Гони биткоин: Минстрой шантажируют утечкой информации

Хакеры взялись шантажировать российские министерства, требуя от них выкуп за данные неких пользователей. С начала спецоперации проукраинские взломщики выгрузили по меньшей мере шесть терабайтов данных госорганов и компаний из России. «Известия» вместе с экспертами разбирались, насколько они достоверны, имеют ли ценность на «черном рынке» и можно ли считать кибервойну против россиян успешной.

Угроза анонимов

Хакеры из команды DumpForums решили публично шантажировать Минстрой. В воскресенье, 5 июня, на странице ведомства появилась плашка с требованием перевести на криптокошелек половину биткоина — порядка 1 млн рублей. Если ведомство не заплатит до 7 июня, они сольют «всех пользователей Минстроя РФ».

В Минстрое заверили, что работе его сайта ничего не угрожает: специалисты его защищают и постоянно отслеживают.

В своем Telegram-канале хакеры храбрятся: «Мы можем взломать сайт Кремля. Как вам такая идея?» К соответствующему посту они прикладывают скриншот с иконкой портала из поисковой выдачи.



Ценность данных с сайта Минстроя не слишком велика, отмечает руководитель аналитического центра компании Zecurion Владимир Ульянов. Если утечка действительно произошла (а этому нет подтверждения), вероятно, речь идет о подписчиках новостей.

Потенциальные жертвы едва ли могут пострадать от утечки таких данных, как имена и электронные ящики. «Их можно разве что в рамках социальной инженерии использовать», — говорит собеседник «Известий».

Из России не с любовью

Хакеры активизировались после начала спецоперации РФ по защите Донбассе. Первым под удар якобы попал сайт Минобороны, однако в ведомстве опровергли эти публикации. Даже если бы взлом произошел, утечка попросту невозможна: на серверах Минобороны не хранятся данные, это запрещено законом, напомнили там. Позже в «Роскосмосе» сообщали о реальных попытках взлома, однако атака была отражена, заверили в госкорпорации.

Помимо ведомств, под удар попали российские компании. Последние «жертвы» хакеров из группировки Anonymous — «Петербургский социальный коммерческий банк», инжиниринговый «Электроцентромонтаж» и таможенный брокер АЛЭТ. Всего с конца февраля они опубликовали свыше шести терабайтов данных из РФ на сайте DDoSecrets, заявляют в группировке.

DDoSecrets (Distributed Denial of Secrets) — некоммерческая площадка, которую называют преемницей WikiLeaks. В 2018 году ее открыла небольшая группа американских журналистов и активистов для «свободной передачи данных в общественных интересах». Так, на DDoSecrets публиковались утечки из правоохранительных органов США, офшорных структур, министерств различных стран.

Сейчас каждую неделю осуществляется несколько взломов российских ресурсов, пишет DDoSecrets в Telegram-канале: «Мы просматриваем данные, ищем в них общественный интерес, а затем помогаем им достичь широкой аудитории». В марте площадка выгрузила семь баз утекших данных из РФ, в апреле — более 20 российских и белорусских и еще три в мае.

Секретный микс

Даже западные СМИ, которые поощряют так называемый хактивизм, сомневаются в подлинности слитых данных. Сам DDoSecrets снабжает публикации дисклеймером: «Этот набор данных появился в открытом доступе во время кибер- или гибридной войны, что увеличивает риск заражения вирусами и публикации ложной информации».

Так, одной из первых переполох вызвала база данных, якобы связанная с Центробанком. Регулятор опроверг информацию о взломе, а эксперты подтвердили, что в выложенных хакерами файлах нет закрытых сведений.

На украинских ресурсах распространялась карта Google с данными россиян, которые якобы мародерствовали в зоне проведения спецоперации. Их извлекли, в частности, из утечек «Авито» и СДЭК прошлых лет, выяснил портал Data Leakage & Breach Intelligence. Пользователей из одного региона зачем-то перенесли в другой, а информацию о званиях и военных частях попросту выдумали.

Некоторые слитые базы на поверку оказываются весьма скудными и включают лишь имена, логины и электронные адреса пользователей. Особой ценности они не имеют, поскольку не дают злоумышленникам доступа к паролю, а значит, и к личному кабинету, говорит исполнительный директор IT-компании HFLabs Константин Степанов. Рассылка по всплывшим адресам электронных ящиков — тоже проблема несущественная.

В 2020 году в сеть утекла база 5 млн клиентов языковой школы SkyEng: телефоны, e-mail и логины. Показательно, что злоумышленники продали ее всего за 40 тыс. рублей.

На виду — мелочи

Масштаб хакерских атак и последующих утечек можно оценить по сухим цифрам — количеству строк в слитых базах, а можно — по последствиям.

— Если по последствиям, то можно вспомнить Wildberries — неподтвержденная атака, которая привела к приостановке обслуживания клиентов на несколько дней, Росавиацию, которая перешла на бумажный документооборот, — отмечает директор центра мониторинга и противодействия киберинцидентам IZ:SOC компании «Информзащита» Иван Мелехин.

Он подчеркивает, что ни компании, ни госорганы не обязаны уведомлять регуляторов об утечках персональных данных, а тем более публично их обнародовать. «Ни один реальный инцидент, выявленный нашим центром мониторинга, не освещался, — говорит Иван Мелехин. — Таким образом, делать объективные выводы о масштабах утечек и последствий в текущих реалиях крайне сложно».

Последние подтвержденные утечки спровоцированы не хакерами, а сотрудниками самих организаций — случайно или предумышленно, говорит Константин Степанов из HFLabs. Самая громкая подобная утечка с начала весны произошла с «Яндекс.Едой», напоминает глава аналитического центра Zecurion Владимир Ульянов.
И так сойдет

Случай «Яндекса» — классическая утечка, спровоцированная сотрудником изнутри компании. Если подобные инциденты совершаются целенаправленно (а не по неаккуратности), их тоже можно рассматривать как часть кибервойны, отмечает он.

Так или иначе, именно ситуация с «Яндекс.Едой», по мнению Владимира Ульянова, станет переломной в вопросе отношения к персональным данным в России: так, Минцифры наконец согласовало законопроект, который ужесточает ответственность за персональные данные.

Кроме того, эту утечку превратили в подобие интерактивного развлечения. Показательно, что карта с утекшими данными продолжает пополняться новыми данными из СДЭКа, «Билайна», ВТБ и других источников.



Однако реальные кибермошенники обойдутся без визуализации: они легко разберутся в выгружаемых на «черный рынок» базах. На форумах в даркнете самые востребованные данные — паспортные, напоминает Константин Степанов. «Их покупают для регистрации электронных кошельков или оформления микрофинансовых займов, — объясняет он. — Адреса в сочетании с Ф.И.О. и номером телефона — тоже чувствительная информация для определенного круга людей».

На «черном рынке» представляют ценность и данные платежных карт, однако возможность их в силу прекращения обслуживания таких карт за пределами РФ сильно упала, отмечает эксперт «Информзащиты» Иван Мелехин. Спросом также пользуются сведения, с помощью которых можно нарушить критичные процессы в организации. Например, это может быть доступ к зараженным компьютерам для организации DDoS-атак.

Другое дело — закрытая информация госорганов. Так, в сеть утек архив Минкульта из 230 тыс. электронных писем. В переписках обсуждали зарплаты, кадровые решения, нюансы работы с объектами культурного наследия — в частности, выявленные у них дефекты. В ведомстве подчеркивали, что документооборот не пострадал и работает в штатном режиме.

Именно конфиденциальные бумаги, в том числе по тендерам, — одна из самых уязвимых точек, подчеркивает коммерческий директор компании EveryTag Сергей Тимошенко. Даже с помощью скриншотов документов можно сильно навредить организации.

— Без доказательной базы факт такой утечки будет иметь формат «сплетни», никто не поверит в информацию с вырванными из контекста цифрами или именами, — поясняет собеседник «Известий». — Скомпрометировать такие документы достаточно сложно, так как зачастую они хранятся в защищенных системах компании. Но если злоумышленники всё же получат к ним доступ и воспользуются ими для получения выгоды, то такая утечка будет считаться «успешной».

Подтвержденных утечек документов с начала спецоперации РФ на Украине зафиксировано пока не было.

Черт ногу сломит

Украинские власти официально объявили о создании «первой в мире киберармии», в рядах которой, по их оценкам, насчитывается порядка 300 тыс. человек. Постпред РФ при ООН Василий Небензя назвал ее «неуправляемой», подчеркнув, что впоследствии она доставит немало проблем не только России, но и западным странам.

Массив данных, которые выгружается хакерами, попросту физически невозможно проверить, признают даже в Distributed Denial of Secrets. Последние месяцы «подарили» множество историй с утечками, каждая из них по-своему крупная, замечает гендиректор «БСС-Безопасность» Виктор Гулевич. По отдельности они могут быть несерьезными, а объединенные позволят злоумышленникам спланировать множество разнообразных атак.

Оценить эффективность «кибервойны», объявленной России в конце февраля, пока сложно. «Наши специалисты наблюдают рост DDoS-атак на все отрасли экономики РФ с начала специальной военной операции», — признает Виктор Гулевич. Однако «существенных взломов и кейсов с компрометацией того или иного ресурса не зафиксировано», резюмировал эксперт.

Екатерина Кориненко

Тематики: Безопасность

Ключевые слова: информационная безопасность, персональные данные, хакеры