Хакерская корпорация: как устроен бизнес DarkSide, устроившей топливный кризис в США
За последние полторы недели русскоязычная хакерская группировка DarkSide упорно отказывалась уходить с первых страниц мировых СМИ. Сначала она взломала крупнейший в США трубопровод для нефтепродуктов и парализовала его работу. Потом выступила с публичным заявлением о том, что атака — «просто бизнес». Потом, добившись выкупа, DarkSide заявила о роспуске — но почти сразу стало известно, что группировка взломала еще и французское подразделение Toshiba. Хотя со стороны действия хакеров могут вызывать недоумение, на самом деле за ними прослеживается четкая логика, которой руководствуются крупнейшие группировки последние пару лет.
Этот материал мы написан специально для нашей технорассылки The Bell Tech. Подписаться на нее можно здесь.
Благородные грабители
7 мая довольно молодая хакерская группировка DarkSide атаковала оператора крупнейшего в США трубопровода Colonial Pipeline, который снабжает топливом Восточное побережье страны. Из-за атаки компания приостановила работу, даже на частичное восстановление прокачки потребовалась неделя. На Восточном побережье США начался настоящий топливный кризис, а американским властям пришлось пойти на экстренные меры — они временно сняли ограничения на сверхурочную работу и требования к обязательному ночному отдыху для водителей бензовозов в 18 штатах.
За атакой почти сразу нашелся «русский след». Во взломе использовался вирус, созданный русскоязычной группировкой DarkSide. Президент США Джо Байден заявил, что лично обсудит инцидент на июньской встрече с Владимиром Путиным. При этом Байден особо подчеркнул, что данных о причастности к атаке российских властей нет, однако у российской стороны «существует мера ответственности».
Такого переполоха, видимо, не ждали и сами хакеры. Спустя три дня после взлома DarkSide в своем блоге извинилась за последствия атаки и заверила, что, во-первых, не хотела создавать для людей проблемы, а только пыталась заработать, а во-вторых, группировка аполитична и не связана с правительствами каких-либо государств. DarkSide даже пообещала впредь проверять каждую цель будущих взломов, чтобы избежать социальных последствий.
Так или иначе, своей цели хакеры добились довольно быстро: Colonial Pipeline перевела вымогателям около $5 млн в криптовалюте, хотя изначально утверждала, что не пойдет навстречу киберпреступникам. Но и на этом злоключения американской корпорации не закончились: хотя Colonial Pipeline быстро заплатила хакерам за программу дешифровки, софт работал так медленно, что оператору трубопровода все равно пришлось использовать собственные бэкапы, чтобы восстановить работу системы.
Только спустя семь дней после взлома Colonial Pipeline наконец восстановила свою работу. Правда, и сами хакеры тоже оказались в убытке: эксперты, расследовавшие инцидент, быстро выяснили, куда ушли похищенные у компании данные, и передали сведения ФБР, которое добилось блокировки сервера. В итоге созданная меньше года назад DarkSide потеряла доступ к части своей инфраструктуры и денег и объявила о прекращении деятельности. А многие хакерские форумы решили запретить у себя распространять вирусы-шифровальщики из-за того, что эта тема стала привлекать слишком много ненужного внимания.
Темная сторона
DarkSide — довольно молодая хакерская группировка, созданная летом прошлого года и специализирующаяся на похищении у компаний данных и заражении инфраструктуры вирусами-шифровальщиками. После этого компания вступала с жертвой в переговоры и требовала заплатить и за дешифровку, и за украденные данные.
Называть ее хакерской группой в традиционном понимании нельзя, говорит ведущий специалист Лаборатории компьютерной криминалистики Group-IB Олег Скулкин. Многие шифровальщики распространяются по модели «вымогатель-как-услуга» (ransomware-as-a-service), когда одной и той же программой может пользоваться большое количество групп. DarkSide как раз распространяется по такой программе, говорит Скулкин.
Однозначно называть DarkSide российской командой тоже не стоит, но, согласно объявлениям, публикуемым представителями DarkSide на киберпреступных форумах, в партнерскую программу принимаются только русскоговорящие пользователи. Им запрещено взламывать компании в России и странах СНГ, а сами объявления на форумах опубликованы на русском языке, объясняет Скулин.
Взлом Colonial Pipeline — не первый для группы. Например, уже после него стало известно, что в начале мая от атаки вирусом DarkSide пострадало французское подразделение Toshiba, у которого хакеры украли 740 гигабайт данных. Обычно группировка атакует крупные компании, способные быстро выплатить требуемый выкуп, объясняют специалисты по кибербезопасности Flashpoint.
До того как группа прекратила деятельность, она активно набирала новых последователей. Для них на сайте были прописаны преимущества от сотрудничества с платформой: регулярное освещение в СМИ и нацеленность только на крупный бизнес. В апреле группа запустила дополнительный сервис для взломщиков — DDoS-атаки на жертв, чтобы оказать давление в переговорах. А еще группа была готова продавать данные о взломанных компаниях, торгующихся на биржах, если те отказывались платить выкуп, — чтобы клиент смог заработать на падении котировок после публикации украденных данных.
Для своих жертв группировка тоже прописывала «конкурентные преимущества»: хакеры обещали не атаковать медицинские, образовательные учреждения и госсектор, не пытаться брать больше, чем компания может выплатить (предварительно проверив ее счета), ответить на все вопросы про взлом и не публиковать данные, если компания в итоге расплатится по счетам. В марте у хакеров даже появился собственный колл-центр, который должен был еще больше упростить процесс. Авторы страницы открыто хвалились тем, насколько большой у нее процент выплат и как мало времени уходит на переговоры.
По опубликованным деталям переговоров, которые DarkSide вела со своими жертвами раньше, видно, что с хакерами вполне можно было договориться. Например, в переписке с одной из взломанных компаний они обещали провести анализ уязвимостей, которые позволили им взломать сеть. Но на попытки в несколько раз снизить цену переговорщик отвечал: «Вы не бедные, и вы не дети. Если вы облажались, вам придется нести ответственность». В итоге компания договорилась выплатить $11 млн вместо $30 млн и взяла с хакеров обещание никогда больше не выбирать ее своей целью.
Хакерская корпорация
Во взломе Colonial Pipeline многих удивило то, что DarkSide позиционирует себя как «корпорация», ведет активную PR-деятельность и даже жертвует на благотворительность. Но на самом деле эту модель группировка изобрела не сама.
Вирусы-вымогатели стали чуть ли не главной угрозой для крупного бизнеса относительно давно, а максимальное внимание привлекли в 2017 году — после атаки вируса NotPetya, стоившей компаниям по всему миру миллиардов. Однако с 2019 года рынок хакеров-вымогателей начал эволюционировать, говорят специалисты по кибербезопасности.
Началось все с группировки Maze, объясняет консультант по безопасности Cisco Алексей Лукацкий: эта уже закрывшаяся группа начала практику взаимодействия со СМИ и создания собственной PR-службы, которая должна была рассказывать о ее деятельности и формировать «позитивный бренд», защищать репутацию или развенчивать мифы, если о работе хакеров публиковались какие-то неверные отзывы. После Maze эту практику подхватили многие другие группировки и операторы платформ для шифровальщиков. DarkSide — лишь одна из таких.
Хакеры сообщают о своих действиях — кого атаковали, кто выплатил выкуп, а кто нет, чтобы дать другим жертвам сигнал, что будет, если они не пойдут на сделку, говорит Лукацкий: «Посыл такой: мы расскажем все о ваших темных делах, двойной бухгалтерии. Мы уже такое делали».
Но сама по себе группа неоднородна, состоит из множества звеньев, между которыми, впрочем, есть четкая иерархия. Основатели группы создают облачную платформу, предоставляют платежные шлюзы и цепочку распределения денег. А дальше другие хакеры берут их софт и, используя либо найденные, либо купленные уязвимости, запускают вирус в сеть компании, говорит основатель сервиса разведки утечек и мониторинга даркнета DLBI Ашот Оганесян. Уязвимости ищут хакеры-пентестеры (penetration testers), свои находки они продают на форумах, одна уязвимость может стоить от нескольких тысяч до нескольких десятков тысяч долларов. «Интересно, что это не какие-то уникальные уязвимости, а стандартные и уже опубликованные, просто компании по недосмотру их оставляют», — объясняет эксперт.
После успешного взлома подключаются фирмы-переговорщики, которые ведут переговоры с жертвой и помогают компаниям расплачиваться с хакерами. «Это очень мутный бизнес, который представляет собой, по сути, отмывание денег. Такие компании-прослойки помогают компаниям платить выкупы, оставляя себе процент», — говорит Оганесян. Например, с такой компанией пришлось работать производителю навигационного оборудования Garmin, который в прошлом году был атакован хакерами из Evil Corp и заплатил им $10 млн. Против этой группировки в США введены санкции. Для расплаты Garmin пришлось нанимать компанию-посредника Arete IR.
Дальше деньги распределяются по цепочке между исполнителем взлома и разработчиками софта. Кроме того, все данные, которые выкачивают хакеры при взломе, остаются на серверах, которые контролируют создатели группировок, говорит Оганесян. Таким образом хакеры могут сохранять репутацию и гарантировать их сохранность для жертв взлома, пока идут переговоры.
Тот факт, что за каждой группой стоит множество людей, никак не помогает раскрывать их деятельность, говорит Лукацкий. Каждый участник цепочки знает только никнейм своего условного начальника и ничего больше, и поэтому даже если поймают «мула» или «дропера» — людей, которые обналичивают похищенные деньги, — выйти на его нанимателей все равно будет очень сложно, а на верхушку группы — почти нереально.
Русский след
Для всего мира то, чем занимаются группы вроде DarkSide, — вопиющие преступления, но сами хакеры уверены, что услуги, которые они оказывают бизнесу, и должны столько стоить, говорит Оганесян. «Они себя называют пентестерами и говорят, что они не вымогают ничего просто так, а оказывают услугу по penetration testing — испытанию на проникновение. А стоит такая работа не несколько тысяч долларов, которую сам бизнес предлагает на специальных форумах, а миллионы долларов».
Взлом Colonial Pipeline — не единственный за последнее время, в котором виноваты «русские хакеры». Недавно у подрядчика Apple украли чертежи новых Macbook и потребовали за них $50 млн. За взломом стояла группировка REvil, одна из крупнейших хакерских групп, которую считают одной из прародительниц DarkSide.
Причин тому, что многие крупные хакерские группировки — русскоязычные, несколько, говорит Лукацкий. Главная — в том, что в России достаточно много хороших специалистов, которые не всегда могут найти высокооплачиваемую работу. Поэтому они уходят на другую сторону баррикад.
Но практически никто из крупных русскоязычных группировок действительно не работает в СНГ, говорит Оганесян: есть такой термин «не работать по ру». Сами они это объясняют тем, что не хотят гадить там, где живут, но они также не хотят и попадать в поле зрения местных органов безопасности. Вместо того чтобы работать в России, хакеры могут долго атаковать западные компании, говорит Лукацкий: тем более что у них больше денег и их проще обмануть. «Исследования показывают, что люди из благоприятных экономик более доверчивы, чем люди из стран третьего мира», — утверждает эксперт.
Фото на обложке материала: Ahmed Zayan/Unsplash