Хакерские войны: сводки с фронтов

Две равно уважаемых семьи
В Вероне, где встречают нас событья,
Ведут междоусобные бои
И не хотят унять кровопролитья.

Эти шекспировские строки я вспоминал весь конец февраля и начало марта, наблюдая за ожесточенной схваткой прославленной хакерской группы Anonymous с объединившими усилия правоохранителями из разных стран. Anonymous, выступая в роли защитников прогрессивных сил всего человечества, организовали ряд атак на правительственные ресурсы различных стран – от США (пользующихся у них особой «популярностью») до стран ЕС, Латинской Америки и Японии.

Также Anonymous в 2010-11 годах неоднократно брали на себя ответственность за масштабные сетевые атаки. Так, в декабре 2010-го в знак поддержки ресурса Wikileaks хакеры из этого движения взломали сайты платежных систем Visa, Mastercard и PayPal. На протяжении 2011 года они взламывали серверы Apple, Sony и полицейских ведомств ряда стран. Уже в январе 2012-го хакеры взломали 10 сайтов государственных служб США и звукозаписывающих компаний в отместку за закрытие крупнейшего в мире файлообменника Megaupload. Жертвой атаки оказались, в частности, ФБР и Белый Дом. Затем в конце февраля Anonymous опубликовали записи конфиденциального телефонного разговора между ФБР и лондонскими детективами, во время которого обсуждалась как раз борьба с хакерами.

И вот, судя по всему, хранители закона решили поставить точку в бурной истории «Анонимусов».

Наступление

Сперва полиция Чили, Аргентины, Колумбии и Испании практически одновременно задержала 25 активистов хакерской группы Anonymous. Арестованным от 17 до 40 лет, у них изъято более 250 единиц сетевого и мобильного оборудования. Как сообщили журналистам в МВД Испании, испанские правоохранительные органы задержали в Мадриде и в Малаге четырех человек. Двое из них, в том числе один несовершеннолетний, были потом отпущены под залог.

По данным испанской полиции, один из оставшихся под арестом является координатором атак Anonymous в Испании и Латинской Америке. Всю операцию координировал Интерпол. Формальным поводом для ее проведения стали кибератаки на чилийские и колумбийские правительственные интернет-ресурсы. По версии следствия, подозреваемые организовали скоординированные кибернападения на сайты различных госучреждений, в том числе на портал министерства обороны Колумбии и президентские веб-сайты, а также сайты энергетической компании Чили Endesa и даже почему-то национальной библиотеки. Также четверо задержанных в Мадриде и Малаге подозреваются в атаках на сайты испанских политических партий.

Немного позже Министерство внутренних дел Испании объявило, что один из четверки задержанных был руководителем компьютерных операций Anonymous в Испании и Латинской Америке. Он известен под никами Pacotron и Thunder.

В свою очередь, Джейми Яра, заместитель префекта столицы Чили, сообщил, что власти задержали пять чилийцев и колумбийца. Двое из них оказались 17-летними подростками. «Пока нам не удалось установить, как между участниками хакерской группы организовывалась связь», – сказал Яра.

А чилийский прокурор Маркос Меркадо, который специализируется на компьютерных преступлениях, уверен, что подозреваемые были обвинены в создании помех в работе сайтов различных учреждений страны, таких как национальная библиотека Чили, и участии в атаках на сайты компаний Endesa и Hidroaysen.

Глава полиции Колумбии Карлос Мена, также координировавший операцию, заявил, что в их стране никто не был задержан, но среди 25 подозреваемых есть колумбийцы. По его словам, сотрудники местной полиции и спецслужб занимаются расследованием киберпреступлений по сообщениям из других стран.

В Аргентине по поводу задержания хакеров Anonymous не было сделано никаких официальных заявлений. Местные СМИ ограничились только заявлением Интерпола, в котором говорилось, что в этой стране были задержаны 10 человек.

Также стало известно, что кроме арестов полицейские провели обыски в 40 помещениях, расположенных в 15 городах мира, изъяли 250 единиц IT-оборудования и мобильных телефонов, конфисковали у подозреваемых множество кредитных карт и наличных. Кроме того, полицейским удалось заблокировать два сервера в Болгарии и Чехии, которые использовались хакерами.

Контратака

29 февраля в отместку за аресты членов группы Anonymous в Испании и странах Латинской Америки хакеры вывели из строя сайт Интерпола. Сайт www.interpol.int подвергся DDоS-атакам и был недоступен в течение 20-30 минут. «Похоже, у interpol.int возникли трудности... Кто бы мог этого ожидать?», – написал один из хакеров на своей ленте в Twitter. Атаки на сайт начались после того, как стало известно, что полиция задержала 25 членов организации Anonymous в Испании, Аргентине, Чили и Колумбии.

Пока неизвестно, была ли в результате акции Anonymous похищена какая-либо информация. Однако члены хакерской группировки четко заявили, что намерены продолжить кибертеррористические атаки на полицейские органы разных стран.

Anonymous уже взломали сайт Ассоциации руководителей полиции Онтарио – правда, в знак протеста против спорного закона Bill C-30 об интернет-наблюдении. Новый закон позволит правоохранительным органам Канады запрашивать у интернет-провайдеров и телекоммуникационных компаний личную информацию пользователей без судебного ордера. В результате взлома хакерам удалось похитить учетные данные сотрудников ассоциации.

В первых числах марта Anonymous в блоге испаноязычной части движения выступили с заявлением по поводу состоявшихся арестов 25 участников группы. В заявлении говорится, что полиция и Интерпол смогли задержать хакеров благодаря внедрению в группу своих агентов.

«Конечно, мы знаем подробности арестов и знаем используемые правоохранителями стратегии и имена внедрившихся людей, которые участвовали в этой операции (и, честно говоря, они нас не удивляют). Тем не менее, чтобы не давать больше средств бесполезному Интерполу и полиции испаноязычных стран, мы не публикуем их здесь», – заявили хакеры.

«Но знайте, что вся эта волна арестов стала возможной не благодаря сообразительности и продуманному плану, как они хотят чтобы вы думали; она стала возможной благодаря технике куда более низкой и жалкой: использованию шпионов и доносчиков внутри группы», – подчеркивают Anonymous.

Технологии войны

Как известно, в Anonymous входят хакеры из разных стран, и четкая внутренняя структура в группе отсутствует. Одним из символов группировки стала маска британского революционера Гая Фокса из фильма «V – значит вендетта».

Компания Imperva, занимающаяся профессиональной защитой данных, исследовала методы работы Anonymous. По словам экспертов Imperva, для своих акций хакеры чаще всего использует DDoS-атаки и SQL-инъекции. Исследователи выяснили, что хотя Anonymous и выработали ряд специфических приемов, чаще всего они используют дешевые и широко известные методы, которые позволяют им организовывать сложные и масштабные нападения. По словам одного из основателей и технического директора Imperva Амичаи Шульмана, исследования показали, что прославившиеся хакеры сперва пытаются украсть необходимые им данные, а если сделать это не получается – используют DDoS-атаку.

Специалисты полагают, что атака Anonymous состоит из трех фаз:

- сбор желающих принять участие и их организация в виртуальную команду,
- разведка и проведение атаки на уровне приложений,
- собственно DDoS-атака.

По мнению исследователей, наиболее важное значение при координировании акций Anonymous имеют социальные сервисы – Twitter, Facebook и YouTube. Именно через социальные сети и блоги выбирается объект атаки и происходит дальнейшая организационная работа, прежде всего – привлечение волонтеров для участия в хакерской кампании. Все это происходит на первой фазе подбора кадров и коммуникации.

Вероятнее всего, при проведении каждой отдельно взятой атаки Anonymous опытные хакеры составляют лишь незначительную часть добровольцев. В Imperva отмечают, что настоящие профессионалы чаще всего задействуются в разведке – пытаются нащупать уязвимые места, а также производят пробные атаки на приложения (например, SQL-инъекции), пытаясь, таким образом, украсть информацию. Ну а малоопытные пользователи и начинающие хакеры принимают участие только в завершающей стадии акции – при проведении DDoS-атаки.

Также исследователи из Imperva констатируют, что Anonymous смогли разработать и свой собственный инструментарий для киберпреступлений. Это, в первую очередь, Low Orbit Ion Cannon (LOIC) – программа с открытым исходным кодом для осуществления сетевых атак, написанная на C#. Кроме того, эта группа хакеров знаменита благодаря инструменту, который позволяет запускать DDoS-атаку с мобильных браузеров. В то же время Anonymous, как и любые другие хакерские организации, постоянно исследуют Сеть в поисках новых приемов, которые они могли бы использовать. При этом Anonymous обычно не пользуются такими распространенными хакерскими техниками, как ботнеты, вредоносное ПО или фишинг.

Антон Платов