Хакерите, които разбиха системите на Uber - тинейджъри, жадни за слава

През последната година някои от най-големите технологични компании в света станаха жертва на международна група хакери – някои от тях тинейджъри – чиито мотиви понякога изглеждат необичайни, твърдят експерти по сигурността, цитирани от Wall Street Journal.

В понеделник Uber Technologies каза, че е станала жертва на група, наречена Lapsus$, която твърди, че е получила достъп до вътрешните системи на компанията и публикува съобщения до служителите.

Това е поредният такъв случай в забележителната поредица от хакерски атаки. Миналия месец Cisco Systems каза, че е станала жертва на пробив, най-вероятно от хакер, свързан с Lapsus$. А през март групата проникна в мрежите на производителя на чипове Nvidia, на Microsoft, на Okta, Samsung Electronics и други, обявиха компаниите.

Някои хакерски групи инсталират зловреден софтуер или без много шум крадат данни, като информация за кредитни карти или номера на социални осигуровки, които след това продават. Други са подкрепяни от правителства и се опитват да откраднат корпоративни тайни или да извършат шпионаж.

Lapsus$ е различна, казват експертите по сигурност.

Понякога групата изнудва компаниите за пари. Но често мотивацията е свързана с публичността: вид известност, използвана за трупане на доверие сред други хакери, така че евентуално да могат да се обединят за бъдещи престъпни начинания, коментира Алисън Никсън, главен изследовател във фирмата за киберсигуност Unit 221B.

„Те са предимно деца, израснали в онлайн общности, които подготвят деца да извършват киберпрестъпления“, допълва Никсън, която следи групата от миналата година.

Това е аморфен екип, който се крие зад анонимни онлайн псевдоними, но членовете на групата са оставили достатъчно дигитални следи, че някои от тях да бъдат идентифицирани от властите и от отделни изследователи. Групата вероятно включва членове от Бразилия и Великобритания, някои от които са тинейджъри, казват властите. За краткия си живот тя е развила набор от техники, които, макар и да не са технически сложни, се оказаха изключително ефективни при проникване в някои от най-големите технологични компании в света.

Много от тези опити са свързани с атакуване на самите системи, които компаниите са създали, за да работят ефективно по време на ерата на дистанционната работа. Нападенията са срещу системите, които компаниите използват за нулиране на пароли и отдалечен достъп до корпоративни мрежи.

„Тези деца са разработили много успешна методология“, казва Марк Роджърс, бивш директор по сигурността на Okta, който сега е главен директор по сигурността на Q-Net Security.

В случая на Uber хакерът вероятно е закупил от тъмния интернет потребителско име и парола, принадлежащи на някой от поддоставчиците на Uber, след като те са били откраднати от компютъра на въпросния поддоставчик чрез зловреден софтуер, посочва Uber в публикация в блога си. След това хакерът е опитал да използва тези данни, за да влезе в системите на Uber.

Тъй като Uber изисква двуфакторна идентификация за влизане, тези опити са изпратили съобщения до телефона на подизпълнителя с въпрос дали той наистина се опитва да влезе. Първоначално това е спряло атаката, но хакерът не се е отказал и е продължил да изпраща заявки. В крайна сметка поддоставчикът е приел една, а атакуващият е успял да влезе, пише Uber.

В някои случаи, след като са успели да пробият, хакерите са се насочили към частите за кризисни комуникации и вътрешните системи за известяване, за да получат повече информация за начина, по който мисли жертвата, и доколко е наясно с атаката, твърди Microsoft в публикация в блога си от март. Samsung, Nvidia и Microsoft посочват, че групата е откраднала изходен код или лична информация от тях.

В случая с Nvidia групата поиска от компанията да промени лицензионните условия на част от своя софтуер, като вместо това го пусне като свободен за споделяне с отворен код. След хакването на Okta групата отправи критики към публичните изявления на компанията за инцидента – очевиден опит да се подиграе с жертвата си. Групата предположи, че Okta трябва да публикува доклад за разследването от външната фирма Mandiant, ако иска обществото да има доверие в нейните усилия.

„Ако държите на прозрачността, какво ще кажете да наемете фирма като Mandiant и ПУБЛИКУВАТЕ доклада ѝ?“, написа групата в своя канал в Telegram на 22 март. „Сигурен съм, че ще бъде много различен от вашия доклад“.

Публични изявления като това допринасят за известността на групата, казва Никсън. Но в крайна сметка тази известност доведе до действия от страна на властите.

През април полицията в Лондон повдигна обвинения на двама тинейджъри във връзка с хакерската атака, твърдя следователите и полицията. Тинейджърите, които са били на 16 и 17 години по време на ареста, очакват процес, насрочен за юли следващата година, обяви във вторник полицейският инспектор Майкъл О‘Съливан.

Федералното бюро за разследване (ФБР), което се занимава с атаката срещу Uber, отказва да коментира Lapsus$.

Хакерът, който твърди, че е пробил системите на Uber, не е отговорил на запитването на Wall Street Journal за коментар по въпроси за случилото се, но е казал, че 24 журналисти са се свързали с него.

Въпреки че по-голямата част от дискусията за киберсигурността се фокусира върху усъвършенствани техники, Lapsus$ е проникнала в много компании просто като е идентифицирала правилните цели в рамките на корпорацията, а след това е действала умно и с постоянство.