Top haków

Miesiąc temu pisaliśmy o szyfrującym pliki WannaCry, które zaatakowało ponad 200 tys. urządzeń z Windowsami, ale nie zapewniło twórcom wielkich dochodów – inaczej niż CryptoWall, które przyniosło autorom miliony dolarów zysku z okupów. I choć ransomware to dziś popularny typ zagrożeń, „hakerstwo” ma więcej postaci. Czekając na nowy sezon „Mr Robota”, przyglądamy się kilku z nich.

Za jedno z pierwszych masowo rozprzestrzenionych w sieci zagrożeń uchodzi Christmas Tree („Choinka”) z grudnia 1987 roku. Napisany przez studenta z Uniwersytetu w Clausthal w Dolnej Saksonii robak trafiał do adresatów jako program dołączony do e-maila. Towarzyszyła mu zachęta do uruchomienia pliku EXEC poprzez wpisanie „Christmas” („Boże Narodzenie”). Gdy ofiara to robiła, na ekranie wyświetlał się „obrazek” utworzony w ASCII i życzenia świąteczne, a program sprawdzał książkę adresową użytkownika i sam rozsyłał się do wszystkich kontaktów, uniemożliwiając pracę. W niedługim czasie na kilka dni sparaliżowane zostały całe sieci komputerowe – europejska sieć akademicka EARN, działający na uniwersytetach w USA BITNET oraz ogólnoświatowy VNET.

Podobnie do „Choinki” działał stworzony trzynaście lat później na Filipinach robak „ILOVEYOU”. Nazwa wzięła się od tematu wiadomości, w których jako załącznik rozsyłany był skrypt udający plik TXT z „listem miłosnym”, choć do dystrybucji używane były też kanały czatowe IRC. Po uruchomieniu skryptu HTM – co poprzedzał powtarzany do czasu wyrażenia zgody komunikat, pozwalający obejść zabezpieczenia Internet Explorera – infekcja rozprzestrzeniała się w systemie. Robak podmieniał stronę startową w przeglądarce, w rejestrze pojawiały się wpisy uruchamiające skrypt jeszcze przed zalogowaniem, a login, hasło i adres IP były przekazywane hakerom. Większość plików na dysku zastępowały kopie skryptu, a ILOVEYOU wysyłał się na adresy znalezione w książce adresowej Outlooka. W wyniku działania szkodnika ucierpiało nawet 45 milionów komputerów na całym świecie, serwery e-mailowe ulegały awariom, wśród poszkodowanych znalazły się nawet Pentagon i koncerny w rodzaju DaimlerChryslera. Spowodowane przez robaka rekordowe straty mogły wynieść nawet 10 miliardów dolarów.

Wielu celebrytów, od Madonny po Kim Kardashian, dotykały wycieki prywatnych zdjęć, ale nic nie dorównało akcji znanej jako The Fappening. W 2014 roku na 4chanie, Reddicie i Imgurze w trzech falach pojawiły się setki często nagich fotografii gwiazd takich jak Olivia Wilde, Amber Heard czy Jennifer Lawrence (fot. obok). Materiały pochodziły z chmury iCloud, gdzie urządzenia Apple’a archiwizują wykonywane zdjęcia. Hakerzy uzyskali dostęp do kont ofiar m.in. dzięki personalizowanym wiadomościom phishingowym. Później, na długo przed upublicznieniem materiałów, wymieniali się „zdobyczami” w zamkniętym gronie. W wyniku wciąż trwającego dochodzenia FBI w Stanach Zjednoczonych skazano dotąd dwie osoby.

Im większa baza danych gromadząca rekordy dotyczące użytkowników, tym gorsze mogą być skutki jej wykradzenia. Najpoważniejsze włamania dotknęły serwisu Yahoo. Podupadły gigant przyznał, że w sierpniu 2013 roku nieznani sprawcy zdołali wykraść bazę aż miliarda rekordów, zawierającą imiona, daty urodzin, adresy e-mail i telefony użytkowników, a także ich zaszyfrowane hasła, a rok później wykradziono pół miliarda już nieco lepiej zaszyfrowanych wpisów. Podobnych wycieków było dużo więcej. To, czy twój adres e-mail trafił do upublicznionej w sieci „paczki”, sprawdzisz na haveibeenpwned.com

Stuxnet dowiódł, że nie tylko złoczyńcy posługują się metodami hakerskimi. Dystrybuowany za pośrednictwem pamięci USB robak został przygotowany przez izraelskich hakerów (wspieranych przez Amerykanów) w konkretnym celu – atakował systemy, w których wykrył działanie określonych kontrolerów PLC Siemensa i odpowiednio skonfigurowanych przetwornic częstotliwości. Gdy warunki zostały spełnione, Stuxnet zmieniał częstotliwość podawanego prądu, zakłócając pracę podpiętych urządzeń – w tym wypadku irańskich wirówek gazowych używanych do wzbogacania uranu. Modyfikował też przekazywane dane, by wynikało z nich, że maszyny działają prawidłowo. Wykorzystujący lukę zero-day Stuxnet działał niezidentyfikowany przez ponad rok.

Cyberprzestępcy, którzy dadzą się złapać, po odsiedzeniu maksimum kilku lat za kratami nierzadko robią karierę w sektorze bezpieczeństwa (jak guru pierwszych hakerów, Kevin Mitnick, który włamywał się na serwery firm telekomunikacyjnych). Są jednak i tacy jak widoczny obok Albert Gonzalez, odpowiedzialny za rekordową kradzież aż 170 milionów numerów kart kredytowych i bankomatowych, którymi handlował na czarnym rynku. Pieniądze zarobione w ramach akcji określanej przez siebie „Get Rich or Die Tryin’” („Wzbogać się albo zgiń, próbując”) przeznaczał m.in. na drogie imprezy i pobyty w luksusowych hotelach. Gonzalez odsiaduje obecnie wyrok dwudziestu lat więzienia – do niedawna najwyższą karę wymierzoną w USA hakerowi. Nowym rekordzistą jest syn rosyjskiego parlamentarzysty, Roman Seleznev, któremu w ubiegłym roku po ujęciu na Malediwach wymierzono karę aż 27 lat więzienia. Seleznev dorobił się fortuny na kradzieży numerów kart kredytowych z restauracji i cyberwłamaniach do instytucji finansowych. Ciekawe, co spotkałoby wciąż niezidentyfikowaną międzynarodową ekipę, której stale rozwijane malware nazwane Carbanak pozwoliło wykraść z banków na całym świecie już, jak podają niektóre źródła, nawet miliard dolarów.

Czasem nie ma potrzeby włamywania się gdzieś, bo wystarczy DDoS – atak polegający na wysyłaniu tak wielkiej liczby pakietów do serwerów, że te na wiele godzin przestają działać. Do ataku używane są komputery podpięte do tzw. botnetu, zwykle bez wiedzy właścicieli. W wypadku Mirai, jednego z najbardziej niszczycielskich botnetów, zapytania są wysyłane nawet np. z kamerek sieciowych. Mirai został wykorzystany jesienią ubiegłego roku, gdy francuski operator internetowy OVH był bombardowany zapytaniami z intensywnością nawet terabita na sekundę. Z kolei zwizualizowany na obrazku powyżej atak na Dyn, providera DNS, spowodował niemal całodniową niedostępność wielu usług, m.in. Twittera, Reddita, Netfliksa i Airbnb. W 2007 roku zmasowany DDoS uderzył w Estonię, powodując niedostępność wielu stron rządowych. O atak oskarżani byli prorządowi hakerzy z Rosji.

Już dzieci mają zadatki na cyberwłamywaczy. Kristoffer Wilhelm von Hassel, syn kalifornijskiego informatyka, uporał się z blokadą rodzicielską założoną w konsoli Xbox. Chłopiec odkrył, że gdy wpisze złe hasło, a przy kolejnej próbie wprowadzi ciąg spacji, blokada znika. Po tym, jak jego ojciec zgłosił błąd Microsoftowi, firma umieściła pięciolatka na liście osób zasłużonych dzięki znalezieniu błędów w jej oprogramowaniu. Chłopiec dostał też 50 dolarów, cztery gry i rok abonamentu Xbox Live.