Устранение конкурентов, месть или самоутверждение
Один из крупнейших русскоязычных киберпреступных форумов Maza стал жертвой хакерской атаки — об этом передает «Коммерсантъ» со ссылкой на ИБ-компанию Flashpoint Intel, которая первой обнаружила взлом.
Неизвестным злоумышленникам удалось слить в общий доступ личные данные около 2 тыс. хакеров, принадлежащих к элитному сообществу. В базе содержатся логины, пароли, электронные почты, а также контакты пользователей в мессенджерах.
Сообщение о том, что персональная информация участников форума похищена, было размещено на одной из страниц ресурса. Исследователи Flashpoint отметили, что послание было переведено на русский язык с помощью онлайн-переводчика, что дает основания полагать, что за взломом стоят не русскоязычные злоумышленники.
Mazafaka — Elite Hacking and Cybercrime Forum — Got Hacked!: In what's a case of hackers getting hacked, a prominent underground online criminal forum by the name of Maza has been compromised by unknown attackers, making it the fourth forum to have been… Twitter Twitter
— Toby Lerone (@TLerone79) March 5, 2021
При этом доподлинно выяснить, кто именно стоял за атакой, не представляется возможным. Взломы хакерских форумов случались и ранее, мотивы при этом чаще всего были связаны с повседневной деятельностью злоумышленников. В первую очередь — с конкуренцией между площадками и их пользователями, а также между хакерскими группировками, заявил «Газете.Ru» операционный директор центра мониторинга и реагирования на киберугрозы Solar JSOC компании «Ростелеком» Антон Юдаков.
«Подобные действия могут быть актом устранения конкурентов на мировой сцене, но могут быть и проявлением хактивизма, в том числе борьбы со злоумышленниками их же способами. Подобные методы публичного взлома непосредственно правоохранительными органами как правило не используются, но исключать такую возможность тоже нельзя», — сообщил эксперт.
«Несмотря на огромное количество теорий вокруг данного кейса, я склоняюсь к версии, что это, скорее всего, месть. Либо за то, что кому-то на форуме не заплатили за работу, либо из-за каких-то внутренних разногласий. На мой взгляд, если бы речь шла о поиске выгоды, то гораздо логичнее было бы данные забрать и не разглашать информацию. Здесь же поступили ровно наоборот: прямо всем сказали, что их взломали: значит хотели показать что кто-то лучший, а остальные — посредственности. Предположу, что после происшествия 90% просто сменят контакты, логины-пароли и все», — считает ведущий эксперт направления «Информационная безопасность» ИТ-компании КРОК Александр Черныхов.
«Узнав о взломе Maza, я вспомнил результаты одного из хакатонов Positive hack days, когда победила команда хакеров, тактика которых сильно отличалась от тактики остальных, — рассказывает директор по корпоративным продажам ESET в России Антон Пономарев. — Пока остальные участники для решения задачи пытались украсть «спрятанные» организаторами данные за несколькими эшелонами безопасности, победители взломали соперников и выкрали всю собранную ими информацию. В результате они стали обладателями самого большого массива данных об обнаруженных уязвимостях цели.
В случае с Maza нельзя исключать, что хакеры-взломщики могли действовать по заказу, и целью были специфические данные из информационных баз своих же коллег.
При этом кража информации и инструментов, конечно же, не единственная возможная цель этой атаки. Не стоит забывать, что хакеры — вовлеченные люди и порой взламывают просто из спортивного интереса и ради адреналина».
Хакерские ресурсы — в зоне риска
Взломы хакерами других хакеров, являющихся по сути «коллегами» друг другу, далеко не редкость. По словам генерального директора компании Phishman Алексея Горелкина, хакерские атаки — это бизнес, завязанный на больших деньгах.
«Да, среди киберпреступников есть некий процент альтруистов и идейных, но доля таких персонажей в хакерском сообществе крайне низка. Поэтому искать причины того, почему хакеры взламывают хакеров, следует прежде всего в контексте денег», — заявил Горелкин.
По его словам, взломать ресурс вражеской группировки можно, чтобы похитить инвентарь для хакерских атак. Всевозможные инструменты взломщики могут использовать сами, а могут продавать найденные эксплойты другим хакерам или даже производителям ПО, чтобы те заплатили за возможность залатать бреши в системах безопасности своих продуктов, используемые этими эксплойтами.
Во-вторых, при помощи взлома можно захватить мощности, используемые для хакерских атак. Кроме того, подобные эпизоды могут быть инициированы ради пиара и в целях демонстрации могущества: клиенты хакеров тоже отслеживают ситуацию на рынке и охотнее заказывают услуги у группировок, которые на слуху.
«С чем или с кем можно связать взлом форума Maza? Какое-то время назад хакеры предприняли масштабную и очень эффективную атаку на компании в сфере кибербезопасности. Они мимикрировали под ИБ-консультантов — соорудили сайт вымышленной фирмы по противодействию нападениям хакеров, начали вести толковый канал на YouTube и искусно заманили опытных и заслуженных «кибербезопасников» в западню. Они попросили представителей сообщества, которое сформировали, установить себе на компьютеры специальное ПО для поиска эксплойтов, что жертвы послушно исполнили.
Таким образом хакеры узнали, какой софт используют специалисты по кибербезопасности, а значит, получили важные исходные данные, как можно обойти защиту каждой конкретной компании.
Если стать немного параноиком, то можно предположить: та атака и взлом Maza — звенья одной цепи, в ходе которой некто собирает информацию по обе стороны баррикад», — считает собеседник «Газеты.Ru».
Чтобы рассуждать о целях, которые преследуют киберпреступники при атаке на «себя подобных», CEO и сооснователь компании StormWall Рамиль Хантимиров предлагает сначала разобраться, кто такие «хакеры».
«В данном контексте это просто мошенники и другие злоумышленники, которые пользуются интернет-технологиями для незаконного обогащения, и совсем необязательно это ИТ-профессионалы с высоким уровнем подготовки. В сети существует множество «хакерских» форумов. Но их основной контингент, а часто и администрация, — это так называемые «скрипткидди» — то есть не опытные специалисты, а просто пользователи вредоносных программ, которые используют готовые инструменты для взлома.
Ресурсы для хакеров традиционно находятся в зоне повышенного риска: они активно конкурируют друг с другом, и по понятным причинам выливается это чаще всего в DDoS-атаки и попытки взлома.
Кроме того, хакеры, «обитающие» на этих площадках, любят соревноваться друг с другом и строить на подобных взломах и «сливах баз пользователей» свою репутацию, которую в дальнейшем монетизируют на черном рынке, продавая свои услуги. Таким образом, взлом мог быть частью конкурентной борьбы, однако не стоит недооценивать и менее мотивированные сценарии», — заявил Хантимиров.