Дымовая завеса Ирмы - Дело Equifax: Часть 1

В США произошла утечка данных владельцев 143 млн кредитных карт:

а) официальное подтверждение на сайте Эквифакса:

https://investor.equifax.com/news-and-events/news/2017/09-07-2017-213000628

б) статьи из всех крупных СМИ в США:

http://money.cnn.com/2017/09/07/technology/business/equifax-data-breach/index.html

https://www.nbcnews.com/tech/security/massive-equifax-data-breach-could-impact-half-u-

s-population-n799686

https://www.cnbc.com/2017/09/07/credit-reporting-firm-equifax-says-cybersecurity-

incident-could-potentially-affect-143-million-us-consumers.html

https://www.forbes.com/sites/leemathews/2017/09/07/equifax-data-breach-impacts-143-

million-americans/#4f987494356f

http://www.equifax.com/help/data-breach-solutions/

Уф, блин, Харви уже натехасил, в Эквифаксе уже намудачили, и ещё одна буйная дама заходит во Флориду со стороны Атлантики...

Знаете что я думаю? Вот россиян Господь мучил холодной погодой нынешним летом, проверяя их на стойкость и смирение. Провреку прошли. А вот амерам прилетела не проверка на прочность, им прилетела расплата. Сразу. И за всё.

Меня терзают смутные сомнения, что будет ещё пара серий в этом увлекательном сериале катастроф на пока что сухопутной территории между северной Атлантикой и северной частью Тихого океана. Шокированный Ибо сезон торнадо и штормов только начался.

В Эквифаксе были данные физ лиц и компаний, бравших в долг в банках США. И тут ой как кстати пришлись санкции с запретом давать кредиты российским компаниям. Ну просто опять так совпало. А вот лица и компании из канадщины и британщины попали в список тех, кому не повезло. В официальном релизе от Эквифакса прямо сказано об этом. Подозреваю, что там есть и клиенты из Мексики, но тех, видимо, в один ряд с канадцами и бритыми не ставят.

По поводу развода наивных лохов. Он будет, но немного позднее и в чисто американском стиле. Сейчас на год дадут на халяву попользоваться эквифаксовскими услугами по проверке кредитной истории всем желающим, а через год предложат продолжать пользоваться этими же услугами,но уже за денюжку малую. На глаз я бы оценил так, что 9 из 10откажутся и не будут платить эквифаксу. Но 10% - это 14 миллионов новых клиентов, да по 3 доллара с каждого в месяц... Вот и посчитайте сами, за сколько месяцев эквифакс отобъёт свои расходы на расхлёбывание этой истории (по оценкам - около ярда зелени).

Сдаётся мне, что за два года они управятся и выйдут в плюс. А если подключат навязчивую рекламу услуг по защите от кражи персональных данных, то удастся поймать в сети не 10%, а 20%. Тогда управятся быстрее.

История про трёх честных манагеров эквифакса, продававших свои акции как раз перед обнародованием этой истории улыбнула. Но амерские сми снова исполнят арию про "коварных русских хакеров", и манагеры останутся в тени. Правда, там в тени могут оказаться недобрые клиенты. Как бы не начался осенний манагеропад из окон здания, где офисы Эквифакса...Крутой А ещё открылся сезон охоты на оленей... Может начаться эпидемия несчастных случаев на охоте от неаккуратного выстреливания себе в голову...

Небольшое отступление

Любите ли, камрад, слушать щебетание птичек? А я вот страдаю такой слабостью - люблю, знаете ли, послушать, как птахи малые песенки поют. Прям в любое время суток слушать готов... Вот залетела ко мне птаха малая, калибри называется. А они, птахи малые по имени калибри, потребляют исключительно нектар, напиток богов. Вот сели мы с птахой этой, нектаром угощаемся, чирикаем о своём, о птичьем...

- А что это за история приключилась с Эквифаксом?

- Крупная утечка. Не ошибусь, если скажу, что самая крупная за всю историю.

- А чё так? Бабла пожалели на защиту?

- Да не, там бабло лилось рекой, а системы защиты такие, что тебе и не снилось в вашем универе... У них много чего интересного стояло... Не в этом дело.

- А ваши-то уже обсуждают, небось?

- Нет, ещё рано. В открытых источниках нет ничего о самом методе, а закрытые не обсуждают у нас. Хотя кое-что уже понятно.

- Так что, извне ломанули? Натурально хакнули?

- Не-а, там такие файерволы со сканерами, что не пролезешь. И система работала в нормальном режиме всё время, пока они инфу теряли... В общем, за стенку мы спокойны, там всё гарантировано. Ломали изнутри.

- Извини, не вкурил. Это как?

- Слабый элемент - не софт и не железо защитное, а человек. Человеческий, понимаешь ли, фактор.

- Снова не вкурил. Шпиона заслали, что ли?

- Нет, никого не засылали... Ну если без деталей, то кто-то из сотрудников притащил вирус на файле и поставил его изнутри.

- Слушай, нектар что ли крепковат или я туповат... Совсем не догоняю. А антивирусники и сканы всякие где были? В отпуске?

- Не, нектар - самое то. Ну если коротенечко, то примерно так. Вся система их внутренней сети полностью закрыта снаружи. Тестируется регулярно и практически непрерывно. Как только нашли баг или калитку, сразу закрыли, и даже им ничего не сообщается, кроме общего отчёта раз в сутки. Внутри все документы сканируются, флэшку просто так не вставишь и уж подавно не откроешь. Всё - по коду доступа, сканирование содержимого и все другие дела... В общем, вирус писали одноразовый, антивирусникам ещё неизвестен пока, и не уверен, что его занесут в базы. Его поюзали в Эквифаксе, и он, скорее всего больше не всплывёт.

- Что, думаешь заранее готовились и целили именно в Эквифакс?

- На 100% уже уверены. Вирус писался скриптом, скрипт был самопишущийся с многоуровневым кодированием, а первый уровень сидел в виде безобидного макроса в документе.

- Отстал я что-то от прогресса. Многоуровневое кодирование - это как?

- Ну в макросе сидит безобидный на вид скрипт, которые цифры превращает в буквы. Антивирусник его никак не распознаёт, потому как такие примочки - стандартные для архивации и разархивации документов. Все майкрософтовские документы, да и пидиэфы теперь с такими макросами. Так вот, этот скрипт при сканировании не возбуждает антивирусник никак. Но когда юзер кликнет на этот док, скрипт заработает при открытии документа и некий ряд цифр превратит в буковки. Буковки окажутся другим скриптом, это уже второй уровень. Этот второй скрипт, пока юзер таращится в содержимое документа, превратит другой ряд цифр в другие буквы. Из тех буковок снова сложится скрипт, ну и так далее раз 10, а то и больше. Самым последним оказался самопишущийся скрипт. Тот сам себя пишет, а когда дописывается, то получается скрипт, который пишет уже вирус.

- Мать моя женщина... А я-то по наивности думал, что пидиэфы - безопасные...Шокированный

- А тож! Ну если ты не в Эквифаксе работаешь, то твои пидиэфы - точно безопасные. Подмигивающий Вот и там был документ с таким скриптом среди макросов.

- И что, нет способов такую матрёшку выловить?

- Способы есть, когда док с макросами попадает в систему извне. Его гоняют, пока не пройдут до написания вируса, тогда уже антивирусник его убивает. А вот если принести на флешке и со всеми кодами доступа такой док вкачать в систему, то вариантов не будет - вирус сработает.

- И чё, кто-то рискнул работой, а то и здоровьем, и притащил на флешке такую хрень в систему эквифакса?

- Ну как один из вариантов За много лимонов мог рискнуть... Если организаторы не поскупились на подкуп. А они, видимо, не поскупились.

- Слушай, а что, есть другие варианты?

- Да, могли документ по почте прислать. Тут тоже не обойтись без доверенного чела внутри системы. Если готовились долго, то письмо пришло достоверное, нужный чел его открыл, документик закачал и поехали... Хотя мы не исключаем такой вариант - аттачмент к почте в нормальном режиме просканировали бы так же, как и любой другой файл, идущий извне. Но - только в нормальном режиме, если получатель не скипнул нужные сканы при загрузке приложенного документа. А если отключил, то стандартный скан вряд ли вскроет скрипт, у которого больше 8 уровней шифрования. Хотя скипнутые сканы в лог попали, такое вскроют быстро.

- Охренеть просто и не встать... Так получается, что по любому - только кто-то из их людей?

- Да, и вот это - самый интересное в этой истории. Это - что-то новенькое в психологии хакерства. Конторы такого урвоня пока не ломали.

- Слушай, а как долго такой вирус готовить? Месяц?

- Да фигня война, за неделю моно управиться и сделать дюжину уровней шифрования с ещё кое-какими примочками. Дело не в программировании... А вот подобрать ключики к нужному человеку - это дело сложное и времени требует. Тут уже психология начинает работать. Иногда бывает, что случайно в баре вылавливают или в каком гольф-клубе. Чел, махая клюшкой или рюмкой, проболтается, где работает, и тут же попадает в разработку. Либо заранее фоткают всех сотрудников, потом выискиваю данные по всем базам, находят самого подходящего, и начинают его работать... Прикольно иногда бывает, как в шпионском романе каком-нибудь задрипаном - девиц подсылают, на наркоту подсаживают...

- Да, интересно девки пляшут... И сколько по времени такая обработка идёт?

- Ну полгода - год, смотря какой чел, какие данные на него, чем страдает, девицы, там, или деньги любит, или кокс...

- Да уж... Получается, по-любому хакнули отсюда...

- Да, на 100%. С челом надо было работать визуально, да и деньги передавали скорее всего не переводом на счёт в банке. Не удивлюсь, если нал где-то лежит, золотишко, недвига или что ещё.

- Как думаешь, про русских хакеров опять запоют?

- Не, ну это не сервер демов. Тут дело круче. Первого, кто запоёт, сразу уроют. Ну сам суди - если русские хакеры (гы-гы-гы) ломают самую закрытую систему извне, то чего стоит защита любого банка или того же уолл-стрита? Подмигивающий Так что русских хакеров не будет. Всё будет тихо и цивильно, чела вычислят, потрясут, а потом - в авто разобъётся где-нибудь в Скалистых горах.

- А в Китай сбежать? или как Сноуден?

- Гы, самому-то не смешно? Тот чувак где угодно косточкой куриной подавится до смерти, да ещё для верности и повесится раза три... Вообще вопрос о том, на что расчитывал этот чел, ооочень интересен, но об этом пока рано говорить. Или поздно уже - нектар совсем кончился, давай, на боковую пора.

Как-то так вот получается. Интересно девки в Эквифаксе сплясали. Шокированный Записано почти дословно с щебета двух колибри где-то на просторах Америки.

Источник: Дымовая завеса Ирмы - Дело Equifax: Часть 1