Открыть список
Как стать автором
Обновить
2676.5
Рейтинг
Маклауд
Облачные серверы на базе AMD EPYC

Подстава века или таинственная история взлома Ситибанка

Блог компании МаклаудИнформационная безопасностьИстория IT


Было время, когда хакеры промышляли взломом ради удовлетворения собственного любопытства и исследовательского зуда, а вред, который могли причинить вредоносные программы, ограничивался переворачиванием изображения на экране вверх тормашками и доносящимися из динамика компьютера неприличными звуками. Потом времена изменились, и на первое место вышли корыстные мотивы. Киберпреступность взяла на вооружение самые современные методы взлома, и одной из основных целей хакерских атак стали банки. Как говорится, just a business, ничего личного.


Один из самых громких случаев взлома банков — далеко не первый, но получивший широкую огласку в СМИ — случился еще в 1994 году, и имел, как принято говорить сейчас, «русский след». 30 июня 1994 года выпускник Ленинградского технологического института, 27-летний микробиолог Владимир Левин вторгся в компьютерную систему американского «Ситибанка», и в течение пяти месяцев похитил с клиентских счетов более 12 млн. долларов. При этом порядка четверти миллиона до сих пор не найдено, несмотря на старания сотрудников ФБР, которые принимали активное участие в расследовании инцидента. Поскольку злодей не уделял достаточного внимания собственной анонимности, фэбээровцы довольно быстро выяснили, что взлом осуществлялся из помещения питерской компьютерный фирмы «Сатурн СПб», а с помощью сотрудников МВД России быстро установили личность хакера. Им и оказался сотрудник этой небольшой компании Владимир Леонидович Левин, 1967 года рождения, проживавший с родителями в скромной квартире на Светлановском проспекте. Так как в российском Уголовном кодексе того времени отсутствовала статья за компьютерные преступления, привлечь Левина к ответственности не представлялось возможным. Чтобы арестовать хакера, сотрудники спецслужб решили выманить его за границу, для чего затеяли целую психологическую игру. Они заставили задержанных подельников звонить Левину по телефону с сообщениями, что его вот-вот поймают, а их российские коллеги натравили на Владимира братков, требовавших поделиться нетрудовыми доходами. Не выдержав такого прессинга, Левин решил сбежать в Великобританию к знакомому своей матери, где и был задержан прямо в аэропорту Стэнстед, едва спустившись с трапа самолета. Произошло это 3 марта 1995 года.



Надо сказать, что данный взлом осуществлялся по всем правилам классических киберпреступлений: деньги небольшими порциями переводились на счета в других банках, а затем обналичивались с помощью дропов или «мани мулов» — нанятых курьеров, снимавших украденные средства со своих пластиковых карт или банковских счетов наличными. При этом сами дропы не были знакомы с нанимателями: обычно их используют «в тёмную», предлагая подработать в качестве посредников при выполнении денежных переводов, или прикрывая подобную деятельность какой-нибудь легендой вроде финансовой пирамиды. Все взаимодействия между киберпреступниками и дропами происходит дистанционно. Соответственно, «денежных мулов» полиция ловит в первую очередь, что и произошло в случае с Левиным: задержанные начали давать показания. Правда, они мало чем помогли полицейским, кроме, разве что, понимания масштабов аферы и возможности вернуть пострадавшим большую часть похищенного. Именно этим, в частности, и объясняется столь малый срок, полученный «русским хакером» за совершенное им преступление.

Отсидев чуть больше 12 месяцев в британской каталажке, Владимир Левин был экстрадирован в США, где суд назначил ему 3 года лишения свободы. Но ещё до этого, благодаря многочисленным публикациям СМИ, Левин заработал репутацию величайшего и крутейшего хакера современности, встав в один ряд с Кевином Митником, Джонатаном Джеймсом и прочими парнями, оставившими свой след на пыльных тропинках далёких планет мировой киберпреступности. Казалось бы, бдительность сотрудников «Ситибанка» и профессионализм агентов ФБР позволили быстро раскрыть «преступление века» и вернуть большую часть украденного своим законным владельцам. Но есть в этом деле пара тёмных пятен, которые не позволяют сказать, что мировой общественности известны абсолютно все детали этого громкого киберпреступления.

Во-первых, несмотря на все старания, дознавателям так и не удалось откопать в недрах банковских серверов следов действия вредоносных программ. Кроме того, по свидетельствам знакомых, фидошник Левин не производил впечатления компьютерного гения, да и в компании «Сатурн СПб», где он трудился сисадмином, звезд с неба не хватал. Возникло предположение, что причиной взлома «Ситибанка» стал человеческий фактор, возможно, социальная инженерия, методы которой успешно использовал на практике еще старина Кевин Митник. Говоря по-простому, сотрудникам банка просто задурили голову, выманив у них информацию, необходимую для доступа к клиентским счетам.

И вот тут-то возникает второй вопрос, который ставит под сомнение всю эту широко разрекламированную историю про гениального русского хакера, провернувшего на известном месте банковскую систему Соединенных Штатов Америки. Дело в том, что Владимир Левин в достаточной степени не владел английским языком. И в школе, и в институте он учил французский, а язык Шекспира знал на уровне «Ландан из зэ кэпител оф Грейт Британ» и чтения технической документации со словарем. По слухам, разговорный английский он смог выучить, уже находясь в американской тюрьме, благо, там у него появилось для этого достаточно свободного времени. Напрашивается вывод: сам Владимир Левин вряд ли мог использовать социальную инженерию или изощренный хакерский инструментарий для совершения этого преступления. В пользу такого вывода говорит и тот факт, что после ареста сотрудники ФБР пытались привлечь Левина к сотрудничеству, однако крепко обломались. Не потому, что русский хакер отказывался работать на спецслужбы вероятного противника, а потому, что оказался бесполезен — его квалификация не позволяла принять деятельное участие в дальнейшем расследовании. Так кто же тогда взломал «Ситибанк»?

Достоверных и проверенных фактов на этот счёт нет до сих пор, поэтому история быстро обросла слухами, предположениями и домыслами. Кое-где писали, что взлом оказался столь успешным благодаря банковскому инсайду, а именно, заинтересованному участию в хищении некоторых нечистых на руку сотрудников. Но в самом банке, разумеется, провели внутреннее расследование инцидента, результаты которого не были опубликованы, однако никаких отставок, арестов, или громких увольнений за этим не последовало. Значит, сотрудники банка здесь всё-таки ни при чём.

Эта история так навсегда и осталась бы покрыта мраком неразгаданной тайны, если бы 17 апреля 2012 года в дайджесте «Независимый обзор провайдеров» не была опубликована статья «Дело Левина: недостающее звено», которая сейчас уже благополучно выпилена из этих ваших интернетов. В заметке некий анонимный хакер под ником ArkanoiD поделился с читателями подробностями о том самом легендарном взломе, одним из участников которого он, по его собственным словам, являлся. К тому моменту все сроки давности данного преступления уже давно прошли, поэтому ArkanoiD’у было нечего опасаться. А у общественности, соответственно, нет ни малейших оснований не доверять его словам.

Итак, ArkanoiD поведал, что за взломом «Ситибанка» на самом деле стояла международная группа хакеров, которая занималась исследованием безопасности сетей, построенных с использованием протокола X.25. В 1994 году эта технология широко применялась для построения LAN на базе телефонных сетей, поскольку протокол позволял осуществлять передачу данных через низкокачественные линии с большим количеством ошибок благодаря развитому механизму их коррекции. Именно протокол X.25 использовался в сетях «Ситибанка». Обнаруженные уязвимости в механизме авторизации пользователей позволили хакерам получить доступ к BBS — электронной доске объявлений банка. Видимо, для удобства взломщиков BBS показывала всем желающим собственные файлы конфигурации, а также список IP-адресов доступных по протоколу ARP узлов с комментариями на английском языке. Соединившись со всеми узлами по очереди, хакеры получили доступ к нескольким шлюзам, через них — к модемным пулам и внутренней сети «Ситибанка». Был обнаружен роутер, к которому можно было подключиться Telnet’ом из внутренней банковской сети, и наоборот, из интернета попасть через этот роутер в сеть «Ситибанка», а из нее — в электронные почтовые ящики нескольких сотрудников. Поскольку логины и пароли для доступа к банковским счетам клиентов часто передавались в почте в незашифрованном открытом виде, перехват сообщений e-mail позволил злоумышленникам собрать неплохую коллекцию учетных данных. Некоторые пароли были получены с помощью брутфорса, благо, они оказались нестойкими к перебору по базовому словарю. Из этой же скомпрометированной сети они без всякого труда скачали инструкции по доступу к различным внутренним сервисам банка.

Несмотря на то, что внутренняя сеть «Ситибанка» все-таки была оснащена системой предупреждения о несанкционированном доступе, служба безопасности никак не реагировала на многочисленные автоматические сообщения о вторжении, что позволило взломщикам действовать практически не скрываясь. Раздолбайство админов доходило до того, что, по словам ArkanoiD’а, однажды он запустил на одном из банковских серверов игру Star Trek и рубился в нее по сети, так и оставшись незамеченным. ArkanoiD утверждал, что вскоре его группа получила фактически полный доступ к банковской инфраструктуре — хакеры обладали админскими паролями от внутренних серверов, располагали поэтажными планами размещения оборудования в офисах «Ситибанка», данными для доступа к клиентским счетам и даже иногда помогали сотрудникам решать мелкие технические проблемы.

Отчасти столь наплевательское отношение со стороны службы безопасности «Ситибанка» объяснялось тем, что дыры в инфраструктуре были хорошо известны сотрудникам, и часть устаревших устройств планировалось в скором времени заменить. Сама же межбанковская сеть Sprintnet, объединявшая офисы самого «Сити» и несколько других банков, считалась достаточно защищенной для того, чтобы туда осмелились влезть американские хакеры. Никто попросту не ожидал, что к ней получат доступ взломщики из-за океана.

Однако вторгшиеся в банковскую сеть хакеры оказались не только опытными, но и в известной степени разумными — они прекрасно понимали, что стоит им перейти от изучения инфраструктуры и перехвата электронной почты к выкачиванию денег с банковских счетов, как взлом будет тут же обнаружен, а за их поиск примутся люди посерьезнее ленивых системных администраторов. Последствия могли оказаться намного круче возможной прибыли. Поэтому, вдоволь наигравшись со взломанной сетью, один из участников группы продал доступ к ней первому желающему за 100 долларов наличными. Этим желающим оказался Владимир Левин.

Что же касается личности самого таинственного ArkanoiD'а, то в 2005 году Lenta.ru писала о нем следующее:

На российской и международной хакерской сцене имя ArkanoiD хорошо известно, и в ряде версий неофициальных хит-парадов компьютерного андерграунда он, наряду с такими персонажами, как Solar Designer, относится к числу наиболее квалифицированных хакеров на территории бывшего СССР.


В целом, рассказанная им история выглядит вполне правдоподобно. В 1994 году даже крупные банки не особо заботились об информационной безопасности, а сети многих предприятий, включая государственные конторы и серьезные исследовательские институты, часто представляли собой форменной дуршлаг. Получается, что Владимира Левина фактически подставили, вернее, он подставил себя сам, решив воспользоваться купленной за 100 баксов информацией для собственного обогащения, и не рассчитав последствия. А фебеэровцам и службе безопасности банка было, очевидно, лень искать реальных хакеров, получивших несанкционированный доступ к сети, когда похититель чужих денег — вот он: сидит за компьютером в офисе скромной питерской фирмы, и даже почти не скрывается. В результате каждый получил то, что хотел: админы банка — хороший урок, сотрудники спецслужб — премию и новые звания, клиенты —похищенные у них деньги обратно, а Владимир Левин — тюремный срок и репутацию самого крутого хакера России и близлежащих окрестностей.

После отсидки Владимир Левин исчез с радаров СМИ, и о его дальнейшей судьбе практически ничего не известно. Возможно, ему вполне хватило шумихи двадцатисемилетней давности, благодаря которой его судьба навсегда изменилась, и далеко не в лучшую сторону. Изменилась и история информационной безопасности: после этого громкого взлома банки стали бережнее относиться к охране своего сетевого периметра, а защита данных быстро превратилась в богатую многомиллионную индустрию. Конечно же, эта атака на банк стала далеко не последней в истории человечества. Были и другие громкие взломы, о которых мы расскажем в следующий раз.



Наши серверы можно использовать для разработки на любых языках программирования.

Зарегистрируйтесь по ссылке выше или кликнув на баннер и получите 10% скидку на первый месяц аренды сервера любой конфигурации!

Теги:информационная безопасностьисториявзломыхакерыситибанкограблениеограбление банка
Хабы: Блог компании Маклауд Информационная безопасность История IT
Всего голосов 62: ↑58 и ↓4 +54
Просмотры18.4K

Похожие публикации

Лучшие публикации за сутки

Информация

Дата основания
Местоположение
Россия
Сайт
macloud.ru
Численность
11–30 человек
Дата регистрации
Представитель
Mikhail

Блог на Хабре