И вот, судя по сообщению, кто-то сумел не только проломить систему защиты, но и обнулить баланс нескольких счетов, перенаправив бабки на зашифрованные криптокошельки. Интересно…
Говорили об убытках почти в миллиард рублей. Это огромная сумма, и я сомневаюсь, что оно действительно так, журналисты все-таки любят преувеличивать. Реальная сумма наверняка на порядок ниже.
Выдохнув, я отложил планшет. У меня даже некоторая зависть проснулась, потому что сам я эту систему взломать в одиночку точно не смог бы. Нет, если бы мне дали месяц на подготовку, подключить фишинг, социальную инженерии и закончить все непосредственным проникновением, сработать в поле… Сделал бы, без вариантов, но все-таки.
Интересные дела. Ответственность за взлом на себя никто не взял, естественно. Когда на кону стоят такие бабки, никто не станет вешать на себя мишень. Интересно все-таки, кто это сделал?
Я открыл браузер перед глазами и вошел в даркнет. И ничуть не удивился, когда увидел, что практически все обсуждали именно это. Но обычный треп меня не интересовал, я влез на узкоспециализированный хакерский форум, куда посторонним доступа не было. И нашел нужную тему.
И обнаружил там полный разбор атаки, которую сделал один из крутейших хакеров в Новой Москве — Андрон. Естественно, никто не знал, кто он на самом деле такой, и он работал исключительно один. Но в последнее время в атаках практически не участвовал, полностью сосредоточившись на том, чтобы разбирать чужие, выявлять слабые и сильные места подходов. Например, та история, в которую мы влипли с Брейном, тоже попала в спектр его внимания, и он разобрал ее достаточно подробно. Без указаний на конкретных людей, этику он соблюдал безупречно.
Не удивлюсь, если это был кто-то из белых хакеров, работающих на корпорации за зарплату. А это для него было хобби.
Я погрузился в чтение, и у меня чуть волосы дыбом не встали от прочитанного.
Атака готовилась заранее, хакеры как минимум месяц изучали инфраструктуру банка. Использовали пассивное сканирование сети, собирали отпечатки серверов, анализировали публичные API и тестировали поведение системы на нестандартные запросы.
Но самое интересное — «канарейка», которую они запустили. Это небольшая, на первый взгляд безобидная утечка данных, намеренно проведенная через старый архивный сервер банка. Логика была простая: если админы замечают проблему и начинают латать систему, значит, они бдят. Если игнорируют — значит, там можно копать дальше. Хакеры «Соляриса» ничего не заметили.
Основным щитом банка была изолированная транзакционная сеть, куда нельзя попасть снаружи. Стандартная схема: даже если взломаешь сайт или сервер клиентского кабинета, доступ к реальным деньгам получить невозможно. Но здесь атакующие использовали изящную уязвимость на грани аппаратного бага. Они нашли сбой в межсетевом шлюзе, который позволял отправлять скрытые команды на сервер обработки платежей. Этот баг был настолько редким, что его даже в базе уязвимостей не было — явно что-то из разряда атаки нулевого дня.
Таким образом они заставили шлюз считать, что пакеты с их команд приходят от легитимного банковского софта. А дальше — классика. Манипуляция логикой транзакций, подмена данных, обход двухфакторной аутентификации. Никаких вирусов, никаких троянов — просто чистый, вылизанный код. Они просто разговаривали с машинами на их языке.
Когда доступ был получен, они разбили сумму на сотни мелких переводов, часть из которых шла на счета подставных компаний, а часть — на старые неактивные счета, которые якобы «случайно» активировались. Он даже подсчитал, сколько было выведено. Сто сорок миллионов рублей. Да уж, годовой бюджет не самой бедной страны.
Но самое интересное — «цепь анонимизации». Они использовали алгоритмы, похожие на кольцевые подписи: деньги переходили через десятки транзакций, ломая цепочку отслеживания.
После успешного вывода злоумышленники замели следы на уровне логов и телеметрии. Оставили в логах кучу фейковых следов, имитирующих активности других пользователей. Полиция найдет сотни подозрительных адресов, десятки аккаунтов, из которых были переведены деньги, и все они будут связаны с обычными людьми, которые даже не догадываются, что стали частью этого хаоса.
Идеальная работа. Но дело не в этом: Андрон выложил еще и часть кода, который использовали хакеры. Исключительно в образовательных целях, естественно. Хрен знает, где он его достал, но выложил. Я зацепился за него, принялся читать, и логика очень быстро напомнила мне что-то, что я видел совсем недавно.
Это Брейн стоит за этой атакой что ли? Нет, бред. Он бы насрал издевательскими комментариями, да и в целом работал гораздо грязнее. Нет. Ему нравился хаос, он любил, когда системы ломались с треском, а админы начинали бегать с выпученными глазами.
А что если? Я влез во вчерашние логи с атаки на хакершу, выцепил несколько фрагментов ее кода, а потом запустил сличение. Анализ шел несколько секунд, а потом выдал совпадение логики и синтаксиса на девяносто шесть процентов.
Что, блин? А как это могла быть она? Атака произошла в пять часов утра, она в это время уже два часа как должна была сидеть в отделении с наручниками и без доступа к сети. Может быть, она ее готовила?
Что ж. Это интересно. Нужно проверить, как она была связана со взломщиками.
Зараза. Жаль, что я не успел скачать данные с ее сервера, иначе сейчас узнал бы. А сейчас там наверняка все отключено, опечатано и вывезено.
Стоп. А что если?
Она вообще была арестована? Отвезли ли ее в участок, оформили как положено? Или что?
Сука, тут ведь что-то не так. Совершенно не так. Нет, может быть, она работала над этими эксплойтами все это время, а потом ее арестовали, но дело закончил кто-то другой. Но слишком уж подозрительно, верно? То, что девушка работает над ограблением, а перед завершающей стадией ее арестовывают, но бабки тем не менее кто-то сливает.
Тут уже я не выдержал и полез в капсулу. Нет, если я с этой историей не разберусь, то она потом мне покоя не даст. Если мне что-то становится интересно, то держите меня хоть семеро, хоть десятеро. Один хрен докопаюсь до сути. Вот и сейчас так же.
Когда капсула погрузила меня в сеть, я подключился к полицейскому архиву того участка, где работал Полковник. Он даже не знал о том, что у меня есть доступ. Но что-то с ним не то.
Я посмотрел задержанных по времени. Перед глазами полетели имена, фамилии, списки правонарушений и фотографии. Но хакерши не было. Это как так?
Пересмотрел еще раз, внимательнее. Нет, никого. Ее точно нет. Может быть, позже оформили? Или наоборот задним числом?
Поставил нужную дату и стал тщательно смотреть. На самом деле протокольных рож было не так уж и много, в основном обычные люди. Была, кстати, подряд целая компания проституток, похоже, накрыли нелегальный бордель.
Но хакерши не было. Ее не оформляли. Что же получается, ее не повезли в участок?
Сука. Это еще что за херня? Во что меня втянули? Это явно не было официальное задержание, несмотря на то, что боди камы работали. Куда ее отвезли в таком случае?
Проверю по камерам. Следы зачищать меня не просили, так что я этого и не делал. А если сделал кто-то другой, то попытаюсь докопаться до сути.
Полез в сеть, вернулся к нужному дому, благо полный доступ к сети у меня уже был. Подключился к серверу видеонаблюдения, и увидел, что записи действительно стерты. То есть следы зачищали. Только вот, если ты хочешь избавиться от них, то нужно взламывать сами капсулы, и зацикливать их. Пусть пишется изображение, но на нем ничего не происходит.
А если удаляешь записи, то их можно восстановить. И тут поможет только низкоуровневое форматирование, когда все забивается нулями.
Запустив HEX-редактор, я настроил его под поиск нужных файлов по нужным датам. Даже если они просто удалены из каталога, то он их найдет. Остается только ждать, работает эта фича относительно медленно.
Некоторое время я просто ковырялся в сети в поисках какой-нибудь информации о арестованной вчера хакерше. И нашел.
