Русскоязычная группировка Silence атакует банки и состоит всего из двух человек. Самые известные хакерские организации Черная армия хакеры

Хакеры действуют на просторах интернета беспрестанно. Однако лишь некоторые их атаки становятся действительного крупными и легендарными. Пришло время взглянуть на несколько исторических хаков.

Взлом Ashley Madison 2015 года: 37 миллионов пользователей

Группа хакеров, известная как Impact Team, взломала серверы компании Ashley Madison и украла личные данные 37 миллионов пользователей. После этого хакеры опубликовали полученную информацию на различных веб-сайтах. Очерненная репутация пользователей возымела эффект во всем мире, в том числе появлялись сообщения, что пользователи заканчивали свои жизни самоубийством из-за хака. Этот взлом запомнился не только тем, что этот акт был публичным, но также и тем, что хакеры завоевали себе славу борцов против неверности и лжи.

Вирус Conficker 2008 года: до сих пор инфицирует миллионы компьютеров ежегодно

Несмотря на то что эта мощная вирусная программа не нанесла непоправимого ущерба, она по прежнему отказывается умирать. Она постоянно прячется, а при первой возможности копируется на другие машины. Но еще более пугающим является то, что этот вирус продолжает открывать задние двери на инфицированных компьютерах для дальнейших хакерских атак. Этот вирус размножается и распространяется по различным компьютерам, где он скрывается в тени, параллельно превращая ваш компьютер в бота для рассылки спама или же считывая данные вашей кредитной карты и ваши пароли, затем пересылая эти данные хакерам. Этот вирус является очень умной компьютерной программой. Он деактивирует ваш антивирус, чтобы защитить себя. Он так известен благодаря тому, насколько он настойчиво продолжает существовать и насколько широко он распространился. Спустя восемь лет после того, как он был обнаружен, он до сих пор путешествует по интернету.

Вирус Stuxnet 2010 года: блокирована ядерная программа Ирана

Эта вирусная программа, которая весила менее одного мегабайта, была запущена в сеть иранских ядерных заводов. Когда вирус достиг точки назначения, он взял под контроль всю систему. Затем он приказал пяти тысячам урановых центрифуг вращаться без контроля, внезапно останавливаться, а затем снова начинать вращение, параллельно посылая отчеты о том, что все в порядке. Эта хаотичная манипуляция продолжалась в течение 17 месяцев, заставляя заводы жить своей собственной жизнью, а рабочих и ученых сомневаться в собственном рассудке. И на протяжении всего этого времени никто не знал, что происходит. Коварная и скрытная атака принесла больше вреда, чем если бы эти центрифуги были бы просто уничтожены. Вирус вел тысячи специалистов по неправильному пути в течение полутора лет, потратив тысячи часов работы и урановые ресурсы, оцениваемые миллионами долларов. Этот хак запомнился как размахом, так и хитростью: вирус атаковал ядерную программу страны, которая находилась в состоянии конфликта с США и другими мировыми державами, а также он обманывал тысячи научных работников в течение полутора лет, пока он скрытно выполнял свою грязную задачу.

Взлом Home Depot 2014 года: более 50 миллионов кредитных карт

Используя пароль одного из продавцов сети магазинов, хакеры смогли украсть самое большое количество данных кредитных карт в истории. Используя бреши в операционной системе «Майкрософта», хакеры смогли проникнуть на серверы до того, как «Майкрософт» предпринял попытку закрыть эти бреши. Как только они смогли попасть в первый магазин сети в Майами, хакеры начали действовать по всему континенту. Они наблюдали за транзакциями, проходящими в 7 тысячах кассовых аппаратов этой сети. Они собирали данные о кредитных картах, по мере того как пользователи совершали покупки в этих магазинах. Эта хакреская атака запомнилась тем, что она была направлена против мощной корпорации и миллионов ее доверенных клиентов.

Spamhaus 2013 года: крупнейшая DDOS-атака в истории

DDOS-атака — это, по сути, поток данных. Используя десятки компьютеров, которые повторяют одинаковый сигнал с большой частотой и на высоком уровне шума, хакеры буквально затапливают и перегружают компьютерные системы в интернете. В марте 2013 года эта конкретная DDOS-атака оказалась настолько большой, что она замедлила работу всего интернета во всем мире, а также полностью отключило его в некоторых частях мира на целые часы.

Взлом eBay 2014 года: 145 миллионов пользователей

Многие говорят, что это было самое крупное нарушение общественного доверия в истории онлайн-бизнеса. Однако другие говорят, что это было гораздо менее печально, чем массовые кражи, так как произошла утечка лишь личных данных, а не финансовой информации. Независимо от того, с какой точки зрения вы решите взглянуть на этот инцидент, миллионы покупателей в интернете потеряли свои данные, которые были защищены паролем. Этот хак является особо запоминающимся, так как он оказался невероятно публичным, а также из-за того, что eBay в данной ситуации был описан как сервис, имеющий очень слабую систему безопасности, а также очень медленно и неадекватно реагирующий на ситуацию.

Взлом JPMorgan Chase 2014 года: 83 миллиона банковских счетов

В 2014 году российские хакеры взломали крупнейший банк Соединенных Штатов Америки и украли данные 7 миллионов банковских счетов малого бизнеса и 76 миллионов личных банковских счетов. Хакеры проникли в 90 компьютеров банка и с них просмотрели личную информацию пользователей счетов.

Вирус The Melissa 1999 года: 20 процентов компьютеров в мире было инфицировано

Мужчина из Нью-Джерси выпустил макро-вирус в интернет, где он проникал на компьютеры с операционными системами Windows. Этот вирус был замаскирован под прикрепленный к электронному письму файл Word с заголовком «Важное сообщение от (имя человека)». Как только пользователь нажимал на это прикрепленное сообщение, вирус активировался и приказывал компьютеру скопировать этот вирус в качестве массовой рассылки для первых пятидесяти контактов.

Взлом LinkedIn, раскрытый в 2016 году: 164 миллиона аккаунтов

Этот взлом, который удалось раскрыть только через четыре года после того, как он случился, запомнился тем, что крупнейшей социальной сети для сотрудников пришлось признать утерю данных 117 миллионов пользователей, которые затем были перепроданы на черном рынке. Значительным этот хак является из-за того, какое количество времени потребовалось компании, чтобы понять, что она была взломана. Четыре года — это довольно много времени для осознания того, что вас ограбили.

Взлом Anthem Health Care 2015 года: 78 миллионов пользователей

Базы данных второго по размерам медицинского страховщика в Соединенных Штатах Америки подвергались скрытой атаке в течение нескольких недель. Детали проникновения не разглашаются, однако компания заявляет, что медицинская информация украдена не была. Хакерам удалось украсть только контактную информацию и номера социального страхования.

Взлом сети Sony Playstation 2011 года: 77 миллионов пользователей

В апреле 2011 года группа хакеров под названием Lulzsec взломала базу данных Sony в сети Playstation, выложив в открытый доступ контактную информацию, логины и пароли 77 миллионов игроков. Sony заявляет, что данные кредитных карт украдены не были. Компания приостановила работу сервиса на несколько дней, чтобы улучшить систему безопасности и залатать дыры.

Взлом Global Payments 2012 года: 110 миллионов кредитных карт

Global Payments — это одна из крупнейших компаний, занимающихся транзакциями кредиторов и поставщиков. Она специализируется на малом бизнесе. В 2012 году система этой компании была взломана хакерами, которые украли информацию о кредитных картах. С некоторых карт, данные о которых были украдены, затем были сделаны нелегальные транзакции.

Об обнаружении малоизученной хакерской группировки, которая атакует банки подобно Cobalt или MoneyTaker.

Группировка

Первые следы хакерской группы, получившей название Silence, эксперты Group-IB обнаружили еще в июне 2016 года. Отчет гласит, что тогда киберпреступники только начинали пробовать свои силы.

Одной из первых целей Silence стал банк в России, который они попытались атаковать через АРМ КБР (Автоматизированное рабочее место клиента Банка России). После чего хакеры надолго «замолчали». Позже выяснилось, что это - стандартная практика для Silence. Они атакуют избирательно, а между инцидентами проходит около трех месяцев, что втрое больше, чем у других групп, специализирующихся на целевых атаках, например, у MoneyTaker, Anunak (Carbanak), Buhtrap или Cobalt.

Исследователи считают, что причина кроется в крайне малочисленном составе Silence. Впервые за всю практику киберразведки и расследований киберпреступлений специалисты Group-IB столкнулись с такой структурой и ролевым распределением в группе. Silence постоянно анализируют опыт других преступных групп, пробуют применять новые техники и способы краж из различных банковских систем, включая АРМ КБР, банкоматы, карточный процессинг. Менее чем за год объем хищений Silence вырос в пять раз.

Рабочая версия экспертов предполагает, что в команде Silence четко прослеживаются всего две роли - оператора и разработчика. Вероятно, оператор является лидером группы, по характеру действий он - пентестер, хорошо знакомый с инструментарием для проведения тестов на проникновение в банковскую инфраструктуру. Эти знания позволяют группе легко ориентироваться внутри атакуемого банка. Именно оператор получает доступ к защищенным системам внутри банка и запускает процесс хищений.

Разработчик параллельно является реверс-инженером с достаточно высокой квалификацией. Его академические знания о том, как создаются программы, не мешают ему делать ошибки в коде. Он отвечает за разработку инструментов для проведения атак, а также способен модифицировать сложные и чужие программы. При этом для патчинга он использует малоизвестный троян, ранее не встречавшийся ни у одной другой группы. Кроме того, он знает технологии работы банкоматов и имеет доступ к сэмплам вредоносного ПО, которые, как правило, содержатся в базах компаний, занимающихся информационной безопасностью.

Исследователи отмечают, что еще в начале своего пути, летом 2016 года, Silence не имела навыков взлома банковских систем и в процессе своих первых операций училась прямо по ходу атаки. Члены группы внимательно анализировали опыт, тактику, а также инструменты других преступных групп. Они постоянно пробовали применять на практике новые техники и способы краж из различных банковских систем, в числе которых АРМ КБР, банкоматы, карточный процессинг.

Навыки в области реверс-инжиниринга и пентеста, уникальные инструменты, которые хакеры создали для взлома банковских систем, выбор неизвестного трояна для патчинга, а также многочисленные ошибочные действия подтверждают гипотезу о том, что бэкграунд Silence, скорее всего, легитимный. Как минимум один из хакеров работал (или продолжает работать) в компании, специализирующейся на информационной безопасности.

Как и большинство финансово-мотивированных APT-групп, участники Silence говорят по-русски, о чем свидетельствуют язык команд программ, приоритеты по расположению арендуемой инфраструктуры, выбор русскоязычных хостеров и локация целей преступников:

Команды трояна Silence - русские слова, набранные на английской раскладке:

• htrjyytrn > reconnect > реконнект;
• htcnfhn > restart > рестарт;
• ytnpflfybq > notasks > нетзадач.

Цели

Основные цели группы также находятся в России, хотя фишинговые письма отправлялись также сотрудникам банков в более чем 25 странах. Успешные атаки Silence ограничиваются странами СНГ и Восточной Европой, а основные цели находятся в России, Украине, Белоруссии, Азербайджане, Польше, Казахстане. Тем не менее, единичные фишинговые письма отправлялись также сотрудникам банков в более чем 25 странах Центральной и Западной Европы, Африки и Азии: Киргизия, Армения, Грузия, Сербия, Германия, Латвия, Чехия, Румыния, Кения, Израиль, Кипр, Греция, Турция, Тайвань, Малайзия, Швейцария, Вьетнам, Австрия, Узбекистан, Великобритания, Гонконг и другие.

Хронология атак Silence выглядит следующим образом:

• 2016 год, июль - неудачная попытка вывода денег через российскую систему межбанковских переводов АРМ КБР. Злоумышленники получили доступ к системе, но атака сорвалась из-за неправильной подготовки платежного поручения. В банке остановили подозрительную транзакцию и провели реагирование собственными силами, постаравшись устранить последствия атаки. Это привело к новому инциденту.
• 2016 год, август - новая попытка взлома того же банка. Спустя всего месяц (!), после провала с АРМ КБР, хакеры восстанавливают доступ к серверам этого банка и предпринимают повторную попытку атаковать. Для этого они загрузили программу для скрытого создания скриншотов экрана пользователя и начали изучать работу операторов по псевдовидеопотоку. На этот раз банк принял решение о привлечении экспертов Group-IB для реагирования на инцидент. Атака была предотвращена. Однако восстановить полную хронологию инцидента не удалось, так как при попытке самостоятельно очистить сеть, ИТ-служба банка удалила большую часть следов активности злоумышленников.
• 2017 год, октябрь - первый известный успешный случай вывода денег этой группой. На этот раз Silence атаковали банкоматы. За одну ночь им удалось похитить 7 000 000 рублей. В этом же году они проводили DDoS-атаки с помощью Perl IRC бота, используя публичные IRC чаты для управления троянами. После неудачной атаки через систему межбанковских переводов в 2016 году преступники больше не пытались вывести деньги через нее, даже имея доступ к серверам АРМ КБР.
• 2018 год февраль - успешная атака через карточный процессинг: за выходные злоумышленникам удалось снять с карточек через банкоматы партнера банка 35 000 000 рублей.
• 2018 год, апрель - уже через два месяца группа возвращается к прежней схеме и выводит деньги через банкоматы. Им удается за одну ночь «вынести» порядка 10 000 000 рублей. На этот раз созданные Silence программы были усовершенствованы: избавлены от лишних функций и прежних ошибок.

Инструменты и инфраструктура

По данным Group-IB, во время первых операций хакеры Silence использовали чужие инструменты и учились буквально по ходу атаки. Однако со временем они перешли от использования чужих инструментов к разработке собственных и значительно усовершенствовали тактику.

В первых операциях киберпреступники патчили чужой малораспространенный бэкдор Kikothac. Они выбрали троян, известный с ноября 2015 года, реверс и реализация серверной части которого не требовали много времени. Использование чужого бэкдора позволяет предположить, что группировка начала работу без предварительной подготовки, и первые операции были лишь попыткой проверить свои силы.

Позже преступники разработали уникальный набор инструментов для атак на карточный процессинг и банкоматы, который включает в себя самописные программы:

• Silence - фреймворк для атаки на инфраструктуру.
• Atmosphere - набор программ для «потрошения» банкоматов.
• Farse - утилита для получения паролей с зараженного компьютера.
• Cleaner - инструмент для удаления логов удаленного подключения.

Заимствованные инструменты:

• Smokebot - бот для проведения первой стадии заражения.
• Модифицированный Perl IRC DDoS bot, основанный на Undernet DDoS bot, для осуществления DDoS-атак.

Оператор проводит атаки с Linux-машины с использованием утилиты WinExe (Linux аналог PSExec), которая может запускать программы на удаленном узле через SMB-протокол. После закрепления в системе троян Silence устанавливает stagerMeterpreter на зараженную систему. Для доступа к скомпрометированным компьютерам киберпреступники используют RAdmin - программу, которую в некоторых банках устанавливают сами администраторы для удаленного управления рабочими станциями.

Арендованные злоумышленниками серверы для осуществления фишинговых атак находятся в Россиии Нидерландах. Под командные центры они используют услуги хостинга с Украины, который позволяет размещение практически любого контента, в том числе запрещенной информации, вредоносных приложений и файлов. Также несколько серверов Silence арендовали в MaxiDed, инфраструктура которого была заблокирована Европолом в мае 2018 года.

Вначале для рассылок фишинговых писем группа использовала взломанные серверы и скомпрометированные учетные записи, однако позже преступники начали регистрировать фишинговые домены и создавать для них самоподписанные сертификаты.

Чтобы обойти системы фильтрации писем, они используют DKIM и SPF. Письма отправляются от имени банков, у которых не был настроен SPF, с арендованных серверов с подмененными заголовками. Злоумышленники составляли полные грамотные тексты для писем и отправляли их от имени сотрудников банка, чтобы повысить шанс успешности атаки.

Во вложении письма содержались эксплоиты под MS Office Word с decoy документами CVE-2017-0199, CVE-2017-11882 + CVE-2018-0802, CVE-2017-0262, а также CVE-2018-8174. Помимо эксплоитов рассылались письма с вложенными CHM-файлами, что встречается достаточно редко, а также с ярлыками.LNK, запускающими Powershell-скрипты и JS-скрипты.

«Silence во многом переворачивает представление о киберпреступности: по характеру атак, инструментам, тактике и даже составу группы, очевидно, что за этими преступлениями стоят люди, в недавнем прошлом или настоящем занимающиеся легальной работой – пентестами и реверс-инжинирингом, – комментирует Дмитрий Волков, технической директор и глава направления киберразведки Group-IB. – Они тщательно изучают деятельность других киберпреступников, анализируют отчеты антивирусных и Threat Intelligence компаний, что не мешает им делать множество ошибок и учиться прямо по ходу атаки. Ряд инструментов Silence – легитимны, другие разработали они сами, взяв на вооружение опыт других групп. Изучая деятельность Silence, мы предположили, что вероятнее всего это пример того, как whitehat становятся blackhat. Интернет, в особенности, его андеграудная часть, открывают немало возможностей для таких метаморфоз, киберпреступником сегодня стать намного легче, чем 5-7 лет назад: можно арендовать серверы, модифицировать имеющиеся эксплоиты, использовать легальные утилиты. Это значительно усложняет работу форензик-экспертов, но сильно упрощает возможность встать на путь хакера».

За последнюю неделю многие из нас впервые услышали о хакерах из Lizard Squad, которые уже успели взять на себя ответственность за две нашумевшие DDoS -атаки: на сайт Malaysia Airlines, который стал перенаправлять пользователей на страницу с надписью «404 – самолет не найден», и на Facebook, который был недоступен в течение целых 40 минут.

Facebook, однако, опроверг слухи о хакерском нападении; вместо этого причиной неполадок в работе сайта была названа ошибка разработчиков. Malaysia Airlines также уже успели заверить пользователей, что сайт не взламывали, просто временно перевели на другое доменное имя.

И все же, кто такие Lizard Squad? Очередные «хактивисты», пытающиеся донести свою политическую программу, или группа развлекающихся подростков? Представляют ли они реальную угрозу или сильны только на словах? И каково их место среди других хакерских группировок? Ниже мы расскажем о хакерах, громче всего заявивших о себе в последнее время.

Lizard Squad приобрели известность после атак, совершенных на крупнейшие IT-компании, среди которых Sony, Microsoft и Facebook. Впервые широкая публика услышала о них в августе 2014-го, когда они взломали несколько он-лайн игр, в том числе League of Legends и Destiny. За ними последовали более значительные атаки на Sony"s Playstation Network и Microsoft"s Xbox Live.

Складывается впечатление, что у хакеров личные счеты с Sony. В августе 2014-го они сообщили о бомбе на борту лайнера, которым должен был лететь один из президентов компании. В результате самолет совершил аварийную посадку.

Кроме того, группировка намекает на свою причастность к Исламскому государству. Во время атаки на Malaysia Airlines они назвали себя «Кибер-Халифатом» (так же называется хакерское подразделение Исламского государства). Более того, в августе они установили флаг ИГИЛ на серверах Sony.

На первый взгляд, Lizard Squad руководствуются исключительно политическими мотивами, однако, весьма вероятно, что гораздо важнее для них продемонстрировать возможности своего сервиса Lizard Stresser. Таким образом, заявления о связи с Исламским государством могут быть не чем иным, как попыткой привлечь более пристальное внимание СМИ.

После нападений на PSN и Xbox Live власти Америки и Великобритании провели расследование, которое закончилось арестом 22-летнего жителя Твикенхема и подростка из Саутпорта (Британия).

Вероятно, самая известная хакерская организация, Anonymous - это децентрализованное объединение десятков тысяч «хактивистов», которые совместными усилиями взламывают сайты, выражая таким образом свой протест.

Группа получила известность после атак на ряд крупных политических, религиозных и корпоративных ресурсов. В числе их достижений - взлом сайта Пентагона, угрозы в адрес Facebook и Los Zetas, мексиканской наркокартели, и объявление войны Саентологической Церкви.

В 2010 году Anonymous начали операцию Payback, после того как Visa, MasterCard, PayPal и другие компании отказались обслуживать WikiLeaks. Они также открыто поддержали движение «Захвати Уолл-стрит» в 2011-м, атаковав сайт Нью-Йоркской биржи.

Начиная с 2009 года, по подозрению в причастности к Anonymous в Америке, Великобритании, Австралии, Нидерландах, Испании и Турции было арестовано множество людей. Однако организация протестует против преследований, называя арестованных «мучениками движения».

Девиз группы гласит: «Мы — Anonymous. Имя нам — легион. Мы не прощаем. Мы не забываем. Ждите нас».

LulzSec (сокращенно от Lulz Security) образовалась вскоре после взлома компании HBGary Federal в 2011 году и изначально была филиалом Anonymous. Основной движущей силой группы стали семь человек, которые выбрали своим девизом фразу «Смеемся над вашей безопасностью с 2011 года».

Первую атаку группа совершила на Fox.com, украв несколько паролей, аккаунты LinkedIn и имена 73 тысяч участников шоу X-Factor. В 2011 они пошли дальше, взломав сайт ЦРУ.

LulzSec прославились благодаря крупным организациям, которые они выбирают в качестве целей, и язвительным сообщениям, которые оставляют на сайтах после взлома. Некоторые эксперты расценивают активность организации скорее как пранкинг, чем как реальную угрозу, но участники группировки утверждают, что способны и на более серьезные шаги.

В 2011 году группа опубликовала заявление «50 дней лулза», в котором заявила о самороспуске. Однако 18 июля они совершили еще одну атаку на газеты, принадлежащие холдингу News Corporation, наполнив их фальшивыми новостями о смерти владельца компании Руперта Мердока.

В 2012 году ФБР арестовала основных участников по доносу лидера группы Гектора Монсегура, известного под ником Sabu. По словам прокурора Сандипа Патела, хакерам не хватило политических амбиций Anonymous и они возомнили себя «современными пиратами».

Сирийская Электронная Армия (SEA) открыто заявила о том, что поддерживает правительство нынешнего президента Сирии Башара аль-Асада. Их основная цель - политическая оппозиция и западные сайты, особенно новостные ресурсы и организации по борьбе за права человека.

Не очень понятны взаимоотношения группировки с сирийским правительством. На официальном сайте SEA называет себя «группой молодых сирийских энтузиастов, которые не могут спокойно реагировать на искажение фактов о недавних восстаниях». Некоторые эксперты полагают, что хакеры действительно могут получать финансирование от властей.

Основные методы SEA - спам, дефейс, фишинг и распространение вредоносных программ. Часто хакеры заменяют веб-страницу компании на сообщения в поддержку нынешнего правительства или изображение сирийского флага.

Сирийцы уже успели взломать страницы Барака Обамы и Николя Саркози в Facebook, а также Twitter-аккаунты новостных агентств и IT-компаний. При этом сообщения, которые они оставляют после взлома, сильно различаются по стилю: среди них есть как серьезные и открыто политические, так и иронические.

Когда мне начинают говорить о "всемогущих" и "неуловимых" хакерах, я вспоминаю знаменитую фразу из "Операция "Ы"" Гайдая: "Кражи не будет! Все уже украдено до нас! Это ведь сущие пустяки, вам нужно только инсценировать кражу. Вам надо взломать замок, оставить следы выноса товара, и спокойно удалиться, ничего не взяв!".

Однако, все же утверждается, что взломать можно все. Ну или почти все. Сегодня хакерские атаки стали настолько популярны, что новости об очередном взломе появляются чуть ли не каждый день, а специалисты утверждают, что в следующем году количество атак хакеров только увеличится. Однако некоторые акции компьютерных гениев вызывают сильный общественный резонанс и навсегда остаются в истории. Почитайте про самые громкие атаки хакеров.

Взлом Пентагона

Кевин Митник — один из первых и самых известных хакеров. В 12 лет он научился подделывать автобусные билеты и бесплатно катался по всему городу, после этого сумел проникнуть в систему голосового оповещения «МакАвто» и общался с покупателями.

В 16 лет Кевин взломал сеть компании Digital Equipment Corporation и украл оттуда программное обеспечение. К своему несчастью, программист был пойман полицией и приговорен к одному году заключения и еще трем годам нахождения под присмотром полиции.

В студенческие годы Митник с помощью компьютера TRS-80 с процессором меньше двух мегагерц сумел проникнуть в предшественницу интернета, сеть ARPANet, и добрался до компьютеров министерства обороны США. Конечно, специалисты по безопасности быстро зафиксировали взлом, вскоре Митника поймали и отправили в исправительный центр для молодежи.

После этого агенты ФБР обвинили Кевина в подделке документов, клонировании мобильных номеров и серии взломов. Тогда юный хакер был снова приговорен к тюремному заключению. После выхода из тюрьмы Кевин Митник написал несколько книг о своих хакерских приключениях, а в 2000 году на экраны вышел фильм «Взлом», снятый по мотивам его биографии. Сейчас Митник владеет компанией, которая занимается компьютерной безопасностью.

Владимир Левин и Citibank

В 1994 году российскому хакеру Владимиру Левину удалось взломать платежную систему Citibank и перевести на счета в США, Финляндию, Израиль, Германию и Нидерланды более 10 миллионов долларов. Большинство операций было заблокировано, однако часть денег — около 400 тысяч долларов — найти так и не удалось.

Позже петербургского хакера поймали и экстрадировали в США, где его приговорили к трем годам лишения свободы. Через некоторое время появилась информация, что изначально доступ к внутренней системе банка получили некая группировка российских хакеров, которая впоследствии продала Левину алгоритм взлома за 100 долларов.

Атака на серверы NASA

Еще одним юным компьютерным гением стал Джонатан Джеймс, который в свои 15 лет умудрился взломать систему собственной школы, сеть телекоммуникационной компании Bell South и даже серверы министерства обороны США. На простом «проникновении» на засекреченные серверы хакер не остановился — он перехватил порядка трех тысяч писем сотрудников и даже выкрал у NASA программное обеспечение для управления Международной космической станцией.

Джеймса быстро вычислили и поймали, однако из-за своего несовершеннолетнего возраста наказания ему удалось избежать. Правда, через несколько лет хакера обвинили во взломе сети магазинов TJX: следователи проводили несколько обысков дома у Джеймса, однако так ничего и не нашли. Сам же хакер был уверен, что ему суждено отправиться за решетку и единственным выходом из сложившейся ситуации видел суицид. В своей предсмертной записке он написал, что не верит в систему правосудия.

Челябинские хакеры и PayPal

Российским хакерам из Челябинска Василию Горшкову и Алексею Иванову удалось в 2000 году взломать платежные системы PayPal, Western Union и многие другие — всего 40 компаний в 10 американских штатах. Хакеры украли 25 миллионов долларов с 16 тысяч кредитных карт.

Чтобы поймать злоумышленников, ФБР организовало подставную фирму на территории США, куда приехали Горшков и Иванов. В итоге их приговорили к трем и четырем годам лишения свободы соответственно. Деятельность ФБР вызвала международный скандал, из-за чего сотрудники челябинского ФСБ даже завели на американских коллег дело.

Свидетельства об НЛО и удаление критических файлов

Британского хакера Гэри Маккиннона обвиняют в том, что в 2001 году он взломал порядка ста компьютеров министерства обороны США и NASA и удалил из системы некоторые критически важные файлы, в результате чего деятельность министерства фактически была приостановлена на целые сутки. Говорят, что хакер также стер информацию об американском вооружении после террористических атак 11 сентября 2001 года.

Сам Маккиннон заявил, что искал на секретных компьютерах свидетельства об утаивании от широкой общественности информации об НЛО и инопланетных цивилизациях. Также он утверждал, что получил доступ к незащищенным машинам и оставил в правительственной сети комментарии об ее уязвимости.

По британским законам, однако, хакеру грозило лишь шесть месяцев тюремного заключения, в то время как в США ему хотели «выставить» очень длительный срок. Вскоре Маккиннона обследовали и выявили у него форму аутизма и клиническую депрессию, которые могли бы привести к самоубийству. Благодаря общественному резонансу этого дела, поддержке множества знаменитых лиц и риска для жизни, в октябре 2012 года вопрос об экстрадиции хакера в США был снят, а уголовное преследование прекращено — сейчас Гэри Маккиннон по-прежнему на свободе.

Кража исходного кода Windows

В 2004 году компания Microsoft заявила о том, что у нее было украдено 600 миллионов байт, 31 тысяча файлов и 13,5 миллионов строк исходного кода операционной системы Windows 2000. Все эти данные появились в открытом доступе в сети. Изначально в корпорации были уверены, что утечка произошла через партнерскую компанию Mainsoft, но вскоре стало ясно, что в действительности данные были украдены прямо из сети Microsoft.

К тому моменту корпорация уже отказалась от дальнейшего развития этой операционной системы, поэтому больших финансовых потерь хакерская атака не принесла, однако ни специалистам из Microsoft, ни ФБР так и не удалось найти виновников преступления, поэтому репутация компании была подпорчена.

Атака на Эстонию

В апреле 2007 года кибератака была проведена сразу на целую страну: хакеры взломали сайты практически всех государственных органов, а также новостные порталы, в результате чего их работа приостановилась на целых две недели. Кроме того, были атакованы и некоторые банки, поэтому у граждан Эстонии возникли проблемы с переводом денежных средств.

Чтобы восстановить работоспособность своих систем Эстонии пришлось на некоторое время отключиться от внешнего интернета. Эту кибератаку называют одной из самых масштабных в истории.

Интересно, что взломы происходили на фоне обострения отношений между Эстонией и Россией из-за переноса военных захоронений времен Второй Мировой войны и монумента советским воинам из центра Таллина.

Эстонские специалисты утверждали, что следы атаки ведут в Россию, а некоторые IP-адреса и вовсе указывают на Кремль. В России в то же время говорили, что скорее всего кто-то подменил IP, чтобы дискредитировать Москву.

Закопанный миллион

Американский хакер кубинского происхождения Альберто Гонсалес в 2009 году провел серию атак на Heartland Payment System и похитил данные десятков миллионов кредитных карт. Кроме того, после того как его поймали правоохранительные органы, хакер рассказал, что также взломал сети TJX Cos, Bj’S Wholesale Club и Barnes & Noble. Данные с карточек Гонсалес перепродавал через созданную им группу ShadowCrew.

В общей сложности он заработал порядка 10 миллионов долларов, однако следователи нашли только один миллион, который был закопан в саду родителей компьютерного гения. Альберто Гонсалес был приговорен к 20 годам лишения свободы.

Компьютерный червь для ядерных реакторов

В 2010 году компьютерный червь Stuxnet проник в сеть управления ядерной системой Ирана и частично вывел ее из строя — программа остановила пятую часть центрифуг и скопировала записи с камер видеонаблюдения так, что сотрудники службы безопасности не заметили неладного.

После успешной атаки появились предположения, что вирус был разработан совместно спецслужбами Израиля и США для противодействия иранской ядерной программе. Эксперты лаборатории Касперского увидели в черве прототип нового вида кибероружия, который может повлечь за собой новую гонку вооружений.

Anonymous и серия атак

Одной из самых известных хакерских группировок по праву считается Anonymous. На счету этой группы множество крупных атак, которые нанесли своим жертвам серьезный ущерб.

В 2010 году Anonymous организовала акцию «Возмездие», в рамках которой атаковала системы Visa, PayPal и MasterCard из-за того, что те отказались проводить платежи сайта WikiLeaks. Через год хакеры поддержали движение против социального неравенства под кодовым названием «Захвати Уолл-Стрит» и обрушили сайт Нью-Йоркской биржи.

В январе 2012 года в знак протеста против закрытия сайта MegaUpload хакеры из этой группировки провели крупнейшую DDoS-атаку, выведя из строя на несколько часов сайты многих правительственных структур США и звукозаписывающих компаний.

В 2013 году Anonymous атаковали сайты Израиля, а во время украинского кризиса совершили атаки на сайты российских СМИ и правительственных структур России.

Первый хакер в СССР

В 1983 году в СССР было совершенно первое в истории преступление в сфере высоких технологий - хакнули ПО на АВТОВАЗе, в результате чего конвейер встал на три дня. Возник прецедент: совершено преступление, за которое не предусмотрено наказание.

Школьник, взломавший директора ЦРУ потом взломал директора ФБР

Хакер, известный под псевдонимом Cracka, недавно взял на себя ответственность за взлом AOL-аккаунта директора ЦРУ Джона Бреннана и слил все данные, найденные в почте главы разведывательного управления Wikileaks. Теперь Cracka заявил, что Бреннан - не последняя его жертва. Хакер утверждает, что взломал заместителя директора ФБР Марка Джулиано (Mark Giuliano) и его жену.

Cracka опубликовал у себя в твиттере ссылки на Pastebin и Cryptobin (пароль: cwa), поздравив читателей с 5 ноября. По ссылкам располагается подробная информация (ФИО, адреса, email, должности) о 3500 госслужащих: военных, полицейских и чиновниках. Хакер утверждает, что это далеко не вся информация, которая у него есть. Ресурс Pastebin уже удалил публикацию.

Также взломщик утверждает, что сумел добраться до личной почты заместителя директора ФБР Марка Джулиано (на фото выше), который ранее делал весьма агрессивные заявления, относительно взлома почтового ящика директора ЦРУ. В частности, Джулиано пообещал поймать хакеров и сделать из группы CWA (Crackas With Attitude), в которую входит Cracka, показательный пример. Судя по всему, хакеров это разозлило.

Подросток также заявил, что ему удалось найти номер мобильного Джулиано и повторить то, что ранее было проделано с директором ЦРУ: позвонить ему.

«Я позвонил и спросил Марка, а он такой: “Я не знаю, кто ты такой, но тебе теперь лучше быть осторожнее”. И повесил трубку. Я продолжал звонить, но он психанул и перестал отвечать, — рассказал Cracka журналистам издания Motherboard, пообщавшись с ними в чате. — Мы выбрали его своей целью не ради чего-то интересного, мы выбрали его своей целью, потому что ФБР нас (sic) изучает».

Представители Федерального Бюро Расследований ситуацию комментировать отказались, равно как и подтвердить или опровергнуть факт взлома почты Джулиано.

13 октября было объявлено, что хакеры взломали Twitter-аккаунт главы избирательного штаба Хилари Клинтон Джона Подесты, от его имени призывая голосовать за соперника-республиканца Дональда Трампа. Ранее штаб Клинтон уже подвергался нападению. Предполагается, что за взломом компьютерных систем летом этого года стоят российские хакеры.

27 июня 2016 года группа хакеров OurMine взломала аккаунт гендиректора Google Inc. Сундара Пичаи в сервисе Quora. Также предполагается, что 13 сентября именно российские хакеры взломали компьютерные системы всемирного антидопингового агентства (ВАДА). Из полученной информации мир узнал о том, что американские спортсмены принимали допинг с разрешения врачей. На сегодняшний день последняя известная атака связана со взломом сайта МИДа РФ 23 октября. Взломавший сайт хакер написал: «Завязывайте».

Существует огромное количество хакеров, которые используют свои глубокие знания компьютерных систем с совершенно разными целями. Например, в 2014 году хакеры из группировки Lizard Squad атаковали Microsoft и Sony, из-за чего миллионы игроков не могли поиграть в свои игры по сети.

Другие хакеры крадут базы с данными аккаунтов пользователей, как это случилось в сентябре 2014 года, когда мошенники украли данные 500 млн пользователей у интернет-компании Yahoo. Некоторые хакеры сидят в своих гаражах с ноутбуками и крадут данные банковских карт ради получения лёгких денег, а другие получают зарплату и помогают работодателям защищаться от других хакеров.

Один из самых знаменитых хакеров нашего времени, Эдвард Сноуден, работал на Агентство Национальной Безопасности США и принимал участие в программе слежки за миллионами американцев. Однако чувство справедливости перевесило, и Сноуден рассказал обо всех преступлениях АНБ миру. Возрастные хакеры, устав от такой жизни, занимаются консультированием компаний и простых людей по вопросам компьютерной безопасности.

В 2010 году стало известно о том, что предполагаемые американские или израильские хакеры запустили в компьютерную сеть иранских атомных станций и урановых обогатительных фабрик вирус Staxnet. Вирус саботировал работу центрифуг, которые применяются для обогащения урановой руды, чтобы впоследствии возможно было создать топливо для ядерных силовых установок. Сегодня Иран улучшает отношения с внешним миром и проходит через процедуру снятия экономических санкций. Не в последнюю очередь это заслуга анонимных хакеров на государственной зарплате. Вашему вниманию — топ наиболее активных мировых хакерских групп.

Бюро 121

Про северокорейскую хакерскую группу «Бюро 121» катастрофически мало информации. Известно, что эти люди входят в состав армии Северной Кореи и выполняют для государства задания, связанные с кражей и поиском информации, а также защитой компьютерных систем страны от зарубежных хакеров. Также северокорейские хакеры атакуют и другие страны, в частности, Южную Корею. Атакам подвергаются южнокорейские игровые сервисы, сайты государственных учреждений, ведущих компаний, банков.

Предполагается, что специалисты из «Бюро 121» принимали участие в атаках на серверы японской компании Sony в ноябре 2014 года.

Известно, что северокорейское государство вербует молодых хакеров в северокорейском Университете Автоматизации. В состав группы входит около 1800 молодых людей, которые действуют по всему миру, в том числе и за пределами Северной Кореи. Необходимость деятельности за границами страны объясняется крайне слабой информационной инфраструктурой Северной Кореи.

Chaos Computer Club (ССС)

Chaos Computer Club является очень старой хакерской группой. Она основана ещё в 1981 году немецкими хакерами. На сегодняшний день это очень крупная сеть, которая объединяет преимущественно немецкоговорящих хакеров.

Данная группа впервые консультировалась перед своими атаками с юридическими экспертами, чтобы убедиться в том, что их действия являются законными.

Это говорит о том, что у этих людей есть свой определённый кодекс поведения. Отчасти их стратегия законности обеспечила группе выживание на такой длительный период времени. Однако не все в этой огромной группе действовали исключительно в рамках закона, потому что CCC является по большей части дезорганизованной группой. Хакеры CCC стали известны в 1980-х гг, когда уведомили компанию Deutsche Bundespost (бывшая немецкая почтовая компания) о том, что их компьютерные системы недостаточно надёжны, что делало их лёгкой мишенью для ранних корыстных хакеров. Провайдер Deutsche Bundespost высокомерно заявил, что всё в порядке. Активисты CCC доказали, что провайдер ошибается, когда украли со счетов почтовиков 134 000 немецких марок. Деньги были возвращены на следующий день после атаки.

Морфо

Морфо или «Дикий Нейтрон» является хорошо спонсируемой группой высококлассных хакеров, которые с 2011 года выполняли заказы для фармацевтических, инвестиционных и технологических компаний.

Однако это не государственная группа, потому что их деятельность обычно связана с кражей инсайдерской информации ради денег.

Структура Морфо очень интересна. Морфо включает в себя множество мелких групп, которые пользуются высококлассным ПО и техникой. Их сети рассредоточены, для оплаты хостинг-провайдера они пользуются биткоинами, а также используют множество сложных виртуальных машин.

Сирийская электронная армия

Сирийская электронная армия (СЭА) — группа хакеров, которая симпатизирует правительству Сирии, а также связана с Ираном и террористической группировкой «Хезболла». Часто их атаки направлены на саботирование западных СМИ. Также хакеры СЭА используют свои знания для поиска повстанцев и оппозиционных сил.

Специалисты СЭА очень изобретательны. Например, одним твитом, который они отправили с Twitter-аккаунта президента Обамы, они кратковременно обрушили индекс Доу Джонса на нью-йоркской бирже.

Хакеры написали, что президент Барак Обама был ранен при взрыве бомбы в Белом Доме. Также СЭА написали твит от лица аккаунта BBC, что саудовские метеостанции пострадали от столкновения с верблюдом. Специалисты по компьютерной безопасности предполагают, что хакеры СЭА могут быть из Ирана, так как хорошо разбираются в разговорном английском и юморе. Вероятно, все иранцы разбираются в этих вопросах, раз специалисты делают такие выводы.

Анонимус

Анонимус является наиболее известной группировкой хакеров в интернете. Преимущественно состоит из американцев. Организация зародилась на форуме 4chan в 2003 году и с тех пор выросла в довольно серьёзную силу в интернете. В качестве универсального символа они используют условное изображение героя английской истории Гая Фокса, которое породила фантазия создателей комикса «V — значит вендетта». Структура Анонимуса децентрализована — организация не прекращала свою работу и атаки даже тогда, когда многие участники оказывались арестованы. Многие акции Анонимуса были либеральными или антигосударственными. Активисты выступают за отмену государственного контроля интернета и цензуры.

Наиболее известные акции Анонимуса связаны с борьбой с детской порнографией и церковью Саентологии.

У анонимуса нет лидера, это коллективный разум. Связано это с тем, что один единственный человек является слабым звеном в любой система, и особенно опасно, если этот человек даст слабину. Из-за его эго, тщеславия и корысти могут пострадать многие. Анонимус — это прежде всего идея. Эта идея позволила данной организации просуществовать так долго.

Тарх Андишан

Тарх Андишан — это реакция правительства Ирана на атаку вируса Staxnet. После этого инцидента иранское государство осознало реальную опасность киберугроз. В связи с этим было принято решение модернизировать иранский сетевой щит. Модернизация пошла двумя путям: было создано подразделение сетевой борьбы под название Тах Андишан, а также Аякс, которое сформировали из уже имеющихся активистов хакеров в стране. Наиболее известная акция группировки Аякс называлась «Операция Шафран», в рамках которой хакеры пытались получить доступ к секретным американским данным оборонной промышленности через фишинговую атаку.

Тарх Андишан в представлении простых людей — крайне опасные террористы, так как они, подобно киногероям боевиков, заполучили доступ к системам управления воротами терминала аэропортов в Южной Корее, Пакистане и Саудовской Аравии.

Эта атака позволила им обманывать системы безопасности аэропортов подменяя личные данные людей. Также хакеры Тарх Андишан взламывали промышленные объекты нефтегазовых компаний и телекоммуникационную инфраструктуры различных организаций.

Драгонфлай

Драгонфлай является спонсируемой государством группой хакеров из России и стран Восточной Европы. Их основные цели — это электрические сети, энергетическая индустрия, и командные системы государств Европы и США. Драгонфлай обозначается как постоянно активная угроза. Активисты Драгонфлай внедряли трояны в легально распростроняемое программное обеспечение для промышленных систем управления, что очень похоже на вирус Staxnet. Данное вредоносное ПО может нарушать работы многих промышленных и инфраструктурных объектов, что делает группировку Драгонфлай крайне опасным противником.

APT28/ Fancy Bear / Sofacy / Pawn storm / Sednit

Группа хакеров, которая, по мнению экспертов, действует преимущественно с часового пояса России с подачи российского правительства. Цели организации представляют интерес для России и при работе хакеры этой организации используют весьма современные и качественные методы, что и доказал недавний взлом WADA. В своё время хакеры взламывали системы НАТО, правительства Польши, различных грузинских министерств и компьютерные системы ОБСЕ. Примечательно, что хакеры активны на территории, где не действует договор о выдаче преступников США.