Хакеры, кредитные карты и СМИ

В последние пару недель в Израиле вошла в моду интересная разновидность "хакинга". Всё началось с публикации данных о нескольких тысячах кредитных карт (из предполагаемых 400 тысяч). Потом были опубликованы реквизиты систем SCADA, использующих учётные данные по умолчанию, а затем произошла DDoS-атака на сайты фондовой биржи Тель-Авива и ElAl Airlines.

Мы нарочно называем эти события "хакингом". Далее приводится общий анализ произошедшего, частичный анализ последствий и прогноз того, как подобные события будут продолжаться и прогрессировать.

Анализ произошедших событий

Начнём с главного: новость об утечке информации о кредитных картах, с которой всё началось, была ненастоящей. Все записи относятся к ранним атакам на различных плохо защищённых интернет-мерчантов (в основном на сайты с купонами), которые хранили информацию о кредитных картах (нелегально) небезопасным образом (наказуемо). "Новость" об утечке была скомпилирована из тех записей, а также публикации "Кибервойны против Израиля". Ничем не примечательное событие превратилось в нечто достойное новостей благодаря... самим новостям. СМИ привлекли к ним совершенно беспрецедентное внимание, а количество "киберконсультантов" (я не выдумываю), дававших пустые интервью, создавало впечатление, что индустрия информационной безопасности в Израиле в десять раз больше, чем на самом деле.

Для человека или людей (0xOmar), которые публиковали эту несвежую информацию, это было победой – именно тем, что они искали. На этом бы и закончилось, если бы не два события:

1. Цитата вице-министра иностранных дел, Дани Аялона, где он говорил, что эту атаку следует считать террористическим актом

2. Несколько групп хакеров-дилетантов, решившие отомстить держателям кредитных карт из Саудовской Аравии

Оба происшествия можно считать проявлениями своеобразного коленного рефлекса и ни в коем случае не продуктивными действиями (ни стратегическими, ни тактическими). Тем не менее, результатом сочетания этих происшествий и раздувания публикаций в СМИ стало развитие описанных событий.

Следующее событие, хотя и не было развитием, продемонстрировало, что 0xOmar фактически стал брендом вроде Anonymous, когда стали публично доступны предположительно действующие логины к израильским системам SCADA и почтовые адреса домена gov.il. Эта утечка, которая в тот момент не ассоциировалась напрямую с 0xOmar, получила поддержку некоторых аккаунтов Anonymous в Twitter, где эти события помечались новым хэштэгом #fuckIsrael.

Глядя на утечку SCADA, легко заметить, что системы, о которых идёт речь, на самом деле не имеют отношения к SCADA: это системы управления контентом, какие-то беспроводные роутеры, установленные в жилых домах, и система аренды автомобилей. Все электронные адреса и пароли (и хэши тоже) взяты из утечки STRATFOR, которая случилась парой недель раньше (и тогда в ней тоже не было никаких тонн действительно интересной информации об израильтянах).

Тем не менее, внимание СМИ достигло своего апогея, и попытки вычислить, кто такой 0xOmar, ещё больше раскормили эго того, кто стоял за этой кличкой. К тому же на него обратил внимание бренд Anonymous, новые группировки стали присоединяться к веселью, и на последнем этапе развития событий впервые были произведены реальные действия против израильских учреждений – DDoS-атаки на сайты фондовой биржи и ElAl. И снова – выбор жертв не случаен: оба сайта хорошо известны и прочно ассоциируются с израильскими СМИ по всему миру (финансы и государственные авиалинии). Такие стратегические цели подходят не для классической "кибервойны", а скорее для "медиавойны".

Эта последняя атака, хотя и не принесла почти никакого вреда, обязана была поставить много неудобных вопросов перед ответственными за информационную безопасность, которые не опознали вовремя угрожающие группировки, выступившие против них (особенно в свете внимания СМИ), и привлечь внимание к защите от этих группировок. К тому же тактики смягчения таких атак известны уже очень давно, и решения очень просты.

Эскалация конфликта и поводы для неё

С атакующей стороны развитие уже началось . Мы видим, как ещё больше группировок, ранее не ассоциировавших себя с 0xOmar, входят в игру – особенно сейчас, когда она расширилась и получает больше медийного внимания от разных анонимных объединений. Эти группировки увеличивают угрожающее сообщество, которое теперь стало частью модели угрозы, стоящей перед израильскими организациями, с учётом их объединённого потенциала атаки.

Мы ожидаем, что атаки продолжатся – особенно если продолжится освещение их в СМИ в прайм-тайм. Кроме того, группировки, которые ещё не решили, вступать ли им в игру, вступят с большей вероятностью, если со стороны Израиля последует ответный удар. Этим ответом могут стать новые попытки вычислить 0xOmar с помощью дипломатических связей, атаки на хакерские форумы, связанные с последними событиями, или что угодно, что можно представить как нарушение прав в глазах мирового сообщества.

Атаки же будут развиваться с помощью присоединения новых группировок, которые принесут с собой новые возможности и смогут инициировать более целенаправленные атаки на лучшие стратегические объекты. В то время как до сих пор атаки были направлены на публичную огласку, в дальнейшем они могут развиваться в следующей последовательности: финансовые компании, ИБ, правительство и, наконец, знаменитые люди.

Мы надеемся, что данный анализ прольёт свет на мотивацию и реальные последствия недавних событий и предотвратит эскалацию конфликта – как со стороны локальных хакерских группировок и медиа, так и от различных объединений, которые внезапно оказались в одной упряжке в ходе этих событий.