Jak FBI rozpracowało atak na Yahoo

Dwóm hakerom i dwóm rosyjskim agentom FSB znanym z imienia i nazwiska postawiono zarzuty organizacji i przeprowadzenia włamania na serwery Yahoo oraz kradzieży danych dotyczących 500 milionów kont.

Oficjalne oskarżenie wydane przez sąd na tle listów gończych opublikowanych przez FBI. Źródło: IDG News Service, Martyn Williams.

Według FBI, agenci FSB Dmitry Dokuchaev oraz Igor Sushchin zapłacili dwóm hakerom (Alexsey Belan i Karim Baratov) za przygotowanie i zrealizowanie włamania na serwery Yahoo, a następnie wykradzenie z nich informacji pozwalających na dostęp do zarejestrowanych w tym serwisie kont użytkowników.

Karim Baratov został już aresztowany w Kanadzie, a amerykanie zwrócili się do Interpolu o wydanie międzynarodowych listów gończych za pozostałymi trzema osobami. Być może uda się zatrzymać drugiego z zaangażowanych hakerów, Alexseya Belana pochodzącego z Łotwy. Natomiast trudno oczekiwać, by Rosjanie wydali agentów z FSB.

Zobacz również:

W odpowiedzi na oskarżenia przedstawione przez FBI, przedstawiciele rosyjskiego rządu zaprzeczyli by był on w jakikolwiek sposób zaangażowany w przygotowanie ataku na Yahoo określając zarzuty jako szaleńcze i mające na celu odwrócenie uwagi od informacji publikowanych przez WikiLeaks.

Bezprecedensowe nagłośnienie wyników śledztwa i bezpośrednie oskarżenie władz Rosji o zaangażowanie w przeprowadzenie ataku może mieć poważne skutki. Specjaliści ds. bezpieczeństwa przewidują, że Rosjanie mogą odpowiedzieć podobnymi oskarżeniami, to tylko kwestia czasu. Bo nie ulega wątpliwości, że działania szpiegowskie w cyberprzestrzeni prowadzi wiele państw. Może się okazać, że wkrótce rozpocznie się wymiana ciosów i informacje o kolejnych cyberatakach szpiegowskich pojawią się w mediach.

Należy tu podkreślić, że opisywana kradzież to inna niż ogłoszona w grudniu, gdy Yahoo poinformowało o wycieku danych dotyczących ponad 1 miliarda kont, który nastąpił w 2013 roku, a został wykryty dopiero w listopadzie 2016 roku. W tym przypadku śledztwo trwa i nie są znane jego szczegóły. Wiadomo jednak, że wśród przejętych kont około 150 tysięcy należało do pracowników wojska i administracji rządowej USA. Dlatego też włamanie jest traktowane jako poważne zagrożenie dla „bezpieczeństwa narodowego” USA.

FBI ujawnia szczegóły ataku

SEMAFOR: X Forum bezpieczeństwa i audytu IT

Już po raz dziesiąty, w dniach 30-31 marca 2017, odbędzie się organizowana przez Computerworld konferencja SEMAFOR.

Zapraszamy do udziału osoby profesjonalnie zajmujące się bezpieczeństwem systemów IT.

Jedno niewłaściwe kliknięcie pozwoliło hakerom opłaconym, według FBI, przez agentów rosyjskiej służby bezpieczeństwa FSB na uzyskanie dostępu do sieci Yahoo oraz skrzynek pocztowych e-mail i informacji prywatnych dotyczących blisko 500 milionów użytkowników tego serwisu.

Prowadzone przez FBI śledztwo w tej sprawie trwało 2 lata, ale dopiero pod koniec 2016 roku doprowadziło do ujawnienia skali tego ataku i niektórych jego autorów. 15 marca 2017, FBI oficjalnie oskarżyła 4 osoby z których dwie są agentami pracującymi w rosyjskich służbach rządowych.

Proces włamywania rozpoczął się na początku 2014 roku od wysłania phishingowego maila do jednego z pracowników Yahoo. Nie wiadomo czy i do ilu innych osób pracujących w firmie taka wiadomość została wysłana, ale wystarczyło by jedna z nich kliknęła na załączony link i atak się rozpoczął.

Zasoby firmy zaczął przeglądać łotewski haker Aleksey Belan, wynajęty przez rosyjskich agentów. Szukał on w systemie przede wszystkim bazy użytkowników Yahoo oraz narzędzi do zarządzania kontami (Account Management Tool), które służą do edycji zawartości tej bazy. Dość szybko dotarł do interesujących go zasobów.

Żeby nie utracić dostępu do sieci, Aleksey Belan zainstalował na jednym z serwerów Yahoo oprogramowanie backdoor, a następnie przetransferował na własny komputer zapasową kopię bazy danych.

Zawierała ona imiona i nazwiska, numery telefonów, pytania i odpowiedzi pojawiające się w przypadku, gdy ktoś zapomniał hasła, a przede wszystkim maile przesyłane w celu odzyskania hasła oraz unikalne klucze kryptograficzne przypisane do każdego konta.

Te dwie ostatnie informacje umożliwiły by Aleksey Belan oraz jego kolega w hakerskim fachu, Karim Baratov uzyskali dostęp do kont niektórych użytkowników Yahoo. Osoby, które budzą zainteresowanie wskazywali dwaj rosyjscy agenci Dmitry Dokuchaev i Igor Sushchin.

Narzędzie do zarządzania kontami nie pozwala na tekstowe przeszukiwanie bazy danych pod kątem nazwisk użytkowników. Hakerzy spróbowali więc wykorzystać dane z maili wysyłanych w wypadku utraty hasła, na przykład analizując domeny, które mogą dostarczyć informacji czy dany użytkownik pracuje w firmie lub organizacji będącej w kręgi zainteresowań rosyjskich agentów.

Po zidentyfikowaniu, które konta są ważne, hakerzy wykorzystali skradzione klucze kryptograficzne do generowania, za pomocą skryptu instalowanego na serwerze Yahoo, odpowiednich ciasteczek umożliwiających dostęp do konta bez potrzeby podawania hasła.

Według FBI, w latach 2015-2016 ciasteczka takie były wielokrotnie generowane. Aleksey Belan i Karim Baratov działali profesjonalnie i bez pośpiechu. Z 500 milionów kont do których mieli potencjalny dostęp wybrali tylko około 6500 (tak jest szacowana liczba wygenerowanych ciasteczek).

Wśród zaatakowanych kont znalazły się należące do rosyjskich urzędników państwowych, oficera z Ministerstwa Spraw Wewnętrznych, trenera z Ministerstwa Sportu oraz rosyjskich dziennikarzy. W kręgu zainteresowań znalazły się też osoby z innych krajów: urzędnicy z państw graniczących z Rosją, pracownicy amerykańskich agencji rządowych, pracownik firmy Swiss Bitcoin oraz osoba zatrudniona w jednej z amerykańskich linii lotniczych.

Atak został przeprowadzony z chirurgiczną precyzją. W 2014 roku, Yahoo przekazało do FBI informację o podejrzeniu, że minimalna liczba, bo tylko 26 kont (z ok. 500 milionów) zostało zaatakowanych przez hakerów. Dopiero pod koniec sierpnia 2016 roku stało się jasne jaka jest rzeczywista skala włamania i wówczas FBI uznało, że jest to bardzo poważny incydent i śledztwo znacznie przyspieszyło. W efekcie, w grudniu 2016 roku, Yahoo opublikowało nieco więcej szczegółów o skali wykrytego włamania i doradziło milionom użytkowników serwisu jak najszybszą zmianę haseł dostępu.

Szpiegowstwo pod przykrywką komercyjnych ataków

Wykorzystanie niezależnych cyberprzestępców do przeprowadzenia ataków szpiegowskich to często dobra metoda do osiągnięcia sukcesu i ukrycia prawdziwych motywów działań. Ale niesie też ryzyko ujawnienia źródeł ataku, jeśli hakerzy nie są ściśle kontrolowani przez ich zleceniodawców. A wówczas grozi to poważnymi reperkusjami politycznymi i osłabieniem wizerunku państwa na arenie międzynarodowej.

Karim Baratov nie dbał o zachowanie ostrożności. Na Instagramie chwalił się swoim domem w okolicach Toronto, który kupił za milion dolarów i publikował wiele zdjęć z kupionymi drogimi sportowymi autami – na ostatnim prezentował model Aston Martin DB9 z tablicą rejestracyjną „MR KARIM”. Nie był też staranny w ukrywaniu swojej hakerskiej profesji. Jego nazwisko pojawiało się na niektórych rosyjskojęzycznych stronach oferujących usługi włamania na konta pocztowe za 80-90 USD.

Jak FBI rozpracowało atak na Yahoo

Zdjęcia trzech z czterech podejrzanych o organizację włamania do serwera Yahoo i kradzież danych. Źródło: FBI.

Jest możliwe, że hakerzy już wcześniej zwrócili na siebie uwagę amerykańskich służb nieostrożnie przechwalając się swoimi sukcesami w internecie. Ale ostatecznym dowodem, że tak poważne włamanie miało rzeczywiście miejsce było pojawienie się na czarnym rynku internetowym, w sierpniu 2016 roku, bazy danych użytkowników serwisu Yahoo.

Operacja nie była więc przeprowadzona profesjonalnie i zgodnie z wysokimi standardami utrudniającymi wykrycie jej autorów.

Dlaczego więc rosyjscy agenci zatrudnili 22-latka z Kanady? Zgodnie z danymi zaprezentowanymi w oskarżeniu mówiącymi, że podstawą był atak phishingowy, można przypuszczać, że dobra znajomość języka angielskiego była ważnym elementem pozwalającym na dobre przygotowanie treści wysyłanej lub wysyłanych wiadomości email.

Z kolei Alexsey Belan to haker już wcześniej znany i oskarżany o włamania do amerykańskich firm zajmujących się handlem w internecie.

Wykorzystując takich ludzi, Rosjanie chcieli najprawdopodobniej ukryć prawdziwe, czyli szpiegowskie motywy włamania do Yahoo pod przykrywką typowych, komercyjnych działań cyberprzestępczych. Zwłaszcza, że niektóre skradzione przez hakerów dane dotyczące np. numerów kart kredytowych były przez nich wykorzystywane na prywatny użytek.

Karim Baratov został aresztowany w Ontario, ale nie przyznaje się do stawianych mu zarzutów. Natomiast Belan wciąż pozostaje na wolności.

Jeśli oskarżenia potwierdzą się, będzie to dobry przykład, jak Rosjanie, a pewnie nie tylko oni, wykorzystują cyberprzestępców do celów szpiegowskich, ale też jak śliski to grunt.

SEMAFOR: X Forum bezpieczeństwa i audytu IT

Bieżące zagrożenia, metody przeciwdziałania atakom i praktyczne case studies prezentowane przez znanych ekspertów ds. bezpieczeństwa zostaną przedstawione podczas cyklicznie organizowanej przez Computerworld konferencji SEMAFOR. Jej najnowsza, X edycja odbędzie się w Warszawie w dniach 30-31 marca 2017. Konferencja jest przeznaczona dla osób profesjonalnie zajmujących się bezpieczeństwem systemów IT. Zapraszamy do rejestracji i udziału w konferencji.


TOP 200