Ключевую роль в августовской утечке данных из стортинга сыграла уязвимость паролей. Но и собственные системы безопасности норвежского парламента тоже дали сбой в критический момент.
Во вторник было объявлено, что дело о взломе будет закрыто. Но служба безопасности норвежской полиции (PST) откровенно говорит, что, по ее мнению, за атакой стоят хакеры из российской военной разведки ГРУ.
«Мы бы не стали об этом говорить, не будь у нас относительной уверенности, что это их рук дело, — сообщила начальник контрразведки Ханне Блумберг (Hanne Blomberg). — У нас есть конкретные доказательства, но вдаваться в подробности я, к сожалению, не могу — это информация засекречена».
По данным стортинга, хакеры получили доступ к учетным записям электронной почты нескольких депутатов и сотрудников. «Большинство из них взлом удивил и опечалил», — сообщает начальник службы безопасности стортинга Туве Хейди Силсет (Tove Heidi Silseth).
Хакерам удалось обойти одну из предосторожностей стортинга, и это упростило дальнейший взлом учетных записей электронной почты депутатов и сотрудников.
Механизм действий таков. Чтобы войти в учетную запись стортинга, пользователь должен ввести логин и пароль. Если логин и пароль правильные, пользователю на мобильный телефон приходит уникальный код. Этот называется двухэтапная проверка. Для входа в учетную запись надо ввести уникальный код.
Хакеры, должно быть, отыскали способ обойти последний важный шаг. Им как-то удалось войти в систему без уникального кода — только по логину и паролю.
Чтобы взломать учетную запись, хакеры перебирали разные пароли, пока не находили верный — или же им перекрывали доступ.
Существует несколько способов угадать пароль, говорят IT-специалисты. По мнению экспертов, есть несколько признаков, что хакеры воспользовались крадеными паролями. В последние годы произошла масса утечек паролей. Так, сервис Have I Been Pwned зарегистрировал более 10 миллиардов взломанных учетных записей пользователей 495 веб-сайтов со всего мира.
По данным охранной компании Defendable, всего злоумышленники выкрали более 850 старых паролей к учетным записям стортинга. Примерно 20 из них просочились в результате утечки в 2020 году.
«Если вы обратите внимание, то увидите, что у многих пользователей на разных сайтах одни и те же пароли. Или есть некий шаблон, который повторяется раз за разом. Благодаря этому можно подобрать пароль с высокой степенью вероятности», — говорит эксперт по безопасности из Secure Practice Пер Турсхейм (Per Thorsheim).
Чью конкретно почту взломали, NRK неизвестно.
Самое страшное
Одна из жертв хакерской атаки — член комитета по обороне и иностранным делам Лив Сигне Наварсете (Liv Signe Navarsete, Партия Центра). Она считает, что самое страшное — это когда за атакой стоит иностранное государство.
«Это бы означало, что у них есть конкретная цель. Когда человек заходит в высший демократический орган государства и похищает информацию, это делается с явной политической целью. Они хотят узнать, что творится здесь, в Норвегии. И это не может не беспокоить», — считает Наварсете.
Легко ошибиться
Через неделю после того, как стало известно об атаке, Национальный центр кибербезопасности и Управление национальной безопасности направили предупреждение отдельным компаниям, сообщает сайт Digi, посвященный информационным технологиям.
Компании предупредили о конкретных проблемах, которые позволяют хакерам обойти двухэтапную проверку.
«Есть масса способов обойти двухэтапную проверку по электронной почте», — говорит Торсхейм.
Пресловутая хакерская банда
Во вторник служба безопасности норвежской полиции указала на предполагаемых виновников. Это хакерская банда APT28, она же Fancy Bear. По данным доклада о вмешательстве в президентские выборы в США в 2016 году, это хакеры из российской военной разведки.
Насколько известно NRK, мишенями атак становились более десятка государственных и частных компаний. Некоторые из них — национального значения.
С какой целью хакеры атаковали стортинг, пока не известно. Эксперт по государственным кибероперациям Бен Бьюкенен (Ben Buchanan) вероятным мотивом считает шпионаж или кражу документов.
Глава службы безопасности стортинга беспокоится, что полученная информация может быть использована для шантажа потенциальных жертв.
«Личная информация, например, номера банковских карт и медицинские данные, нередко используются для шантажа и вымогательства — для получения сведений или денег», — заключила Силсет.
