20 października haker nazywający siebie Dark X powiedział, że zalogował się na serwerze i ukradł dane osobowe 350 milionów klientów Hot Topic. Następnego dnia Dark X wystawił dane, w tym rzekome e-maile, adresy, numery telefonów i częściowe numery kart kredytowych, na sprzedaż na podziemnym forum. Dzień później Dark X powiedział, że Hot Topic ich wyrzucił.
Dark X powiedział mi, że do widocznego naruszenia, które jest prawdopodobnie największym w historii włamaniem sprzedawcy detalicznego, częściowo wynikało ze szczęścia. Tak się złożyło, że otrzymali dane logowania od programisty, który miał dostęp do klejnotów koronnych Hot Topic. Aby to udowodnić, Dark X przesłał mi dane logowania programisty do Snowflake, narzędzia do przechowywania danych, na które ostatnio wielokrotnie atakowali hakerzy. Alon Gal z firmy zajmującej się cyberbezpieczeństwem Hudson Rock, który jako pierwszy znalazł link pomiędzy złodziejami informacji a naruszeniem Hot Topic, powiedział, że haker wysłał mu ten sam zestaw danych uwierzytelniających.
Część dotycząca szczęścia jest prawdziwa. Jednak rzekomy hack Hot Topic jest także najnowszym naruszeniem bezpośrednio powiązanym z rozległym podziemnym przemysłem, dzięki któremu włamanie do niektórych najważniejszych firm na świecie stało się dziecinnie proste.
AT&T. Kierownik sprzedaży biletów. Banku Santander. Neimana Marcusa. Sztuka Elektroniczna. Nie były to całkowicie odosobnione przypadki. Zamiast tego wszystkie zostały zhakowane dzięki „złodziejom informacji” – rodzajowi złośliwego oprogramowania zaprojektowanego w celu kradzieży haseł i plików cookie przechowywanych w przeglądarce ofiary. Z kolei złodzieje informacji stworzyli złożony ekosystem, który mógł rozwijać się w cieniu i w którym przestępcy pełnili różne role. Rosyjscy programiści szkodliwego oprogramowania stale aktualizują swój kod; zespoły profesjonalistów, którzy korzystają z efektownych reklam, aby zatrudniać wykonawców do rozprzestrzeniania złośliwego oprogramowania w YouTube, TikTok lub GitHub; oraz anglojęzycznych nastolatków z drugiego końca świata, którzy następnie wykorzystują zebrane dane uwierzytelniające do włamywania się do korporacji. Pod koniec października współpraca organów ścigania ogłosił operację przeciwko dwóm najczęstszym złodziejom na świecie. Jednak rynek ten urósł i dojrzał do tego stopnia, że obecnie jest mało prawdopodobne, aby działania organów ścigania skierowane przeciwko choćby jednej jego części spowodowały trwałe zahamowanie rozprzestrzeniania się złodziei informacji.
Na podstawie wywiadów z twórcami złośliwego oprogramowania, hakerami korzystającymi ze skradzionych danych uwierzytelniających oraz przeglądu podręczników, które mówią nowym rekrutom, jak rozprzestrzeniać złośliwe oprogramowanie, 404 Media stworzyło mapę tej branży. Efektem końcowym jest to, że pobranie niewinnie wyglądającego oprogramowania przez jedną osobę może doprowadzić do naruszenia bezpieczeństwa danych w wielomiliardowej firmie, co stawia Google i innych gigantów technologicznych w coraz bardziej zaostrzającej się grze w kotka i myszkę. twórcom złośliwego oprogramowania, aby zapewnić bezpieczeństwo ludziom i firmom.
„Jesteśmy profesjonalistami w swojej branży i będziemy nadal pracować nad omijaniem przyszłych aktualizacji Google” – powiedział mi na czacie internetowym administrator LummaC2, jednego z najpopularniejszych złośliwych programów służących do kradzieży informacji. „To zajmuje trochę czasu, ale mamy wszystkie zasoby i wiedzę, aby kontynuować walkę z Chrome”.
Złodzieje
Ekosystem kradzieży informacji zaczyna się od samego złośliwego oprogramowania. Istnieją ich dziesiątki, o nazwach takich jak Nexus, Aurora, META i Raccoon. Według firmy zajmującej się cyberbezpieczeństwem Recorded Future najbardziej rozpowszechnionym obecnie złodziejem informacji jest RedLine. Posiadanie wstępnie spakowanego złośliwego oprogramowania radykalnie obniża barierę wejścia dla początkującego, nowego hakera. Administrator LummaC2, który według Recorded Future znajduje się w pierwszej dziesiątce osób kradnących informacje, powiedział, że jest otwarty zarówno dla początkujących, jak i doświadczonych hakerów.
Początkowo wielu z tych programistów było zainteresowanych kradzieżą danych uwierzytelniających lub kluczy związanych z portfelami kryptowalut. Uzbrojeni w nie hakerzy mogą opróżnić cyfrowe portfele ofiary i szybko zarobić pieniądze. Wiele osób nadal reklamuje swoje narzędzia jako umożliwiające kradzież bitcoinów wprowadzono nawet OCR do wykrywania fraz początkowych w obrazach. Jednak ostatnio ci sami programiści i ich współpracownicy odkryli, że wszystkie inne dane przechowywane w przeglądarce – na przykład hasła do miejsca pracy ofiary – mogą generować dodatkowy strumień przychodów.