они не закрывают, но продают свою инфраструктуру, чтобы другие хакеры могли "продолжить прибыльный бизнес через программы-вымогатели.
"Атака DakrSide на оператора трубопровода не просто вывело банду на международную арену. Это также привлекло внимание к быстро развивающейся криминальной индустрии, базирующийся в основном в России, которая превратилась из специальности, требующей очень сложных навыков взлома, в конвейерный процесс. Теперь даже мелкие преступные синдикаты и хакеры с посредственными компьютерными возможностями могут представлять потенциальную угрозу национальной безопасности", - пишет The New York Times.
Colonial Pipeline - оператор трубопровода протяженностью более 8800 километров. Через него поставляется 45% бензина и дизельного топлива на Восточное побережье США. 7 мая компания заявила, что подверглась кибератаке, в результате которой была вынуждена приостановить подачу топлива. Хакеры потребовали от нее плату за разблокировку компьютерных систем. Bloomberg писал, что компания выплатила хакерам около пяти миллионов долларов, чтобы восстановить доступ к взломанным системам. Остановка трубопровода привела к перебоям в поставках бензина на восточном побережье США.
ФБР обвинила в кибератаке хакерскую группировку DarkSide, которая вероятно базируют, по данным американских СМИ, в России. Хакеры отвергли свою связь с властями какого-либо государства, а также намекнула, что не участвовала в атаке непосредственно сама.
