Федеральное Бюро Расследований (ФБР) США борется с агрессивной киберпреступной группировкой, которая уже два года причиняет серьезные проблемы корпоративной Америке. Об этом заявили девять экспертов по кибербезопасности, специалистов по цифровым преступлениям и потерпевших, передает Bizmedia.kz.
ФБР знает идентичности по крайней мере дюжины членов этой хакерской группы, ответственной за разрушительные взломы в сентябре в казино-операторах MGM Resorts International и Caesars Entertainment, сообщают четыре знакомых с расследованием источника.
Представители индустрии, опрашиваемые Рейтер, выразили недоумение по поводу отсутствия арестов, несмотря на то, что многие хакеры находятся в Соединенных Штатах. «Я бы хотел, чтобы кто-то объяснил мне это», — сказал Майкл Сентонас, президент CrowdStrike, одной из ведущих фирм по реагированию на взломы. «Они создают хаос, действуя в рамках такой небольшой группы», — добавил Сентонас в интервью Рейтер в прошлом месяце. Он также подчеркнул, что хакеры «известны», но не предоставил подробностей. «Я считаю, что здесь есть ошибка», — отметил он. Когда его спросили, кто несет ответственность за ошибку, Сентонас указал на правоохранительные органы.
ФБР заявило, что расследует взлом игровых компаний, но представитель агентства отказался комментировать ответственную группу или положение расследования. Представитель Министерства юстиции также отказался давать комментарии.
Группировка хакеров, известная как «Разбросанный Паук», активна с 2021 года, но стала известна после серии взломов нескольких известных американских компаний. Например, взлом MGM парализовал операции его казино и отелей на несколько дней и причинил компании ущерб, оцененный примерно в 100 миллионов долларов, как указано в регулярном отчете. Казино Caesars заплатило около 15 миллионов долларов в качестве выкупа, чтобы вновь получить доступ к своим системам, по данным издания Wall Street Journal.
Ни одна из компаний не откликнулась на запрос о комментарии. Среди ведущих американских компаний по кибербезопасности, таких как CrowdStrike, Mandiant (компания Alphabet), Palo Alto Networks и Microsoft, есть те, кто реагирует на вмешательства хакеров в частные компании. Некоторые из них собирают доказательства, которые помогают выявить хакеров, и оказывают помощь правоохранительным органам, в соответствии с пяти источниками. Взлом казино в сентябре придал особую важность расследованию ФБР. Работники ФБР начали изучать деятельность хакеров более года назад.
Аналитики по безопасности обнаружили, что компании пострадали практически во всех отраслях, начиная с телекоммуникаций и аутсорсинговых компаний и заканчивая здравоохранением и финансовыми услугами. За прошедший год было атаковано около 230 организаций, согласно данным компании ZeroFox, специализирующейся на кибербезопасности, и оказавшей помощь компании Caesars.
Главный исполнительный директор ZeroFox, Джеймс Фостер, связывает медленную реакцию правоохранительных органов с нехваткой кадров. В последние годы множество публикаций свидетельствуют о том, что бюро теряет своих лучших киберагентов, которые переходят в частный сектор, где им предлагают более высокие зарплаты.
«Правоохранительные органы, особенно на федеральном уровне, обладают всеми необходимыми инструментами и ресурсами для успешного преследования киберпреступников», — сказал Фостер. «Им просто не хватает персонала».
Еще одной проблемой является нежелание многих жертв сотрудничать с ФБР. Один из источников, руководитель, занимающийся защитой от хакеров и отказавшийся назвать свое имя во имя конфиденциальности клиентов, заявил, что несколько компаний-жертв никогда не уведомляли бюро о взломе, что означает, что прокуроры лишились возможности получить потенциально важные доказательства.
Этот инстинкт скрывать проникновение не является необычным, заявил анонимный бывший сотрудник ФБР, который ранее работал над расследованием случаев вымогательства выкупа, в беседе с Рейтер.
В ходе работы над вопросами вымогательства выкупа, я столкнулся с одной основной тенденцией: в девяти случаях из десяти компании не желали сотрудничать, как отметил бывший сотрудник.
Третьей проблемой является неразвитая структура группы, состоящая из небольших кластеров людей, которые периодически сотрудничают по конкретным заданиям. Эта нечеткая структура банды привела к ее прозвищу «Разбросанная» и другому промышленному прозвищу «Муддл Либра» среди исследователей.
Например, аналитики назвали команду, замешанную во взломе казино, «Star Fraud». Она является частью более крупного хакерского сообщества, состоящего в основном из молодых киберпреступников, которые используют название «The Com» в качестве сленга для своего сообщества.
Большинство членов группы базируются в Западных странах, включая Соединенные Штаты, согласно компаниям по кибербезопасности. Они обычно обсуждают проекты по взлому в общих чатах на социальных мессенджерах, таких как Telegram и Discord, которые популярны среди геймеров.
Представитель Telegram не ответил на запрос о комментарии относительно хакеров. Представитель Discord отказался комментировать их, но заявил, что платформа запрещает незаконную деятельность и принимает меры, включая запрет или закрытие групп или пользователей, занимающихся такой практикой.
Согласно лицам, знакомым с этой проблемой, круглая форма группы затрудняла внутреннюю координацию ФБР между его множеством региональных отделов по всей стране. В течение нескольких месяцев множество отделов независимо друг от друга расследовали отдельные хакерские атаки, запущенные одной и той же группой, но не были сразу же осведомлены о связи между ними, что замедляло процесс.
По словам этих трех людей, отделение ФБР в Ньюарке, Нью-Джерси, в настоящее время расследует хакерскую группу и делает успехи, но подробности не сообщаются. Они также упомянули, что делу был назначен новый специальный агент.
За последние несколько месяцев стали известны тревожные детали агрессивных тактик «The Com». Ее участники занимаются различными незаконными схемами, включая сексторт, вымогательство с использованием программного обеспечения, телефонные мошенничества и даже физическое насилие, известное как «насилие как услуга».
В докладе, опубликованном компанией Microsoft в конце прошлого месяца, были процитированы хакеры, связанные с Scattered Spider. Они угрожали убить сотрудников целевой организации, если не получат пароли.
Одно из сообщений заявляло: «Если в течение следующих 20 минут мы не получим ваши данные для входа, мы отправим убийцу к вам домой (сic)». В другом сообщении говорилось: «Вашей жене будет выстрелено, если вы не согласитесь».
Попытки Reuters связаться с хакерами для этой статьи оказались безуспешными.
В интервью в сентябре основатель Mandiant, Кевин Мандия, назвал этих хакеров «патологическими» и отметил, что они беспощадны во взаимодействии с компаниями-жертвами.
Мандия не прямо ответил на вопрос о том, были ли личности хакеров Scattered Spider известны правоохранительным органам. Однако он подчеркнул, что нет оправдания для неареста хакеров, действующих из западных демократических государств, сотрудничающих с международным сообществом. По его словам, их следует задержать.