США обвиняет во взломе серверов Yahoo в 2014 году хакеров из России и Казахстана


1f08187179ac37b01b18d9d97ec983b0.jpg

Летом 2016 года компания Verizon Communications Inc. решила купить основной интернет-бизнес корпорации Yahoo. За все активы потенциальный покупатель предложил Yahoo $4,83 млрд. В числе прочих активов Verizon должны были отойти почтовый сервис, поиск, новостной и спортивный портал, финансовые инструменты и мессенджер Yahoo.

Но уже осенью того же года договоренность была поставлена под угрозу: стало известно о масштабном взломе серверов Yahoo, в результате которого данные 500 млн пользователей сервисов компании были скомпрометированы. Причем взлом был произведен не в 2016, а в 2014 году. На время разбирательства сделка между Verizon и Yahoo была приостановлена (на днях появилась информация о том, что она близка к завершению). Спустя некоторое время в Yahoo пришли к выводу, что злоумышленники, которые взломали сервера корпорации, представляли интересы какого-то государства.
Параллельно с Yahoo свое расследование проводили специалисты Министерства юстиции США. Чиновники решили изучить случившееся, поскольку в числе прочих учетных записей злоумышленники скомпрометировали аккаунты более чем 150 000 членов правительства, правоохранителей и военных США и других стран.

На днях СМИ сообщили о том, что представители Министерства юстиции США завершили расследование. По его результатам были выдвинуты обвинения в отношении двух сотрудников ФСБ — Дмитрия Докучаева и Игоря Сущина. Официальная должность майора Докучаева — старший оперуполномоченный 2-го отдела оперативного управления Центра информационной безопасности (ОУ ЦИБ) ФСБ России. По данным «Ведомостей», оперативный работник Центра информационной безопасности (ЦИБ) ФСБ Докучаев в декабре прошлого года был арестован по делу по ст. 275 (государственная измена) вместе с Сергеем Михайловым, начальником отдела ЦИБ, заместителем руководителя центра. Что касается Сущина, то американцы считают его начальником Докучаева. Также он был агентом под прикрытием и главой информационной безопасности в одном из российских инвестиционных банков.

Кроме того, соучастниками взлома посчитали гражданина России Алексея Белана и гражданина Казахстана Карима Буратов. В этот вторник Буратова арестовали правоохранители Канады. Кстати, Алексей Белан попал в санкционный список лиц, которых США обвиняют в совершении киберпреступлений, представляющих опасность для стабильности и благополучия этого государства. За информацию о его местонахождении ФБР предлагает $100 000. Санкционный список был подписан предыдущим президентом США Бараком Обамой.

Алексей Белан, насколько можно понять из заявлений правоохранителей США, является ключевой фигурой во всем этом деле. Американцы утверждают, что именно он смог проникнуть в сети Yahoo, получив доступ к базе данных пользователей и инструменту по работе с аккаунтами, который называется Account Management Tool. Этот внутренний сервис компании позволяет менять некоторые параметры учетных данных пользователей системы, включая пароли.

Кроме того, злоумышленники получили в свое распоряжение еще один инструмент, который позволил им подделывать куки определенных аккаунтов пользователей, получая доступ к этим учетным записям без пароля. Все дело в том, что база данных пользователей генерирует для каждого из аккаунтов криптографический ключ. Его можно использовать для генерации куки, связанных с аккаунтом. Этот способ и применили злоумышленники.

2b41e9cc60bda29baf2f18478fc9cee6.jpg
Список лиц, обвиняемых в компрометации учетных записей сотен миллионов пользователей Yahoo. Слева направо: Дмитрий Докучаев, Игорь Сущин, Алексей Белан, Карим Баратов (Источник: Arstechnica)

В ФБР считают, что Белан загрузил всю базу данных пользователей на собственный компьютер по FTP. Сделал он это с ноября по декабрь 2014 года.

Сотрудники ФБР утверждают, что перехватили электронное сообщение, которое Докучаев отправил Сущину в июле 2015 году. В этом письме содержалась подробная инструкция по генерации куки для определенных учетных записей Yahoo. Основным программным инструментом здесь служил плагин для Firefox, который называется Advanced Cookie Manage. Белан, как утверждают представители ФБР, использовал куки для получения доступа к более, чем 6500 пользовательским учетным записям.

Из всего полумиллиарда скомпрометированных учетных записей, по мнению представителей правительства США, злоумышленникам были нужны лишь аккаунты некоторых российских журналистов, российских и американских чиновников, сотрудников крупной российской антивирусной компании и ряда сотрудников интернет-компаний России и США.

Один из обвиняемых в совершении взлома Yahoo, как считают в ФБР, использовал доступ к аккаунтам компании для личных целей. В частности, он анализировал переписку пользователей с целью поиска номеров кредитных и подарочных карт, перенаправлял поисковый трафик Yahoo (определенную часть трафика) для получения комиссии. Кроме того, сотрудники бюро уверены в том, что этот же человек продал базу из 30 млн скомпрометированных учетных записей спамерам.

Джон Беннет, специальный агент ФБР, заявил в одном из интервью интернет-изданию Ars ЕTechnica, что бюро пока не знает, как именно связан Кремль с происшедшими событиями.

По информации «Новой Газеты», арест полковника Михайлова и майора Докучаева связан с деятельностью группировки хакеров «Шалтай-Болтай». Эта группа связана со взломами личных переписок Дмитрия Медведева, вице-премьера Аркадия Дворковича, чиновников администрации президента, Минобороны, Роскомнадзора. Интересно, что Докучаев с 2005 года вел под ником Forb рубрику «Взлом» в журнале «Хакер».

В одной из своих статей он писал следующее: «В моем понимании слово «хакер» — разносторонне развитый человек, который знает теорию сетевых ошибок и успешно применяет свои знания на практике. Помимо этого, хакер должен владеть навыками программирования, неплохо знать, как минимум, две операционные системы и, конечно же, иметь большие связи и влияние у других взломщиков».

© Geektimes