Волки в полицейской шкуре
Преступники все чаще воруют персональные данные при помощи фальшивых полицейских запросов
Эксперты обеспокоены резким ростом случаев хакерства нового типа. Преступники получают персональные данные клиентов у ведущих технологических компаний, отправляя им фальшивые запросы от имени правоохранительных органов. Заправляют схемой подростки. Их жертвами чаще всего становятся тоже подростки, попадающие в зависимость от педофилов.
Постоянные попытки правоохранительных органов разных стран получить от телекоммуникационных провайдеров персональные данные пользователей, оказывается, считают серьезной проблемой не только правозащитники, но и эксперты в области кибербезопасности. Последние отмечают тревожную тенденцию: обыденностью таких запросов для провайдеров все чаще пользуются хакеры, которые маскируются под представителей правоохранительных органов и получают ту же информацию, что традиционно запрашивают (и получают) представители полиции, контрразведки и иных компетентных ведомств.
В конце марта и начале апреля сразу несколько организаций, в том числе агентство Bloomberg и интернет-проект Krebs on Security, сообщили о результатах собственных расследований этого феномена, который некоторые эксперты называют самым новым видом хакерских атак. Опыт последних полутора лет говорит, что получение хакерами персональной информации таким образом становится все проще. И несмотря на то, что о преступниках известно очень многое — кто они, как они действуют, как применяют полученную информацию,— справиться с ними не удается.
Обмануть Apple не просто, а очень просто
В списке технологических гигантов, которые как минимум с января прошлого года подвергались такого рода атакам, эксперты называют Apple, Meta Platforms (признана в России экстремистской организацией), Google, Snap, Twitter и Discord.
Для достижения своих целей преступники используют экстренные запросы на предоставление данных (Emergency Data Request, EDR). В отличие от стандартных запросов, EDR не нужно заверять в суде. Любой представитель правоохранительных органов может отправить составленный по определенной форме запрос в любую соответствующую компанию или социальную сеть. Поскольку EDR не заверен судом, компании, в принципе, не обязаны их удовлетворять. Тем не менее в данном случае работает простая психология.
«У нас есть стандартная юридическая процедура по получению документов,— объясняет бывший прокурор Министерства юстиции США Марк Раш.— Но есть и экстренная процедура, почти такая же, какую можно увидеть в сериалах, когда полицейским необходима информация немедленно. У провайдеров на этот случай все готово. Они публикуют номера факсов или иную контактную информацию для полиции… Нет только реального механизма валидации… ордера или запроса. И в том случае, когда все выглядит нормально, информация предоставляется».
Технологических гигантов защищает и главный директор по исследованиям компании Unit 221B, специализирующейся на кибербезопасности, Эллисон Никсон. «Всякий раз, когда одна из этих компаний вот так облажалась, в центре проблемы был человек, который пытался поступить правильно,— говорит она.— Не могу даже сказать, сколько раз команды доверия и безопасности тихо спасали жизни, поскольку их сотрудники проявляли… гибкость, реагируя на некую трагическую ситуацию, которая происходила с пользователем».
Обычно EDR направляются провайдерам в случаях, когда время имеет первостепенное значение: захват заложников, предотвращение неминуемого теракта, поиск похищенного ребенка и т. д. В технологических компаниях это учитывают, поэтому, судя по всему, не перепроверяют запрос и в большинстве случаев его удовлетворяют.
Судя по данным, которые публикуют сами компании, в период с июля по декабрь 2020 года Apple получила 1162 экстренных запроса на предоставление информации. Удовлетворены были 93%.
Meta, со своей стороны, удовлетворила 77% из 21 700 EDR, полученных с января по июнь 2021 года.
Все, что требовалось от хакеров,— обнаружить уязвимую полицейскую почтовую сеть (в одних США 17 тыс. независимых полицейских управлений), часто иностранную, найти там более или менее типовые экстренные запросы, подделать подпись или даже вовсе изобрести несуществующего полицейского и отправить запрос с фальшивого, но очень похожего на настоящий адреса, условно, в Apple или Google. Дальше — ожидание ответа, который, как уже говорилось, обычно хакеров удовлетворяет.
Молодая гвардия хакеров
У экспертов, занимающихся проблемой, практически нет сомнений относительно того, кто стоит за этой схемой. Чаще всего называют (ссылаясь на объявления на более или менее известных хакерских досках объявлений) группировку хакеров-подростков Infinity Recursion, и еще более известную LAPSUS$, в которую, как говорят, перебрались те, кого не смогли достать при разгроме IR. Именно участники LAPSUS$ взломали недавно такие крупные и важные технологические компании, как Microsoft, Okta, Nvidia и Vodafone.
Создателем IR (и, видимо, LAPSUS$) был 14-летний подросток из Великобритании, известный под никнеймом Everlynn. Именно он в своих объявлениях предлагал услуги по предоставлению «требований и ордеров», обещая получение информации «из любого правоохранительного органа».
Стоимость одного такого запроса Everlynn оценивал от $100 до $200, оговаривая, что с компанией Discord он не работает, а за работу с Google берет больше.
Эксперты говорят, что это Everlynn продавал товар по ценам выше рыночных.
«Подпольные магазины в даркнете предлагают скомпрометированные почтовые аккаунты правоохранительных органов вместе с кукис и метаданными по всему миру по цене от $10 до $50»,— утверждает гендиректор компании Resecurity Inc Джин Ю.
По его словам, в прошлом году хакеры атаковали множество правоохранительных органов, используя ранее неизвестную уязвимость почтовых серверов Microsoft Exchange. Впрочем, высокая цена, которую запрашивал Everlynn, вполне объяснима: его товар был лучше того, что предлагали конкуренты.
Молодые помогают педофилам
Технологические компании передавали по фальшивым запросам более или менее стандартный пакет информации: имя, фамилия, IP-адрес, иногда — домашний адрес, номер телефона, логин в сети. Этой информации бывает достаточно для того, чтобы проникнуть в аккаунт, а иногда и получить доступ к компьютеру и всей информации, содержащейся на жестком диске. Тот факт, что за мошеннической схемой стояла группировка LAPSUS$, заставила экспертов в первую очередь думать о том, что цель хакеров — получение финансовой информации и банальное хищение средств с банковских карт и т. д. Однако, как говорят источники Bloomberg, близкие к расследованию, по мере расследования картина становилась все более пугающей.
Жертвами становились дети и женщины.
Хакеры, получая доступ к информации, заставляли жертв делать свои интимные фотографии, вступать в сексуальные разговоры с незнакомцами и так далее. Речь фактически шла о так называемой подготовке несовершеннолетних по заказу или заданию (информация о деталях расследования максимально размыта и неконкретна в интересах продолжающегося следствия) педофилов и насильников.
Довольно часто это происходило тоже от имени представителей правоохранительных органов. Тех, кто отказывался подчиняться, запугивали передачей информации об их личной жизни (а у жертв складывалось впечатление, что их противники обладают огромным массивом информации, даже если в действительности это было и не так) родителям, учителям, знакомым в школе или в тех же социальных сетях. Серьезность своих намерений иногда подтверждали, используя такую форму запугивания жертв, как суоттинг (от английской аббревиатуры SWAT — ОМОН). По домашнему адресу или в школу хакеры вызывали отряды полиции срочного реагирования, тем самым демонстрируя свои возможности.
Кроме того, хакеры, как говорят источники, близкие к расследованию, занимались и буллингом, размещая информацию о своих жертвах на специальных сайтах и призывая прочих пользователей всячески преследовать их, посылая угрожающие или оскорбительные сообщения и делая соответствующие звонки.
Проблема без решения?
Пока правоохранительные органы ведут свое расследование, эксперты в области кибербезопасности обсуждают возможности борьбы с новым видом хакерских атак.
Для конечных жертв хакеров рекомендации экспертов неутешительные. Они никак не могут обезопасить себя от такого рода атак.
Как сказал один из экспертов, единственным способом избежать такой атаки для пользователя — не иметь аккаунта в социальной сети, на которую нацелились хакеры.
У прочих жертв этой схемы шансы по предотвращению атак чуть выше, но пока тоже не очевидны. В мире десятки, если не сотни тысяч самых разных правоохранительных органов — от полицейских управлений небольших городов в разных странах мира до общегосударственных структур, также имеющих множество отделений. Международные технологические компании обязаны так или иначе контактировать со всеми такими учреждениями в странах своего присутствия. При этом в разных странах мира законодательная база о запросах и передаче пользовательских данных, естественно, разнится.
«Нет одной системы или какой-то централизованной системы для подачи подобных запросов,— говорит Джаред Дер-Егиаян, бывший сотрудник Министерства внутренней безопасности США, а теперь директор компании Recorded Future Inc.— Каждое отдельное ведомство решает такие вопросы по-своему».
Как показывает опыт, у многих технологических компаний существуют специальные порталы для взаимодействия с правоохранительными органами. Тем не менее даже они, по словам господина Дер-Егиаяна, круглосуточно принимают запросы по факсу или электронной почте.
Apple, к примеру, принимает все юридические запросы по почте, и, как говорится в соответствующих правилах компании, они рассматриваются, «при условии того, что (запрос.— "Ъ") передан с официального электронного адреса запрашивающего ведомства».
У запрашивающих органов практически нет возможности скоординировать свои действия и упорядочить систему подачи запросов. Поэтому весь груз по проверке подлинности запросов лежит на технологических компаниях. До сих пор у них не было особых стимулов для того, чтобы принимать какие-то специальные меры. Тем более что меры эти очень ограничены. Компании могут, к примеру, требовать обязательной электронной подписи на каждом из запросов, но не все правоохранительные органы (вспомним о небольших полицейских управлениях в США или Британии) могут выполнить эти требования. Другой путь — система дополнительных подтверждений, схожих с теми, которые теперь все чаще требуют от своих пользователей сами социальные сети или банки. Однако и он не гарантирует полной защиты и, кроме того, не во всех случаях возможен.
По мнению Эллисон Никсон из Unit 221B, потенциальное решение проблемы использования фальшивых запросов будет найти сложно. Тем не менее давление на технологические компании для того, чтобы они активизировали работу в этом направлении, усиливается. Еще в июле 2021 года три сенатора от обеих партий — демократы Рон Уайден, Шелдон Уайтхаус и республиканец Том Тиллис — представили законопроект о цифровой аутентификации судебных запросов, который как раз и касался проблемы рассылки фальшивых запросов. Однако большого интереса он тогда не вызвал. Уже после появления новых публикаций о росте числа случаев получения личной информации по фальшивым запросам сенатор Уайден, занимающий пост главы сенатского комитета по финансам, выступил с заявлением, в котором снова привлек внимание к этой проблеме: «Никто не хочет, чтобы технологические компании отказывали законным экстренным запросам о предоставлении информации, когда под угрозой чья-то безопасность. Но нынешняя система имеет очевидные недостатки, на которые необходимо обратить внимание».