вине Криса. Он должен был найти безопасное пристанище для денег, что украдет Макс - какое-нибудь оффшор-хранилище, куда они могли бы перевести деньги без риска, что пострадавший банк отзовет перевод. Пока ему это не удавалось.
Таким образом, в сентябре, когда Макс обнаружил критическую уязвимость нулевого дня в новом Internet Explorer он поделился этой новостью не с Крисом, а с другим партнером, который обладал большими познаниями в международных финансах - администратором Carders Market под ником NightFox.
Брешь в безопасности была катастрофическая - еще одно переполнение буфера, на этот раз задуманное для отрисовки векторной графики на стороне клиента. К сожалению для Макса, хакеры из Восточной Европы нашли уязвимость раньше него и уже во всю пользовались ей. Компания компьютерной безопасности уже обнаружили эксплойт от русских хакеров, который заражал компьютеры при посещении порно сайтов и отправили его в Microsoft. Департамент внутренней безопасности издал довольно тупое предписание для пользователей IE - «Не открывайте нежелательные ссылки».
Уязвимость была известна, но патча еще не было. Все пользователи IE были уязвимы. Макс получил эксплойт русских хакеров ранним утром 26 сентября и с нескрываемым энтузиазмом поспешил поделиться им с NightFox.
«Предположим, что мы получим бесплатный билет на аттракцион - поимей любую компанию сегодня», Макс написал в системе обмена сообщениями Carders Market. «Ок, пожалуйста. Никаких ограничений. visa.com. mastercard.com. egold.com. Любой электронный ящик сотрудников для любых целей. Google. Microsoft. Не важно. Всех можно поиметь хоть прямо сейчас.»
Microsoft выпустил патч позднее в тот же день, но Макс знал, что даже компаниям, относящимся к безопасности со всей серьезностью понадобятся дни или недели на установку обновления на все компьютеры сотрудников. Русский эксплойт уже был обнаружен антивирусными программами, поэтому он внес в него изменения, чтобы их сигнатуры отличались и прогнал через свою антивирусную лабораторию чтобы убедиться в отсутствии возможности обнаружения.
Единственное что оставалось - социальная инженерия - Максу нужно было обмануть свои цели чтобы они посетили веб-сайт с эксплойтом. Макс остановился на выборе доменного имени financialedgenews.com и разместил его у хостинг провайдера ValueWeb.
NightFox вернулся со списком целей - CitiMortage, GMAC, Experian’s Lowermybills.com, Bank of America, Western Union MoneyGram, Lending Tree и Capital One Financial - один из самых крупнейших эмитентов кредитных карт в стране. У NightFox были обширные базы с внутренними адресами сотрудников компаний, которые он получил от компании «конкурентная разведка» и он отправил Максу тысячи адресов каждой компании, на которую они нацелились.
29 сентября Макс зарядил в свой спам софт адреса и начал выстреливать персонализированным письмом в своих жертв. Отправителем письма числился «Gordon Reily», с обратным адресом g.reily@lendingnewsgroup.com.
Я репортер Lending News и я расследую недавнюю историю о утечке данных клиентов Capital One. Я заметил упоминание имени Mary Rheingold в статье в Financial Edge и хотел бы договориться о интервью для освещения больших подробностей в новой статье.
http://financialedgenews.com/news/09/29/Disclosure_Capital0ne
Я буду очень признателен если Вы найдете время для дальнейшего обсуждения деталей вышеупомянутой статьи.
Каждая копия письма была персонализирована, поэтому каждый сотрудник будет думать, что именно его или её имя упомянуто в статье Financial Edge. В Capital One, 500 сотрудников, начиная от руководителей и заканчивая PR представителями и ИТ специалистами получили сообщение. Примерно 125 из них перешли по ссылке и были переправлены на станицу с обычной сводкой финансовой индустрии. В то время как они ломали голову над страницей, скрытый эксплойт просочился через корпоративный брандмауэр на их машины.
Эксплойт открыл бекдор, позволяющий Максу на досуге проскользнуть на жесткие диски жертв и порыться в поисках конкурентной информации, проанализировать внутренний банковский трафик и украсть пароли. Это не сильно отличалось от того, что он делал с тысячами компьютеров Министерства обороны много лет назад. Тогда, когда это было простое озорство из-за любопытства.
Глава 27. «Первая сетевая война»
Кейт Муларски стоял у подиума, презентация заполняла собой весь ЖК экран позади. Перед ним сидели, собравшись вокруг стола в конференц-зале, пятнадцать высокопоставленных представителей ФБР и специалистов министерства юстиции. Все они были сосредоточены. Муларски предлагал им нечто новое, и такого им раньше никогда не доводилось делать.
Авторизация первого уровня была для бюро редким делом. В первую очередь Муларски написал двадцатистраничный документ, раскрывая все аспекты плана и собирая юридические оценки от сотрудников ФБР по каждому из них. Генеральный совет агентства был воодушевлен открывавшимися перспективами: одобрение плана создавало прецедент, приемлемый и для будущих операций под прикрытием в сети.
Главным препятствием для комитета по оценке подобной деятельности в минюсте был вопрос ответственности за то, что на сайтах под управлением правительства США позволялось совершаться преступлению. Вопрос стоял следующий: как же Муларски смягчит этот вред как сделать так, чтобы невинные люди и организации не пострадали. Ответ был готов: преступная деятельность на DarkMarket будет продолжаться, с участием ФБР или без. Однако, если Бюро будет контролировать сервер, а Мастер Сплинтер управлять сайтом, ФБР сможет пресечь распространение значительной части украденных данных, которые бы иначе свободно проходили через черный рынок. Документ предполагал, что любые финансовые данные будут сразу направлены в пострадавшие банки, и в результате украденные кредитные карты смогут быть заблокированы раньше, чем их используют.
Встреча продлилась 20 минут. Вернувшись в Питтсбург седьмого октября, Муларски дал добро на овладение DarkMarket. Айсмен все еще числился мишенью для операции, но главными целями стали JiLsi и другие лидеры сайта.
Когда его жена ушла спать, Муларски устроился перед диваном, включил телевизор и написал JiLsi в ICQ. После обмена безобидными шутками они перешли, наконец, к делу. DarkMarket снова находился под DDoS-атакой, а Муларски, под псевдонимом Мастер Сплинтер, был готов перенести сайт на защищенный сервер. JiLSi должен был лишь сказать одно слово, и проблемы с Айсменом бы ушли в прошлое.
У JiLsi обнаружились некоторые опасения, ведь DarkMarket был его детищем, он не хотел выглядеть перед сообществом так, будто потерял над ним контроль. Муларски пояснил, что это не окажется проблемой, поскольку Мастер Сплинтер будет секретным администратором. Никто, кроме них двоих, не узнает, что сайтом теперь управляет новый человек. Для всех остальных Сплинтер так и останется обыкновенным модератором.
«Чувак,» — ответил JiLsi, — «готовь свой сервер. Мы переезжаем.»
Муларски сразу занялся делом. Он арендовал сервер у компании “Планета”, базирующейся в Техасе, а затем занялся более темными делами, купив у русского под ником Квазатрон защиту о DDoS за 500 долларов в месяц. Оплата была произведена в электронной валюте. Квазатрон сконфигурировал сайт так, что его публичная часть находилась у Staminus, хостинговой
