Руски хакери, троянци и наивни депутати: как „изтичат“ държавни тайни

През последните няколко месеца Белият дом често е обект на заглавия в световните медии. И най-интересното не е заради самия американски президент, а заради неговия вече бивш съветник по националната сигурност Майкъл Уолц.

Какво направи той? Като цяло, нищо необичайно. Само веднъж той случайно добави журналиста Джефри Голдбърг в чат в Signal , където се обсъждаха подробности за предстоящ американски военен удар срещу Йемен. Както по-късно стана известно, TeleMessage е била подложена на хакерска атака , в резултат на която са били компрометирани данни на правителствени агенции, включително Митническа и гранична защита на САЩ.

В резултат на това бившият съветник на Тръмп плати с работата си , нарушавайки основни принципи на киберсигурността - от информационната хигиена до правилата за защита на поверителните данни.

Но има още един важен момент в тази история, който си струва да не оставим настрана – личностите. Човекът е най-слабото звено в системата за киберсигурност. И когато тази връзка е високопоставен служител, последствията могат да бъдат огромни.

Европарламентът е събрал примери за най-шумните киберинциденти в световната политика, където първопричината са били именно действията или бездействието на висши служители. Някои от тях завършиха сравнително безболезнено. Други се превърнаха в катастрофи.

Неканен гост с черна тениска или как журналист развали разговора на министрите на отбраната на ЕС

През ноември 2020 г. се проведе поредната затворена видеосреща на министрите на отбраната на ЕС. Поради карантинните ограничения, подобни срещи се провеждаха чрез видеоконферентна връзка повече от шест месеца.

Докато обсъждаха ситуацията със сигурността в региона, млад мъж с черна тениска неочаквано се присъедини към разговора . Той се усмихна на министрите и махна с ръка. Някои от участниците приеха това с хумор, но ръководителят на дипломацията на ЕС, тогава Жозеп Борел, прекъсна доклада му и го помоли да си тръгне незабавно. Непознатият се извини и напусна конференцията.

Този инцидент можеше да си остане вътрешна работа на Европейския съюз, ако не беше едно „но“: външният посетител се оказа журналистът от холандския телевизионен канал RTL, Даниел Верлан.

Как успя да влезе в закритата среща? Той беше подпомогнат от холандския министър на отбраната Анк Бийлевелд. Служител случайно публикува снимка в Twitter с линк към конференцията. URL адресът съдържаше идентификатор на срещата и пет от шестте цифри на необходимия ПИН код.

След като видял тази снимка, Верлан се свързал с холандското правителство. Там му казали, че всичко е под контрол, като казали, че преди да се позволи на всеки участник да участва в разговора, самоличността на всеки участник се проверява чрез уеб камера.

Журналистът решил сам да провери. „Въведох URL адреса, щракнах върху „OK“ и видях екран с искане за ПИН код. Знаех петте цифри, въведох ги, след това добавих „1“, после „2“ – и стигнах до срещата“, каза той .

Макар че ситуацията беше забавна, тя демонстрираше колко лесно външен човек може да получи достъп до поверителна информация.

По това време един висш дипломат нарече епизода „смущаващ“, докато друг каза, че Съветът е имал късмет, че нахлуването не е било по-сериозно. „Следващият път може да е хакер и вече няма да се смеем“, каза той.

Писмо от ООН Мечките

През май 2020 г. Германия официално повдигна обвинения срещу руския хакер Дмитрий Бадин. Федералната прокуратура е издала международна заповед за арест срещу него по подозрение в участие в кибератаката срещу Бундестага през 2015 г.

Въпреки заповедта за арест, Бадин все още е на свобода, вероятно в Русия. Историята, която тази година навършва десет години, обаче остава значима. Това беше една от най-големите и влиятелни кибератаки, засегнали Федерална република Германия.

САЩ обвиняват седем служители на ГРУ, включително Дмитрий Бадин, в глобална хакерска и дезинформационна кампания, насочена към международни спортове по време на Олимпийските игри през 2016 г.

През април 2015 г. членове на германския парламент получиха имейли, в които адресът на подателя завършваше на „@un.org“ – уж от Организацията на обединените нации. Темата на писмото беше за военния конфликт между Украйна и Русия.

Съобщението съдържаше линк към предполагаем бюлетин на ООН. След като кликне върху него, потребителят е пренасочван към фалшив уебсайт, който външно наподобява официален ресурс на ООН, но всъщност инсталира злонамерен софтуер на компютъра - т. нар. „троянски кон“.

Според Spiegel Online първите заразени компютри са тези на депутати от Лявата партия. Това позволи на нападателите да получат достъп до администраторски идентификационни данни. Впоследствие компютрите на фракцията ХДС/ХСС бяха атакувани.

Поради небрежни действия от страна на потребителите, хакерите успяха да останат в системата в продължение на няколко седмици, откраднайки най-малко 16 гигабайта данни, включително имейлите на законодатели и материали от офиса на канцлера Ангела Меркел.

Бадин обаче не действаше самостоятелно. През 2018 г. холандските разузнавателни агенции доказаха връзката му с руската хакерска група Fancy Bear (APT28), която според западните разузнавателни агенции действа под контрола на руското ГРУ.

След това в Холандия беше задържана група руски граждани, които се опитваха да хакнат системата на Организацията за забрана на химическите оръжия. Именно тази институция разследваше употребата на нервнопаралитично вещество срещу Сергей Скрипал и дъщеря му във Великобритания. Тъй като задържаните са имали дипломатически паспорти, те не са били арестувани, но оборудването им е било конфискувано.

На тези устройства служителите на реда откриха цифрови следи, показващи прякото участие на Бадин в атаката срещу Бундестага. Събраните данни също потвърдиха, че тази група има директни връзки с APT28.

Кибератаката беше открита едва в началото на май 2015 г., когато троянският кон вече работеше в цялата мрежа на Бундестага. Някои системи трябваше да бъдат спрени и бяха разгледани планове за пълна подмяна на оборудването. Зловредният софтуер остана активен няколко седмици след откриването му.

Президентите се нуждаят от силни пароли

През октомври 2020 г. холандските медии съобщиха , че хакер Виктор Геверс е хакнал акаунта в Twitter на 45-ия президент на САЩ Доналд Тръмп, като просто е познал паролата. Честно казано, трябва да се признае, че това не беше трудно за изпълнение, тъй като републиканецът използва паролата „maga2020!“. Освен това, президентът дори не е имал двуфакторно удостоверяване.

Въпреки че Белият дом и Twitter първоначално отрекоха, холандските прокурори потвърдиха хакерската атака. Гевърс беше преследван от съд, но прокурорите го определиха като етичен хакер, защото той своевременно съобщи за проблема на властите, не повредил нищо и не се възползвал от достъпа.

Примери за пренебрегване на пароли са имали негативни последици и преди. През 2019 г. например 20-годишен самоук хакер хакна акаунтите на около 1000 германски политици, включително Ангела Меркел.

Той използваше основни пароли като „123456“ и „ILoveYou“, както и такива, които вече бяха изтекли. Министърът на вътрешните работи Хорст Зеехофер заяви, че е шокиран от това колко прости са повечето пароли.

Това позволи на нападателя да получи достъп до голям масив от лични данни - телефонни номера, лични чатове, снимки, контакти и др. - без никакви специални технически средства. - и да ги публикуват публично чрез Twitter като „адвент календар“. Инцидентът беше голям срам за политиците и накара германското правителство да поиска по-добра сигурност на акаунтите и задължително двуфакторно удостоверяване.

Поща, лична и не чак толкова лична

Може би най-известният скандал, свързан с киберхигиената, се случи през 2016 г. с Хилари Клинтън. По време на мандата си като държавен секретар на САЩ тя използваше частен имейл сървър, инсталиран в собствения ѝ дом, вместо официалния правителствен имейл.

Това означаваше, че цялата ѝ работна кореспонденция най-често преминаваше през незащитен частен канал. Общо на сървъра са открити над 30 000 имейла, поне 113 от които съдържат класифицирана информация, която не е трябвало да бъде разкривана извън правителствените системи.

След това ФБР определи действията на Клинтън като „изключително небрежни“, но не ѝ повдигна обвинения. Самата Клинтън доброволно предаде писмата на разследването и сътрудничи на органите на реда. Скандалът оказа значително влияние върху репутацията ѝ и се превърна в централна тема на предизборната кампания през 2016 г. Тръмп и Републиканската партия активно използваха тази история срещу нея.

Примерът на Клинтън се превърна в символ на това как неспазването на основните правила за киберсигурност, дори на най-високо ниво, може да доведе до политическа катастрофа.

Подобен инцидент се случи и в Полша. Ръководителят на кабинета на полския премиер Михал Дворчик е водил правителствена кореспонденция чрез личен имейл акаунт, който не е бил адекватно защитен.

По-специално, личният му акаунт в Gmail съдържаше служебни имейли по въпроси, свързани с отбраната, снабдяването с оръжие, вътрешната политика и други подобни. През юни 2021 г. пощенската кутия е била хакната от хакери, които според разследването са свързани с руски или беларуски специални служби.

В резултат на атаката хиляди имейли от Дворчик и други длъжностни лица бяха откраднати и публикувани публично чрез Telegram. Сред тях е и „строго секретна“ информация от военен характер. Резултатът беше скандал в полското правителство, който доведе до оставката на Дворкчик през 2022 г.

Вместо заключение

Всички гореспоменати инциденти имат едно общо нещо: те не биха могли да се случат, защото извършителите са самите жертви.

Изискваше ли това допълнителни усилия от тяхна страна? Определено не. Особено ако говорим за служители от най-високо ниво. На какво ни учат горните истории? Спазването дори на основни правила за киберсигурност може да ви помогне да избегнете проблеми.

В края на краищата всеки трябва да мисли за тях сега, без да чака, докато новата му работа може да окаже влияние върху цяла държава или регион.

Игор Пилипив, УП