Взлом NASA и Пентагона 15‐летним подростком
В 1999 году произошел беспрецедентный случай — несовершеннолетний подросток взломал компьютеры NASA и Пентагона и попал в тюрьму. Юного хакера звали Джонатан Джеймс, в сети он был известен под псевдонимом c0mrade, а на момент взлома парню было всего 15 лет.
Со слов следствия, в июле 1999 года Джонатан взломал 13 компьютеров «Marshall Space Flight Center» (Центра управления полетами имени Джорджа Маршалла) и скачал принадлежащие NASA программы. Речь идет о программном обеспечении, которое поддерживает системы жизнеобеспечения международной космической станции «Альфа». Стоимость программ составляла примерно $1,7 млн. Позже представители NASA прокомментировали, что восстановление заняло около трех недель, а в денежном эквиваленте ущерб составил $41 тыс.
В августе и сентябре того же года Джонатан Джеймс взломал компьютерную сеть «Defense Threat Reduction Agency» (Агентства по сокращению военной угрозы), отслеживающую возможное применение ядерного, химического и других видов оружия. c0mrade также обвинили в краже паролей для входа в систему и перехвате 3300 электронных писем из компьютеров Пентагона.
Расследование закончилось 26 января 2000 года. В этот день молодой хакер был арестован. В суде подростка приговорили к шести месяцам домашнего ареста и запрету на пользование компьютером в развлекательных целях. Но в итоге Джонатан нарушил правила домашнего ареста, и отправился в тюрьму на 6 месяцев. Так Джонатан Джеймс стал первым в США подростком, который отправился отбывать реальный срок за компьютерное преступление.
Кибероружие Stuxnet
Stuxnet окрестили первым в мире кибероружием, потому что результаты его заражения могли наносить ущерб не только цифровой информации, но и оказывать вполне реальные физические разрушения машинам и установкам.
Как работает вирус Stuxnet? Через USB-накопитель он попадает в систему и заражает устройства с операционной системой Microsoft Windows. Stuxnet использует цифровые подписи, которые имитируют надежность и позволяют оставаться незамеченным для антивирусов. Первым делом вирус проверяет, является ли зараженное устройство частью АСУ ТП (автоматизированной системой управления технологическим процессом) Simatic, разработанной компанией Siemens. Если цель найдена, Stuxnet пытается получить доступ в сеть и обновиться.
Пользуясь уязвимостью «zero-day» — брешью в компьютерном обеспечении, которую специалисты не могут обнаружить, — вирус поражает системные контроллеры. Так Stuxnet получает доступ к АСУ ТП Simatic и собирает информацию о его управлении. Когда информация об управлении становится явной для вредителя, он разгоняет центрифуги до разноса, а на контроллеры подставляет неверные данные, чем вводит систему в заблуждение. В итоге атаки центрифуги разрушаются физически.
Распространение вируса началось в 2009 году. А уже в конце сентября 2010 года стало известно, что Stuxnet поразил 1368 из 5000 центрифуг на заводе по обогащению урана в Натанзе и сорвал сроки запуска ядерной АЭС в Бушере. Оба объекта использовали АСУ ТП Simatic. Ущерб на ядерных объектах Ирана сравнивали с ущербом, который могли нанести израильские ВВС.
Выдвигались разные теории о разработке вируса, но в одном эксперты сходились абсолютно точно: код по своей сложности не мог быть написан любителями. Для его создания требовались мощные интеллектуальные и финансовые ресурсы. Экспертное мнение стало основанием полагать, что в деле замешаны государственные структуры.
Официально виновников так и не нашли, но газета «New York Times» провела расследование и написала свою версию о происхождении вируса Stuxnet. Со слов издания, вирус был разработан совместно разведывательными службами США и Израиля. Более того, издание «New York Times» утверждало, что вирус был разработан более двух лет назад и заранее протестирован в израильском центре в городе Димона, расположенном в пустыне Негев.
Безусловно, Stuxnet замедлил Иран в его ядерных программах, но не достиг своей цели. Несмотря на это, весь мир всерьез задумался о кибероружии и повышении уровня информационной безопасности, особенно на государственных уровнях и на критически важных объектах инфраструктуры.
Шифровальщик-уничтожитель Petya/NotPetya/ExPetr
27 июня 2017 года компании во всем мире подверглись массовой атаке вируса, который зашифровал все данные, хранящиеся на жестких дисках компьютеров.
О первой версии этого вируса, который назывался Petya, стало известно еще в 2016 году от компании CheckPoint. Они назвали этот вирус программой-вымогателем: после того, как все данные зашифровывались на компьютере, на экран выводилась заставка с логотипом Petya и инструкцией для разблокировки данных, где требовался выкуп в биткоинах.
Нашумевшая версия 2017 года, которую прозвали NotPetya, не имела возможности расшифровки данных и восстановить их было никак нельзя. Атаке подверглись крупные компании из разных стран. В России о заражении сообщили Сбербанк, Хоум кредит, Башнефть, Роснефть и Евраз.
Считается, что первое заражение произошло в Украине, где вирус передавался через автоматическое обновление программы для бухгалтерской отчетности M.E.doc, широко распространенной в стране. Об этом сообщили специалисты Microsoft. Сама компания, разрабатывающая M.E.doc, опровергла свою причастность к заражению. Кроме обновления M.E.doc вирус передавался с помощью фишинговых рассылок с вредоносными вложениями. Фишинг — вид интернет-мошенничества, цель которого — получить конфиденциальные данные пользователя с помощью фейковых сайтов, рассылок или сообщений в социальных сетях или мессенджерах.
Этот вирус получил множество названий: Petya, NotPetya, ExPetr, Petya.A и многие другие. Например, румынский «Bitdefender» назвал вирус Goldeneye. Виновников киберпреступления так и не нашли.
Аккаунты знаменитостей в Twitter
В ночь с 15 на 16 июля в социальной сети Twitter были взломаны аккаунты известных личностей США. Первыми пострадавшими стали основатель компании «Tesla» Илон Маск и основатель «Microsoft» Билл Гейтс. Позднее к числу взломанных присоединились экс-президент США Барак Обама, рэпер Канье Уэст, звезда Ким Кардашьян, корпоративные компании Apple и Uber, криптовалютные биржи CoinDesk, Binance и Gemini и другие. Всего по данным Twitter пострадало 130 аккаунтов.
От имени публичных персон рассылались мошеннические сообщения с просьбой отправлять им биткоины и обещаниями вернуть удвоенную сумму. Таким образом мошенники заработали почти 13 BTC, что по курсу того времени составило примерно $120 тыс.
Выяснилось, что хакеры не взламывали каждый аккаунт в отдельности, не обходили защиту в виде двухфакторной аутентификации, а получили доступ к административной панели Twitter и через нее управляли содержимым аккаунтов. Twitter признал этот факт и сообщил, что его сотрудники стали жертвой координированной атаки с применением социальной инженерии. Но даже после этого ходили слухи о том, что хакеры просто подкупили сотрудника компании.
Через 2 недели был пойман молодой хакер Грэм Айвен Кларк, которому на момент задержания было 17 лет. Сначала Кларк отрицал свою причастность к взлому, но позже пошел на сделку со следствием и признал себя виновным по всем 30 пунктам обвинения, которые ему вменялись. В результате в тюрьме хакер проведет 3 года, а после — еще 3 года под особым надзором с запретом на использование компьютера.
Взлом Jeep Cherokee... дважды!
Есть хакеры злоумышленники, а есть хакеры «доброжелатели». И ко второй категории абсолютно точно относятся Чарли Миллер и Крис Валасек — специалисты по компьютерной безопасности. Они взламывали... автомобили. Но не ради злого умысла, а чтобы показать, как несовершенна защита.
В 2015 году Миллер и Валасек взломали Jeep Cherokee. Эксперимент проводился совместно с добровольцем — журналистом Энди Гринбергом. Хакеры получили контроль над радио, стеклоочистителями и клаксоном, а также более серьезными вещами — акселератором и тормозной системой машины. Для этого Миллер и Валасек взломали мультимедийную систему Uconnect через сотовое соединение.
Позже специалисты выступили на конференции «Black Hat USA 2015», где в подробностях рассказали, как именно взламывали автомобиль. После этого производители операционных систем и самих автомобилей всерьез заволновались и начали разрабатывать методы для защиты от киберугроз и отзывать автомобили по всему миру для перепрошивки.
Эксперимент над Jeep Cherokee продолжился. Миллер и Валасек в 2016 году представили новый доклад на «Black Hat USA 2016». Связав свой доклад с результатами предыдущего года, хакеры поделились фактом, что в первый взлом наиболее опасные действия они могли выполнять только при том условии, что автомобиль двигался на очень низкой скорости, до 5 миль в час. К таким действиям отнесли поворот руля, включение тормозов или акселератора.
Новые результаты поражали, потому что теперь управление было возможно на любой скорости. Миллер и Валасек получили управление над гидроусилителем руля и давали ему команду резко повернуть колеса на заданный угол, научились включать стояночный тормоз, который водитель не сможет выключить, а также теперь они могли подделывать сообщения круиз-контроля и менять скорость движения автомобиля.
Этот взлом заставил компанию Fiat Chrysler отозвать 1,4 млн автомобилей и выплатить 105 млн долл. штрафа в «Национальное управление дорожного движения и безопасности». Впрочем, на этой ноте Чарли Миллер и Крис Валасек объявили, что больше не планируют взламывать Jeep Cherokee.