В то время как уверенность Yahoo в причастности спецслужб к взлому, произошедшему в 2014 году, подвергают сомнению, директор по информационной безопасности компании Боб Лорд (Bob Lord) подтвердил, что дамп, содержащий 200 млн учетных записей Yahoo и появившийся в продаже на теневом форуме, не связан с утечкой 2014 года.

Во время выступления на конференции Structure Security в Сан-Франциско Лорд сказал, что инциденты не связаны друг с другом; также он добавил, что компания не может подтвердить или опровергнуть то, что хакер, известный как Peace, действительно продавал базу легитимных аккаунтов Yahoo в июле-августе этого года. Лорд уточнил, что расследование в отношении работы портала The Real Deal позволило проанализировать безопасность сети и инфраструктуры Yahoo и выявить факт взлома в 2014 году.

Что же касается хакеров Peace и tessa88, которые связаны с рядом крупных утечек в этом году, оба оказались всего лишь перепродавцами похищенных данных — посредниками между взломщиками и покупателями. База, содержащая 200 млн учеток Yahoo, не была напрямую похищена из Yahoo, а была скомпилирована из многочисленных утечек с других сервисов. Попытавшись связать эту базу с утечкой из Yahoo, продавцы, вероятно, хотели создать ажиотаж и набить цену данным, уже забракованным экспертами. «Междоусобная» борьба и недоверие «коллег по цеху» привело к тому, что один из продавцов был забанен на многих теневых форумах; вероятно, из-за этого на маркетплейс The Real Deal обрушилась продолжительная DDoS-атака.

Одна из ИБ-компаний также подвергла сомнению утверждение Yahoo о том, что компания стала жертвой атаки, спонсированной спецслужбами. Андрей Комаров, главный по аналитике в InfoArmor, сказал, что утечка 2014 года была организована теми же хакерами, которые взломали LinkedIn и MySpace.

В Yahoo отказались комментировать выводы InfoArmor.

Комаров сказал, что его компания приобрела репрезентативный образец базы учеток Yahoo, скомпрометированных в 2014 году (он не уточнил, каким образом этот образец попал в InfoArmor), и проверила данные на аутентичность.

«Это оперативный источник, мы не приобретали эти данные. После анализа и верификации дампа мы уверены в его аутентичности и не предполагаем, что база, как утверждается, низкого качества и является результатом компиляции», — заверил Комаров.

Комаров сказал, что данные сохранены в формате SQL-базы, то есть взлом произошел на стороне сервера. Таким образом хакеры, взломавшие Yahoo, скорее всего, эксплуатировали уязвимость в веб-приложении.

«Это определенно не спонсируемая правительством атака», — заключил он.

Комаров называет ответственную за взлом ОПГ «Группа Е». Она в основном занимается перепродажей похищенных данных спамерам. Одним из клиентов Группы Е, однако, оказалось правительство одной восточноевропейской страны. Его представители, как говорит Комаров, приобрели данные об официальных лицах правительственных и оборонных организаций, а также посольствах США; возможно, из-за этого в Yahoo подумали, что за атакой стоят спецслужбы.

На прошлой неделе Yahoo сообщила, что в 2014 году на ее сеть была произведена атака, в результате которой злоумышленники скрылись с 500 млн учетных данных пользователей. В блоге Лорд написал, что были скомпрометированы имена, email-адреса, телефонные номера, даты рождения, хешированные пароли, а также проверочные вопросы для восстановления пароля (как в зашифрованном, так и в незашифрованном виде). Большинство паролей хешированы по алгоритму bcrypt, но некоторые были хешированы при помощи более устаревшего и уязвимого MD5.

Алекс Холден, учредитель и главный директор по безопасности в Hold Security, заявил, что удивлен тем, что Yahoo решила обнародовать информацию о взломе: в данный момент на черном рынке не продаются данные Yahoo. Холден рассказал, что в июле ему на глаза попадались скомпрометированные учетки пользователей Yahoo, но тогда было неясно, были ли те данные украдены напрямую из Yahoo. Как он подчеркнул в беседе, нет никаких свидетельств причастности спецслужб к атаке.

«У нас нет никаких подтверждений причастности спецслужб к взлому, но мы предполагаем, что Yahoo может быть известно чуть больше, чем нам», — сказал Холден. Он добавил, что спонсируемые государством хакеры обычно не перепродают данные на черном рынке.

«Если бы во всем были виновны спецслужбы, то они бы наверняка нашли способ использовать утечку для того, чтобы максимально навредить Yahoo, — сказал Холден. — Но тогда публикация утекших данных на хакерских форумах не имела бы смысла. Это не похоже на действия спецслужб. Это больше похоже на работу любителей, а не на четко спланированные действия. Анализируя взломы OPM и Anthem, можно согласиться с тем, что спецслужбы проводят изощренные и сложные атаки».

Комаров сказал, что tessa88 и Peace — всего лишь посредники, перепродающие утекшие данные желающим. По его словам, хакер под ником tessa88 связан с Группой Е. Есть свидетельства, что tessa88 — русский(-ая), занимающийся перепродажей русскоязычным заказчикам, а Peace — его (ее) коллега, отвечающий за продажи англоязычным клиентам.

Tessa88 и Peace предположительно заключили партнерство в мае, как считает Комаров. Оба занялись перепродажей скомпрометированных учетных данных MySpace, LinkedIn, Tumblr и Fling.com. Между ними начались конфликты, и в июне tessa88 забанили на нескольких форумах за продажу низкокачественных баз.

В августе Peace впервые заявил о доступности дампа Yahoo из 200 млн записей; похищенные данные были размещены для продажи на киберпреступном маркетплейсе The Real Deal всего за 3 биткойна. Как сказал Комаров, необычно низкая цена насторожила его. Он добавил, что большей частью дамп представлял собой данные несуществующих или устаревших аккаунтов, а сами участники Группы Е отказались от своих обещаний предоставить данные Yahoo.

«Все эти рассказы про 200 млн скомпрометированных учеток — [полная ерунда], — сказал Комаров. — Эти данные никак не связаны с утечкой, произошедшей в 2014 году. Мы проанализировали существенную часть дампа, и выяснилось, что дамп собран по кусочкам в результате утечек сторонних сервисов. Эта большая коллекция различных аккаунтов была структурирована таким образом, чтобы напоминать формат базы Yahoo, что и стало причиной путаницы».

По словам Комарова, Группа Е, скорее всего, состоит из пяти человек, обладающих различными компетенциями и обязанностями. Например, один из членов группировки не обладает глубокими техническими познаниями и занимается исключительно монетизацией похищенных данных. Четверо остальных — профессиональные программисты: один из них специализируется на эксплойтах веб-приложений, другой — на проникновении в сети, третий — на разработке парсеров и средств слива данных, четвертый является инженером баз данных. Все данные хранятся централизованно; клиентами Группы Е в основном являются спамеры.

«У участников Группы Е нет ников на киберпреступных форумах. Они работают скрытно и взаимодействуют с заказчиками только через проверенных клиентов, — сказал Комаров. — Они очень аккуратны и предпочитают действовать максимально осторожно».

Категории: Аналитика, Хакеры