Подстава века или таинственная история взлома Ситибанка

nyafyeetluzabwuvr5-tu_6sxbu.png

Было время, когда хакеры промышляли взломом ради удовлетворения собственного любопытства и исследовательского зуда, а вред, который могли причинить вредоносные программы, ограничивался переворачиванием изображения на экране вверх тормашками и доносящимися из динамика компьютера неприличными звуками. Потом времена изменились, и на первое место вышли корыстные мотивы. Киберпреступность взяла на вооружение самые современные методы взлома, и одной из основных целей хакерских атак стали банки. Как говорится, just a business, ничего личного.

Один из самых громких случаев взлома банков — далеко не первый, но получивший широкую огласку в СМИ — случился еще в 1994 году, и имел, как принято говорить сейчас, «русский след». 30 июня 1994 года выпускник Ленинградского технологического института, 27-летний микробиолог Владимир Левин вторгся в компьютерную систему американского «Ситибанка», и в течение пяти месяцев похитил с клиентских счетов более 12 млн. долларов. При этом порядка четверти миллиона до сих пор не найдено, несмотря на старания сотрудников ФБР, которые принимали активное участие в расследовании инцидента. Поскольку злодей не уделял достаточного внимания собственной анонимности, фэбээровцы довольно быстро выяснили, что взлом осуществлялся из помещения питерской компьютерный фирмы «Сатурн СПб», а с помощью сотрудников МВД России быстро установили личность хакера. Им и оказался сотрудник этой небольшой компании Владимир Леонидович Левин, 1967 года рождения, проживавший с родителями в скромной квартире на Светлановском проспекте. Так как в российском Уголовном кодексе того времени отсутствовала статья за компьютерные преступления, привлечь Левина к ответственности не представлялось возможным. Чтобы арестовать хакера, сотрудники спецслужб решили выманить его за границу, для чего затеяли целую психологическую игру. Они заставили задержанных подельников звонить Левину по телефону с сообщениями, что его вот-вот поймают, а их российские коллеги натравили на Владимира братков, требовавших поделиться нетрудовыми доходами. Не выдержав такого прессинга, Левин решил сбежать в Великобританию к знакомому своей матери, где и был задержан прямо в аэропорту Стэнстед, едва спустившись с трапа самолета. Произошло это 3 марта 1995 года.

txsnxr6rs5denmovsias9ylwree.jpeg

Надо сказать, что данный взлом осуществлялся по всем правилам классических киберпреступлений: деньги небольшими порциями переводились на счета в других банках, а затем обналичивались с помощью дропов или «мани мулов» — нанятых курьеров, снимавших украденные средства со своих пластиковых карт или банковских счетов наличными. При этом сами дропы не были знакомы с нанимателями: обычно их используют «в тёмную», предлагая подработать в качестве посредников при выполнении денежных переводов, или прикрывая подобную деятельность какой-нибудь легендой вроде финансовой пирамиды. Все взаимодействия между киберпреступниками и дропами происходит дистанционно. Соответственно, «денежных мулов» полиция ловит в первую очередь, что и произошло в случае с Левиным: задержанные начали давать показания. Правда, они мало чем помогли полицейским, кроме, разве что, понимания масштабов аферы и возможности вернуть пострадавшим большую часть похищенного. Именно этим, в частности, и объясняется столь малый срок, полученный «русским хакером» за совершенное им преступление.

Отсидев чуть больше 12 месяцев в британской каталажке, Владимир Левин был экстрадирован в США, где суд назначил ему 3 года лишения свободы. Но ещё до этого, благодаря многочисленным публикациям СМИ, Левин заработал репутацию величайшего и крутейшего хакера современности, встав в один ряд с Кевином Митником, Джонатаном Джеймсом и прочими парнями, оставившими свой след на пыльных тропинках далёких планет мировой киберпреступности. Казалось бы, бдительность сотрудников «Ситибанка» и профессионализм агентов ФБР позволили быстро раскрыть «преступление века» и вернуть большую часть украденного своим законным владельцам. Но есть в этом деле пара тёмных пятен, которые не позволяют сказать, что мировой общественности известны абсолютно все детали этого громкого киберпреступления.

Во-первых, несмотря на все старания, дознавателям так и не удалось откопать в недрах банковских серверов следов действия вредоносных программ. Кроме того, по свидетельствам знакомых, фидошник Левин не производил впечатления компьютерного гения, да и в компании «Сатурн СПб», где он трудился сисадмином, звезд с неба не хватал. Возникло предположение, что причиной взлома «Ситибанка» стал человеческий фактор, возможно, социальная инженерия, методы которой успешно использовал на практике еще старина Кевин Митник. Говоря по-простому, сотрудникам банка просто задурили голову, выманив у них информацию, необходимую для доступа клиентским счетам.

И вот тут-то возникает второй вопрос, который ставит под сомнение всю эту широко разрекламированную историю про гениального русского хакера, провернувшего на известном месте банковскую систему Соединенных Штатов Америки. Дело в том, что Владимир Левин в достаточной степени не владел английским языком. И в школе, и в институте он учил французский, а язык Шекспира знал на уровне «Ландан из зэ кэпител оф Грейт Британ» и чтения технической документации со словарем. По слухам, разговорный английский он смог выучить, уже находясь в американской тюрьме, благо, там у него появилось для этого достаточно свободного времени. Напрашивается вывод: сам Владимир Левин вряд ли мог использовать социальную инженерию или изощренный хакерский инструментарий для совершения этого преступления. В пользу такого вывода говорит и тот факт, что после ареста сотрудники ФБР пытались привлечь Левина к сотрудничеству, однако крепко обломались. Не потому, что русский хакер отказывался работать на спецслужбы вероятного противника, а потому, что оказался бесполезен — его квалификация не позволяла принять деятельное участие в дальнейшем расследовании. Так кто же тогда взломал «Ситибанк»?

Достоверных и проверенных фактов на этот счёт нет до сих пор, поэтому история быстро обросла слухами, предположениями и домыслами. Кое-где писали, что взлом оказался столь успешным благодаря банковскому инсайду, а именно, заинтересованному участию в хищении некоторых нечистых на руку сотрудников. Но в самом банке, разумеется, провели внутреннее расследование инцидента, результаты которого не были опубликованы, однако никаких отставок, арестов, или громких увольнений за этим не последовало. Значит, сотрудники банка здесь всё-таки ни при чём.

Эта история так навсегда и осталась бы покрыта мраком неразгаданной тайны, если бы 17 апреля 2012 года в дайджесте «Независимый обзор провайдеров» не была опубликована статья «Дело Левина: недостающее звено», которая сейчас уже благополучно выпилена из этих ваших интернетов. В заметке некий анонимный хакер под ником ArkanoiD поделился с читателями подробностями о том самом легендарном взломе, одним из участников которого он, по его собственным словам, являлся. К тому моменту все сроки давности данного преступления уже давно прошли, поэтому ArkanoiD«у было нечего опасаться. А у общественности, соответственно, нет ни малейших оснований не доверять его словам.

Итак, ArkanoiD поведал, что за взломом «Ситибанка» на самом деле стояла международная группа хакеров, которая занималась исследованием безопасности сетей, построенных с использованием протокола X.25. В 1994 году эта технология широко применялась для построения LAN на базе телефонных сетей, поскольку протокол позволял осуществлять передачу данных через низкокачественные линии с большим количеством ошибок благодаря развитому механизму их коррекции. Именно протокол X.25 использовался в сетях «Ситибанка». Обнаруженные уязвимости в механизме авторизации пользователей позволили хакерам получить доступ к BBS — электронной доске объявлений банка. Видимо, для удобства взломщиков BBS показывала всем желающим собственные файлы конфигурации, а также список IP-адресов доступных по протоколу ARP узлов с комментариями на английском языке. Соединившись со всеми узлами по очереди, хакеры получили доступ к нескольким шлюзам, через них — к модемным пулам и внутренней сети «Ситибанка». Был обнаружен роутер, к которому можно было подключиться Telnet«ом из внутренней банковской сети, и наоборот, из интернета попасть через этот роутер в сеть «Ситибанка», а из нее — в электронные почтовые ящики нескольких сотрудников. Поскольку логины и пароли для доступа к банковским счетам клиентов часто передавались в почте в незашифрованном открытом виде, перехват сообщений e-mail позволил злоумышленникам собрать неплохую коллекцию учетных данных. Некоторые пароли были получены с помощью брутфорса, благо, они оказались нестойкими к перебору по базовому словарю. Из этой же скомпрометированной сети они без всякого труда скачали инструкции по доступу к различным внутренним сервисам банка.

Несмотря на то, что внутренняя сеть «Ситибанка» все-таки была оснащена системой предупреждения о несанкционированном доступе, служба безопасности никак не реагировала на многочисленные автоматические сообщения о вторжении, что позволило взломщикам действовать практически не скрываясь. Раздолбайство админов доходило до того, что, по словам ArkanoiD«а, однажды он запустил на одном из банковских серверов игру Star Trek и рубился в нее по сети, так и оставшись незамеченным. ArkanoiD утверждал, что вскоре его группа получила фактически полный доступ к банковской инфраструктуре — хакеры обладали админскими паролями от внутренних серверов, располагали поэтажными планами размещения оборудования в офисах «Ситибанка», данными для доступа к клиентским счетам и даже иногда помогали сотрудникам решать мелкие технические проблемы.

Отчасти столь наплевательское отношение со стороны службы безопасности «Ситибанка» объяснялось тем, что дыры в инфраструктуре были хорошо известны сотрудникам, и часть устаревших устройств планировалось в скором времени заменить. Сама же межбанковская сеть Sprintnet, объединявшая офисы самого «Сити» и несколько других банков, считалась достаточно защищенной для того, чтобы туда осмелились влезть американские хакеры. Никто попросту не ожидал, что к ней получат доступ взломщики из-за океана.

Однако вторгшиеся в банковскую сеть хакеры оказались не только опытными, но и в известной степени разумными — они прекрасно понимали, что стоит им перейти от изучения инфраструктуры и перехвата электронной почты к выкачиванию денег с банковских счетов, как взлом будет тут же обнаружен, а за их поиск примутся люди посерьезнее ленивых системных администраторов. Последствия могли оказаться намного круче возможной прибыли. Поэтому, вдоволь наигравшись со взломанной сетью, один из участников группы продал доступ к ней первому желающему за 100 долларов наличными. Этим желающим оказался Владимир Левин.

Что же касается личности самого таинственного ArkanoiD’а, то в 2005 году Lenta.ru писала о нем следующее:

На российской и международной хакерской сцене имя ArkanoiD хорошо известно, и в ряде версий неофициальных хит-парадов компьютерного андерграунда он, наряду с такими персонажами, как Solar Designer, относится к числу наиболее квалифицированных хакеров на территории бывшего СССР.

В целом, рассказанная им история выглядит вполне правдоподобно. В 1994 году даже крупные банки не особо заботились об информационной безопасности, а сети многих предприятий, включая государственные конторы и серьезные исследовательские институты, часто представляли собой форменной дуршлаг. Получается, что Владимира Левина фактически подставили, вернее, он подставил себя сам, решив воспользоваться купленной за 100 баксов информацией для собственного обогащения, и не рассчитав последствия. А фебеэровцам и службе безопасности банка было, очевидно, лень искать реальных хакеров, получивших несанкционированный доступ к сети, когда похититель чужих денег — вот он: сидит за компьютером в офисе скромной питерской фирмы, и даже почти не скрывается. В результате каждый получил то, что хотел: админы банка — хороший урок, сотрудники спецслужб — премию и новые звания, клиенты —похищенные у них деньги обратно, а Владимир Левин — тюремный срок и репутацию самого крутого хакера России и близлежащих окрестностей.

После отсидки Владимир Левин исчез с радаров СМИ, и о его дальнейшей судьбе практически ничего не известно. Возможно, ему вполне хватило шумихи двадцатисемилетней давности, благодаря которой его судьба навсегда изменилась, и далеко не в лучшую сторону. Изменилась и история информационной безопасности: после этого громкого взлома банки стали бережнее относиться к охране своего сетевого периметра, а защита данных быстро превратилась в богатую многомиллионную индустрию. Конечно же, эта атака на банк стала далеко не последней в истории человечества. Были и другие громкие взломы, о которых мы расскажем в следующий раз.


Наши серверы можно использовать для разработки на любых языках программирования.

Зарегистрируйтесь по ссылке выше или кликнув на баннер и получите 10% скидку на первый месяц аренды сервера любой конфигурации!

et1aypandyuamqprsz3m2ntm4ky.png

© Habrahabr.ru