Взломы The Washington Post и министерства энергетики США: другим наука?

В середине августа с разницей в несколько дней появились сообщения о массированных кибератаках, направленных против американских СМИ, конкретнее, против издания The Washington Post, телекомпании CNN и журнала Time, а также министерства энергетики США. Рядовыми эти инциденты назвать никак не получается, хотя злоумышленники использовали уже давно известные методики для проникновения в чужие сети.

Первая атака была направлена на The Washington Post. Управляющий редактор газеты Эмилио Гарсия-Руис написал в редакционном блоге, что некая «Сирийская электронная армия» (The Syrian Electronic Army — SEA) провела изощрённую фишинговую атаку на сотрудников редакции, в результате чего личный аккаунт в Twitter одного из сотрудников оказался в распоряжении хакеров, и те им воспользовались, чтобы распространять свои воззвания. Но это относительная мелочь. А вот то, что в течение получаса ссылки с некоторых статей на сайте переадресовывали на сайт этой пресловутой «армии», — это куда серьёзнее.

Впрочем, по словам Гарсии-Руиса, предполагаемые сирийцы получили доступ к сайту благодаря взлому рекомендательного сервиса, принадлежащего одному из бизнес-партнёров WP — компании Outbrain.

Outbrain размещает на сайтах своих партнёров виджеты с релевантными контексту ссылками. «Всё выглядит так, будто взлом Outbrain позволил хакерам перенаправлять читателей с некоторых страниц на контролируемые ими ресурсы», — написал Гарсия-Руис.

Компания Outbrain вскоре подтвердила факт взлома и отключила сервис, «как только вторжение стало очевидным». Очевидным оно, увы, стало не только для сотрудников компании и редакции The Washington Post.

Сирийская электронная армия, в свою очередь, заявила, что таким же образом её «воинам» удалось скомпрометировать сайты Time и CNN.

Крупнейшие американские СМИ далеко не впервые становятся объектами атак, однако в данном случае злоумышленники действовали со всей продуманностью: спиэр-фишинговая атака с последующей установкой вредоносного ПО на компьютер поддавшегося на неё пользователя, с помощью которого выкрадены логин и пароль, как минимум, к твиттеру и захвачен контроль над этим аккаунтом. Частный твиттер сотрудника одной из крупнейших и авторитетнейших газет затем превращается в рупор. Миссия выполнена.

Каким образом был взломан Outbrain? Да точно таким же: для успеха понадобилось, чтобы лишь один незадачливый сотрудник повёлся на поддельное письмо якобы от исполнительного директора компании и ввёл свои логин и пароль на поддельном ресурсе. В распоряжении SEA оказывается доступ к конфигурационной панели сервиса.

Причём с того момента, как взломщики начали менять настройки Outbrain и до того, как сотрудники компании обнаружили взлом, прошли аж два часа.

Вот что важно: во-первых, для проведения успешной спиэр-фишинговой атаки злоумышленники должны иметь достаточное количество информации о потенциальной жертве, чтобы та ничего не заподозрила, во-вторых, нападающим надо было обойти антифишинговые средства. Если они, конечно, были. Чего точно не было в случае Outbrain — это двухфакторной авторизации, её вводят только теперь, когда жареный петух клюнул.

Уже высказываются, к слову, предположения, что нынешние атаки «Сирийской электронной армии» могут быть обычной диверсией с целью прикрытия какой-то более сложной и важной операции (например, внедрения эксплойта нулевого дня или бэкдора на сайтах СМИ, чтобы отслеживать интересующую информацию и выявлять её источники).

В принципе, подобные подозрения имеют право на существование. Приложить такие усилия — и всё ради нескольких публикаций в Twitter и перенаправления нескольких тысяч, в лучшем случае, человек на собственные ресурсы? Несолидно. Однако никаких практических доказательств этой гипотезе нет, к тому же, в сообщении Outbrain утверждается, что им удалось выявить все внесённые хакерами изменения и откатить их. Впрочем, на всякий случай к расследованию инцидента привлекли сторонних специалистов. Мало ли что…

SEA не ограничились атакой на The Washington Post и Outbrain: на днях стало известно, что они смогли подменить доменную информацию для большого числа сайтов, включая страницу The New York Times и некоторые домены Twitter. На сей раз, по всей видимости, им удалось взломать доменного регистратора — наиболее вероятной жертвой стала компания MelbourneIT, чьими услугами пользуются пострадавшие ресурсы.

Второй инцидент выглядит куда более серьёзным: во-первых, объектом атаки стало целое министерство энергетики США. Во-вторых, следствием этой атаки стала массивная утечка персональных данных сотрудников министерства. Как следует из внутренней корреспонденции министерства, попавшей в распоряжение The Wall Street Journal, под угрозой оказались личные данные 14 тысяч бывших и нынешних сотрудников министерства. Добраться до них хакерам удалось, взломав sanctum sanctorum — серверы кадрового управления министерства.

В феврале этого года министерство уже взламывали, но тогда масштабы утечки были намного меньшими — данные «всего» о каких-то нескольких сотнях человек. Так или иначе, два раза за год стать жертвой кибератаки — это, в общем-то, репутационная катастрофа.

По мнению Алана Поллера, основателя SANS Institute, и эта, и февральская атаки являются частью «долгосрочной, интенсивной кампании, направленной на захват большого количества систем для того, чтобы получить доступ к ключевым информационным ресурсам США». Раньше подобные заявления, скорее всего, считались бы сугубой конспирологией. Но на сегодняшний день, после раскрытия целого ряда крупных кибершпионских кампаний, таких как NetTraveler, высказывания такого рода приходится воспринимать со всей серьёзностью.

К сожалению, понимание серьёзности ситуации приходит зачастую лишь после того, как происходит инцидент (и то, как видно на примере министерства энергетики США, не всегда). Несколькими месяцами ранее капитальной атаке со стороны китайских хакеров подверглась The New York Times. По идее, сам факт такой атаки должен был бы заставить администраторов других крупнотиражных изданий и информагентств задуматься о повышении уровня защищённости: уже тогда стало ясно, что крупные СМИ стали объектом недружественного интереса со стороны хакеров.

Увы. И это притом, что, во-первых, средства противодействию фишингу — технология отработанная и эффективная, а во-вторых, налаживание двухфакторной авторизации — это тоже не бином Ньютона. Заблаговременное внедрение этих средств защиты, а также обучение рядового нетехнического персонала тому, как отличить фишинговые письма от обычных, позволило бы уберечься от кучи неприятностей.

Остаётся надеяться, что плачевный опыт WP и министерства энергетики станет для кого-то примером и поводом наладить адекватную нынешней ситуации защиту у себя.