Кибернаемник взламывает аккаунты кандидатов в президенты, журналистов и врачей в Google и Telegram

Участие в цифровых расследованиях сильно отличается от традиционных изображений полицейских, спрятанных в затемненных пикапах. Просто спросите исследователя кибербезопасности из Нидерландов Фейке Хаккуборда, который провел несколько месяцев за экраном своего компьютера, отслеживая действия хакерской команды под названием RocketHack, когда ему повезло в октябре 2020 года. Данные, собранные его работодателем, Trend Micro, показали, что веб-страница, которую RocketHack использует для отслеживания своих жертв. Не требуя ввода пароля, он фактически предоставил ему выставочную площадку для бурной хакерской операции за определенную плату.

Этот взлом привел к открытию, что за последние четыре года русскоязычная команда RocketHack незаметно проникла в учетные записи электронной почты, Telegram, компьютеры и телефоны Android до 3500 человек. По словам Хаккборда, цели варьируются от журналистов, правозащитников и политиков до инженеров по коммуникациям и врачей ЭКО в нескольких десятках клиник.

Его выводы предоставляют поразительные доказательства того, что наряду с устоявшимися (хотя и спорными) компаниями, такими как израильская NSO Group, которые предоставляют услуги правоохранительным органам для взлома устройств, существует секретная индустрия таких игроков, как RocketHack, которые вторгаются в цифровую жизнь людей за самые высокие заработки. Прайс, будь то правительственный или корпоративный шпионский агент, сталкер или оскорбляющая жена.

Бизнес-модель RocketHack, согласно отчету Hacquebord, описанному в Forbes В преддверии публикации в среду на конференции по безопасности Black Hat Europe все просто: «Он собирает большинство личных и личных данных компаний и частных лиц, а затем продает эти данные тем, кто хочет за них заплатить». По словам Хакоборда, помимо доступа к электронной почте людей, команда также продавала журналы вызовов с вышек сотовой связи, данные авиакомпаний и банковскую информацию. Forbes.

Основным методом взлома RocketHack является фишинг с использованием электронных писем, содержащих ссылки на поддельные страницы входа в Google Gmail, службу зашифрованной электронной почты Protonmail и Telegram, а также другие. В заявлении хакеров от 2018 года говорилось, что взлом Protonmail, ориентированный на безопасность, был самой дорогой услугой для него и стоил 50 000 рублей (700 долларов по сегодняшнему курсу), в то время как взлом аккаунта Gmail обошелся бы в 40 000 рублей. Но есть свидетельства того, что с некоторыми российскими поставщиками электронной почты они имеют более глубокий доступ, предлагая доступ к учетным записям без необходимости обманывать пользователя с помощью фишинговых писем.

Список его клиентов до сих пор неизвестен, но, похоже, он разнообразен и, вероятно, будет включать клиентов из национального государства. В целевом списке значились два кандидата в президенты Беларуси и член оппозиционной партии в стране, где деспотическое правительство стремилось подавить инакомыслие. Частные электронные письма министра обороны одной из восточноевропейских стран и бывшего главы неустановленной разведывательной службы также стали мишенью. В этом году преследованиям подверглись все правительственные чиновники Украины, Словакии, России, Казахстана, Армении, Норвегии, Франции и Италии. Предыдущие объявления на секретных форумах, подробно описанные сингапурской фирмой по кибербезопасности Group-IB, указали, что командам предлагалось проверить кредитные истории людей и выяснить, разыскиваются ли они международными правоохранительными органами.

Хаккборд утверждал, что ряд хакерских атак на правозащитников и журналистов в Узбекистане, о которых ранее подробно рассказывали Amnesty International и канадская некоммерческая организация Equalit.ie, были совершены RocketHack. Среди них был и главный редактор сайта узбекских СМИ. Также жертвами стали более 25 журналистов со всего мира.

К удивлению Хакборда, до 70 докторов ЭКО были взломаны. В списке хакеров был и российский налоговый инспектор. Исследователь сказал, что, возможно, RocketHack нацелился на этих людей не по какой-либо конкретной причине, а потому, что они были осведомлены о большом количестве личных данных, которые впоследствии можно было продать. «Похоже, они ищут источники или свою информацию, возможно, чтобы продать больше».

Для атак, направленных на финансы, он создал различные фишинговые сайты для обмена криптовалютой и кошельков криптовалюты. Согласно исследованию, особое внимание уделялось лондонской криптовалютной бирже Exmo. Не только RocketHack преследовал клиентов, но и не топ-менеджеры Exmo. Директор компании был похищен в Киеве, Украина, в 2017 году, затем похитители выбросили его из машины на шоссе, сказал он. Отчеты. (Exmo не ответила на запрос о комментарии во время пресс-релиза.)

Помимо фишинга, группа запускает шпионское вредоносное ПО на устройствах Android и Windows, добавил исследователь. Узнайте, что у шпионского ПО для Android есть модули для взлома WhatsApp, записи звонков и отслеживания местоположения.

Десятки жертв в день

Группа не сбавляет обороты. Каждый день Хаккборд видит новых жертв RocketHack. «Каждый день, вероятно, ставятся десятки новых целей», — говорит он.

Хотя они говорят по-русски, их происхождение неясно. Олег Дуров, руководитель отдела исследований сингапурской компании по кибербезопасности Group-IB, сказал, что хакерская команда впервые появилась для оказания услуг в зашифрованном мессенджере Jabber в 2017 году, часто уделяя особое внимание ВК. Дуров добавил, что, поскольку социальная сеть пользуется популярностью в постсоветских странах, это может дать «основания предполагать, что злоумышленник может быть из постсоветского региона и также имеет там клиентов».

RocketHack — лишь один из многих операторов подпольной работы, которые предлагают эти услуги по найму хакеров. Как сказал исследователь компании электронной разведки Intel 471: ForbesРынок захвата аккаунтов очень прибыльный, и, как объясняет RocketHack, не нужно много усилий, чтобы нанести большой ущерб.

«Киберпреступники действуют в относительно конкурентной среде», — добавил Джуров.

Hacquebord сообщил, что только несколько жертв RocketHack были взломаны. Но, наблюдая за группой более года, он теперь планирует сообщить о деятельности RocketHack в правоохранительные органы. Он не уверен, какой эффект это будет иметь. «Я думаю, что многие страны могут рассматривать своих кибернаемников в своем регионе как национальное достояние», — добавил он. «Так что им трудно сказать им просто выключить их».