Ако течът на лични данни от Националната агенция по приходите през лятото на 2019 г. разбуни духовете в България, а киберпрестъпници и теч на огромни масиви от данни на няколко пъти изправиха Facebook и потребителите му на нокти за последните две години, то това съвсем не е новост в света на интернет.
Видяхме го и през 2017 г. с американския гигант за отчитане на потребителски кредити Equifax. През септември същата година компанията призна, че е хакната и поверителната лична информация на десетки милиони американци е компрометирана.
Equifax е една от трите най-големи агенции за отчитане на потребителски кредити, събира и обработва информация за над 800 милиона индивидуални потребители и повече от 88 милиона предприятия по целия свят.
Гигантът в бизнеса с информация за кредитен статус първо обяви, че са засегнати 143 милиона души, а по-късно се оказаха дори повече - 147 милиона и 9 хиляди.
Имена, дати на раждане, номера за социално осигуряване - всички откраднати в безпрецедентен пробив. Три години по-късно се оказва, че това е една от най-големите в историята кражби на лична информация, организирани от чужда държава, и за виновник бе посочен Китай.
В началото на миналата седмица американското правосъдно министерство обвини четирима членове на китайската Народна освободителна армия за хакването на Equifax. Което допълнително ескалира и без друго напрегнатите отношения между САЩ и Китай.
„От години наблюдаваме ненаситния апетит на Китай за личните данни на американците. Такъв тип атака срещу нашия бизнес съответства на други китайски незаконни придобивания на поверителни лични данни", каза американският главен прокурор Уилям Бар.
Той визира случай, в който през 2015 г. правителствената агенция на САЩ Office of Personnel Management, беше атакувана и китайски хакери бяха заподозрени, че са откраднали огромни количества дълбоко засекретени данни, свързани с държавните служители. Както и по-скоро огласени пробиви в хотелската верига Marriott и здравно-осигурителната компания Anthem.
Макар и в цитираните случаи да става дума за големи пробиви, Equifax изпъква заради огромния брой засегнати, както и заради типа информация, придобита от хакерите. А фактът, че информацията не стигна до "тъмния уеб", само засили съмнението, че зад атаката стои държава, а не обикновени крадци. Като потвърждение на съмненията дойде изчерпателният обвинителен акт (включващ девет обвинения), на Министерството на правосъдието миналия понеделник.
Голямото хакване
На 7 март 2017 г. Apache Software Foundation оповестяват, че някои версии на софтуера им Apache Struts са уязвими. Става дума за сериозен тип бъг, тъй като дава на хакерите възможност да пробиват системи от където и да е по света. Компанията предложи инструкции как да се преодолее проблемът.
Equifax, които са използвали софтуерната рамка на Apache Struts в системата си за разрешаване на спорове, тогава игнорират предложените мерки за безопасност. И няколко седмици по-късно китайските хакери проникват в системите на Equifax, твърди правосъдното министерство.
Уязвимостта на Apache Struts е била отправна точка. Оттам четиримата хакери, чиито имена биват огласени, в продължение на седмици проучват системите, като изпращат заявки, за да придобият по-добра представа за структурата на базите данни на Equifax.
Според обвинителния акт на 13 май един от хакерите подал команда на Structured Query Language (SQL), за да идентифицира общи подробности за таблица с данни на Equifax, след което изтеглил записи от базата данни. Хакерите качили така наречен web shell, за да получат достъп до уеб сървъра на Equifax.
Събрали данни за достъп, което им осигурило безпрепятствен достъп до бекенд базите данни. Казано по-разбираемо, представете си влизане в сграда - много по-лесно е, ако жителите са оставили отключен прозорец на партера и след като влезете, крадете карти за достъп на служителите.
Оттам нататък те си устроили истинско пиршество с данни. Обвинителният акт твърди, че хакерите първо изпълнили поредица от SQL команди, за да открият особено ценни данни. В крайна сметка намерили хранилище от имена, адреси, номера за социално осигуряване и дати на раждане. Министерството на правосъдието твърди, че те са изпълнили общо 9000 заявки, като не са спрели до края на юли.
Събирането на толкова много данни е едно, но измъкването им незабелязано е съвсем друго. Китайските хакери изглежда са използвали няколко техники, за да запазят достъпа си до хранилищата данни.
Според Министерството на правосъдието, те са съхранявали откраднатите данни във временни файлове. Особено големите файлове те компресирали и разделили на по-лесни за боравене размери. Според обвинителния акт в един момент те разделили архив, съдържащ 49 папки, на части от по 600 мегабайта. Това е поддържало предаваните данни достатъчно малки като размер, за да се избегнат подозрения.
След като изнесли данните, те изтрили компресираните файлове, за да ограничат до минимум следите от действията си. Помогнал и фактът, че са били достатъчно дълбоко в мрежата на Equifax, за да използват съществуващите фирмени криптирани канали за комуникация, за да изпращат заявките и командите си. Всичко изглеждало като нормална мрежова активност.
Обвинителният акт описва в подробности как китайският екип е създал 34 сървъра в 20 държави, за да проникне в Equifax, като е затруднил локализирането им. Те са използвали криптирани протоколи за влизане в системите, за да прикрият връзката си с тези сървъри, и поне в един случай са изтривали логовете на сървъра ежедневно. На практика те са били като призраци.
Да вземем например един инцидент, описан от Министерството на правосъдието: на 6 юли 2017 г., един от хакерите достъпил мрежата на Equifax от швейцарски IP адрес. После той използвал откраднато потребителско име и парола за служебен акаунт, за да влезе в базата данни на Equifax.
Оттам той правил заявки в базата за номера за социално осигуряване, пълни имена и адреси и ги съхранявал във файлове. Създал компресиран файлов архив на резултатите, копирал го в различна папка и го изтеглил. След като вече разполагал с данните, изтрил архива.
Ако това се повтаря в рамките на няколко седмици, се получава информацията на 147.9 млн. души, оказала се в ръцете на чуждо правителство.
Въпреки че действията им са били свързани с определени нива на сложност, самите Equifax са направили задачата им много по-лесна, отколкото е трябвало да бъде. Като начало е трябвало компанията да отстрани с препоръчаните методи първоначалната уязвимост на Apache Struts.
Оплакване до Федералната комисия по търговия (FTC) от миналото лято установява и че компанията е съхранявала административни данни за достъп в незащитен файл като чист, некриптиран текст. Equifax са съхранявали и 145 млн. номера за социално осигуряване и други потребителски данни в некриптиран текстов формат. Те не са сегментирали базите данни, което би ограничило изтичането на данни.
Липсвала е и адекватна система за мониторинг и са се използвали отдавна изтекли сертификати за безопасност. Списъкът продължава с още проблеми. Equifax не само са допуснали китайските хакери в сейфовете си, но са оставили универсалния ключ за всички врати на сейфове на видимо място.
"Благодарни сме на Министерството на правосъдието и ФБР за неуморните им усилия в установяването, че китайските военни са отговорни за кибер-атаката срещу Equifax през 2017 г. Успокояващо е, че федералните агенции и органи на реда третират с подобаваща сериозност киберпрестъпленията, особено тези, зад които стоят други държави", казва в изявление изпълнителният директор на компанията Марк Бегор.
„Освен да гарантираме, че това няма повече да ни се случи, целта ни е да помогнем максимално да се намали вероятността това да се случи с други организации", коментира Джамил Фаршчи, директор по сигурността на информацията в Equifax.
Обявяване на виновните
Някои елементи от хакването на Equifax, особено ролята на уязвимостта в Apache Struts, са публични от доста време. Но обявяването на Китай като извършител на атаката добавя важно ново измерение и в контекста на инцидента с Equifax, и в международните отношения.
САЩ и Китай преминаха през бурни няколко години в областта на киберсигурността. През 2014 г. Министерството на правосъдието обвини петима членове на китайската Народна освободителна армия в хакерски престъпления срещу американски компании. Следващата година двете държави подписаха "дигитално примирие", което повече или по-малко се запази до края на администрацията на Обама.
В последните години обаче има индикации, че примирието е приключило. Хакванията на Marriott и Anthem са започнали през 2014 г. - преди примирието с Обама. Китай обаче напоследък все повече се фокусира върху кибератаки в услуга на корпоративния шпионаж. Това включваше компрометирането на инструмента за сигурност Ccleaner, за да се създаде вратичка за достъп в корпоративни мрежи, употреба на хакерската група APT10 за проникване в така наречените Managed Service Providers като отправна точка към проникването в десетки уязвими компании.
Тази агресия, съчетана с обвиненията в необуздана кражба на интелектуална собственост и продължаваща търговска война, допълнително внасят напрежение в отношенията между САЩ и Китай. Добавянето на Equifax към всичко това е уникално притеснително развитие на събитията.
"Тези данни имат голяма икономическа стойност и тези кражби могат да подхранват развитието на китайските инструменти за изкуствен интелект, както и създаването на пакети данни за тартегиране от разузнаването. Нашите случаи разкриват модел на държавно подкрепяно проникване в компютри и кражби от Китай, насочени срещу търговски тайни и поверителна информация на бизнеса", заяви Бар.
Пресконференцията в понеделник е едва вторият път, в който САЩ предявяват обвинения срещу китайски военни хакери, назовавайки ги поименно (APT10 се смятат за не-военни, но са свързани с китайското Министерство на държавната сигурност). Първият път беше през 2014 г. Както и тогава, и както все по-често се случва с назоваването на руски хакери в обвинения от Министерството на правосъдието, тази стъпка има потенциални негативни последици.
"Опасявам се, че китайците ще реагират в стила на „око за око, зъб за зъб", казва бившият анализатор от Националната агенция за сигурност на САЩ Дейв Айтел.
Също така си заслужава да се прецени доколко практично е да бъдат изправени обвинените в тези престъпления пред правосъдието, като се има предвид, че те са китайски граждани, работещи в услуга на правителството си.
"Някои може да се питат какъв смисъл има това, когато тези хакери не са достъпни за нашето правосъдие Използваме нашия уникален авторитет, опит и способности, с помощта на партньорите ни в страната и чужбина, за да се борим с тази заплаха всеки ден и ще продължаваме да го правим", заяви зам.-директорът на ФБР Дейвид Баудич на пресконференцията в понеделник.
За жертвите на хакването на Equifax - близо половината от всички граждани на САЩ, разкритието, че Китай е стоял зад пробива, не променя много ситуацията, освен ако сте някой, който тази държава може да избере за мишена от гледна точка на разузнавателна информация.
В крайна сметка, позволяващата лично идентифициране информация може да бъде лост за влияние. Но за повечето хора нищо не се променя - те трябва да следят отблизо банковите си сметки и да получат компенсации за пробива.
Реалното притеснение е по-скоро екзистенциално. Остава неясно до каква степен това ще задълбочи и без това проблемните отношения между двете глобални сили. И все пак е обезпокояващо колко лесно е било да се извърши кражба на данни с толкова безпрецедентни мащаби. И са били нужни само четирима души, за да се събере личната информация на половината от населението на САЩ.
