Сотрудники ФСБ через взлом Yahoo следили за чиновниками, журналистами, айтишниками и своими коллегами

Минюст США предъявил обвинения трём гражданам России, в том числе двум сотрудникам ФСБ РФ, в хакерской атаке на портал Yahoo в 2014 году.

США обвиняют сотрудников ФСБ во взломе Yahoo

Власти США предъявили обвинение четырем лицам, включая трех российских граждан, во взломе американского почтового сервиса Yahoo. Взлом был осуществлен в 2014 году, в результате чего хакерам стали доступны данные о примерно 500 млн пользователей Yahoo, причем об утечке стало известно лишь в прошлом году.

Согласно сообщению Министерства юстиции США, опубликованному на сайте ведомства, взлом был организован двумя сотрудниками Центра информационной безопасности Федеральной службы безопасности (ЦИБ ФСБ, занимается борьбой с кибер-преступлениями) Дмитрием Докучаевым и Игорем Сущиным. 

.

Прикомандированный сотрудник из ФСБ

Дмитрий Докучаев может быть также известен как Patrick Nagel. В конце прошлого года он был арестован в России по обвинению в измене Родине. Вместе с ним под арестом оказались: другой сотрудник ЦИБ ФСБ — Сергей Михайлов (ранее утверждалось, что как раз Михайлов является начальником Докучаева), руководитель отдела расследований «Лаборатории Касперского» Руслан Стоянов и предприниматель Георгий Фоченков. Таким образом, обвинения Докучаеву теперь предъявлены и в России, и в США. Про Игоря Сущина американские власти утверждают, что он является «emdedded as purpoted  employee». Видимо, речь идет о така называемом «прикомандированном сотруднике» — то есль служащим некой гражданской организации, который одновременно является тайным сотрудником ФСБ. Утверждается, что в таком статусе Сущин работает в одном из российских инвестиционных банков, возглавляя там отдел информационной безопасности. При этом в самом банке могли и не знать, что Сущин является сотрудником ФСБ, подчеркивается в обвинительном заключении. В документе фигурирует еще один высокопоставленный сотрудник ЦИБ ФСБ, имя которого не раскрывается.

.

Как ФСБ завербовало хакера

Исполнителями взломов были двое хакеров — гражданин России латвийского происхождения Алексей Белан (ник Magg) и уроженец Казахстана с канадским паспортом  Карим Баратов (ник Kay, также может быть известен как Карим Таловеров и Карим Ахмет Токбергенов). На этой неделе Баратов был арестован в Канаде. Белан является одним из самых разыскиваемых кибер-престуников в мире. В конце прошлого года президент США Барак Обама включили его в список лиц, попавших под санкции из-за подозрений в атаках на сервера Демократической партии (украденные материалы были опубликованы на Wikileaks и вызвали большой скандал). Ранее — в 2013 г — власти США обвинили его во взломе трех американских ИТ-фирм. Тогда же Белан был арестован в одной из европейских стран (по данным газеты The Washington Post, речь идет о Греции), однако ему удалось бежать в Россию.Именно после этого и началось сотрудничество хакера с ФСБ, утверждают американские власти. Докучаев и Сущин предоставили Белану защиту от преследования со стороны американских властей, в обмен на что Белан стал выполнять их заказы на взлом. Утверждается, что вышеупомянутые офицеры ФСБ снабдили Белана секретными данными о методах работы ФСБ по поиску кибер-преступников и раскрытию преступлений, чтобы он мог обезопасить следы своей работы.

.

Как взламывали пользователей Yahoo

Одним из способов взлома была рассылка по потеницальным жертвам фишинговых писем, которые приходили якобы от доверенных отправителей. Если получатель открывал вложенный в письмо файл, то на его компьютер устанавливалось вредоносное ПО, благодаря которому хакеры получали доступ к данным пользователям. Для сокрытия своих следов хакеры выходили в интернет через VPN.

Наибольшая удача улыбнулась злоумышленникам в случае с Yahoo.  В 2014 году им удалось установить вредоносное ПО непосредственно на компьютеры Yahoo,  что позволило хакерам получить доступ во внутренние сети американской корпорации. Для сокрытия следов Белан использовал программу log cleaner, которая удаляла данные об его активностях на серверах Yahoo. В частности, был получен доступ к базе данных пользователей Yahoo (User Database, UDB), содержащей регистрационную информацию, и к системе для редактирования данной информации Account Managment Tool (ATM). В том числе ATM позволяет изменить пароли пользователей.

В декабре 2014 году Белан скопировал UDB на один из своих компьютеров. Имея доступ к вышеупомянутым системам, хакеры научились подделывать (minting) файлы  cookies, которые хранятся в веб-браузере и позволяют веб-сайтам авторизировать пользователей. Minting осуществлялся как на серверах сети Yahoo, так и на компьютерах самих злоумышленников. Во втором случае для подделки cookies хакерам необходимо было знать специальную криптографическую информацию — случайные числа (nonce), закрепленные за каждым конкретным пользователем. Данная информация была получена хакерами из UDB. Когда пользователь менял свой пароль, в  UDB менялась и закрепленное за ним nonce. Неудачные попытки авторизации по поддельным cookies, осуществленные хакерами на аккаунты сменивших пароли пользователей, показывают, что им была доступна только копия UDB за ноябрь 2014 г.

Судя по обвинительному заключению, в распоряжении властей США имеется переписка Сущина и Докучаева. В частности, в материалах дела приводится скрин-шот, изображающий процесс создания фальшивого  файла cookie для одного из аккаунтов Yahoo.  Утверждается, что в общей сложности хакеры создали фальшивые cookies для 6,5 тыс аккаунтов на Yahoo.

.

Кто интересовал ФСБ: чиновники, айтишники, бизнесмены, журналисты, коллеги по МВД

Также имея доступ одновременно и к UDP, и  к ATM, хакеры смогли искать аккаунты пользователей Yahoo, для которых в качестве резервных email-адресов были установлены корпоративные почтовые ящики. Это позволило злоумышленникам искать аккаунты на Yahoo, принадлежащие сотрудникам интересующих их компаний. Кроме того, во взломанных аккаунтах на Yahoo хакеры искали информацию (пароли, «секретные вопросы» и др.), необходимую для доступа к аккаунтам пользователей в других системах, например, Google, Apple, VPN-сервисы и т.д.

Минюст США не приводят имена жертв, которыми интересовались хакеры, но указывают их примерные должности. В обвинительном заключении перечисляются следующие лица: человек, обозначенным как Russian Deputy Counsel General (заместитель некого главного консультанта/советника),  корреспонденте газеты «КоммерсантЪ», специализирующемся на журналистских расследованиях; сотрудниках российской службы веб-почты и др.

Также Докучаев и Сущин пытались получить доступ к Yahoo-аккаунтам, ошибочно ассоциированным с руководителями одной российской финансовой фирмы и членами их семей. В том числе для того, чтобы получить доступ к акаунтам этих лиц, не связанных с  Yahoo,  на электронный адрес одного из них было направлено поддельное электронное письмо, якобы исходящее от Федеральной налоговой службы.

Хакеры интересовались и лицами из приграничных с Россией стран. В частности, ими были взломаны аккаунты бывшего министра экономического развития одной из таких стран и его жены (в том числе хакеры получили информацию о принадлежащей им коммерческой компании), а также посла одной из таких стран, работающим в некоем европейском государстве. Из представителей дальнего зарубежья хакерам удалось получить доступ к аккаунтам следующих лиц: сотрудников швейцарской Bitcoin-системы и банка; сотрудников американской финансовой компании; топ-менеджера американской авиа-компании; работающего в Шанхае управляющего директора американского инвестиционного фонда; технического директора французской транспортной компании; консультанта, изучавшего предложение России для ВТО и сотрудников американского провайдера облачных сервисов.

.

Взламывали не только Yahoo

Когда необходимо было взломать аккаунты пользователей на сервисах, отличных от Yahoo (например, на Google и на российских публичных сервисах электронной почты), Сущин и Докучаев использовали Карима Баратова, который получал за осуществленные им взломы денежные вознаграждения. Таким образом, были взломаны аккаунты следующих лиц: управляющего директора, менеджера по продажам и исследователя одной известной российской компании из сферы информационной безопасности;  сотрудника Управления «К» МВД (аналог ЦИБ ФСБ), занимающегося борьбой с кибер-преступлениями и детской порнографиией; человека, обозначенного как assistent  to the Deputy Chairman of Russian Federation (возможно, речь идет о помошнике вице-спикера Совета Федерации); чиновника, одновременно возглавлявшего комитет Совета Федерации и крупную транспортную компанию; тренера, работавшего в министерстве спорта одной из российских республик.

Были случаи, когда хакеры не просто получали незаконной доступ к почтовым ящикам, но и лишали их владельцев возможности пользоваться ими. Такое произошло, например,  с гендиректором некой металлургической компании, работающей в приграничном с России государстве. Через AMT Докучаев получил доступ к его почтовому ящику на Yahoo и сменил пароль. В качестве резервного ящика (используется для восстановления пароля) этот человек использовал аккаунт на  Gmail. Докучаев изменил резервный ящик на свой собственный, а далее попросил Баратова получить доступ к вышеупомянутому ящику на Gmail. Аналогичная история была проделана с аккаунтами известного банкира и университетского поверенного в одной из приграничных  с Россией страны. У него был электронный ящик на Yahoo, а  в качестве резервного использовался ящик на Gmail. Докучаев изменил пароль в аккаунте на Yahoo и адрес резервного ящика, а затем поручил Баратову взломать ящик на Gmail.

Информацию, полученную из базы данных Yahoo, злоумышленники использовали и для поиска аккаунтов своих жертв в других системах. Так, имея доступ к аккаунту на Yahoo одного из руководителей Международного валютного фонда, Докучаев нашел в нем данные об аккаунте на Gmail, принадлежащем банкиру в одной из приграничных с Россией стран. В другой случае Докучаев использовал доступ к аккаунту на Yahoo, принадлежащему консультанту из приграничной с Россией страны, для поиска информации об аккаунте на Gmail, принадлежащем известной женщине-бизнесмену из этой же страны.

В Минюсте США подчеркивают, что задания в данной группу злоумышленников определял Сущин. Так, однажды Докучаев прислал ему список email-адресов, связанных с сотрудниками одной российской финансовой организации и членами их семей. В этом списке Сущин определил «основную цель». Позднее Сущин переслал Докучаев письмо, отправленное женой этого человека другим сотрудниками данной фирмы, добавив, что «это тоже может использоваться.

.

Как хакер монетизировал работу на ФСБ

Белан, со своей стороны,  монетизировал полученный доступ к внутренним ресурсам Yahoo. Утверждается, что он искал во взломанных аккаунтах номера кредитных карт и подарочных сертификатов. Также, используя доступ к серверам Yahoo, Белан создал фальшивые файлы cookies для 30 млн пользователей Yahoo.  Это позволило хакеру получить списки имеющихся у этих пользователей адресатов и рассылать им спам, подписанный владельцами взломанных аккаунтов.

Кроме того, Белана обвиняют в том, что он подменял результаты в поисковой выдачи Yahoo. Когда пользователи искали информацию о препаратах для восстановления половых функций, им выдавалась фальшивые ссылки на сервер некого американского облачного провайдера. Сервера этой компании тоже были взломаны, в результате чего пользователь, загружая  ссылки на эти сервера, автоматически перенаправлялся на специальные ресурсы по продаже данных препаратов. За приведенных таким образом пользователей Белан получал комиссию.

.

Игорь Королёв, специально для «РосКомСвободы»

.

Читайте также:

Обвиняемого во взломе LinkedIn российского хакера требуют экстрадировать и Россия и США
?
ФСБ: иностранные спецслужбы готовят кибератаки для дестабилизации финансовой системы РФ
?
Россия и США обменялись обвинениями в кибершпионаже
?
Россия и Беларусь стали мишенью китайских хакеров вместо США
?
Цели российских хакеров: от кражи денег до воспитания

.