Всего один беспечный щелчок мышью. И этого хакерам, предположительно связанным с российскими спецслужбами, оказалось достаточно, чтобы получить доступ к сети Yahoo, а возможно, и к сообщениям электронной почты и прочей конфиденциальной информации полумиллиарда пользователей.
ФБР США занималось расследованием этого инцидента на протяжении двух лет, и лишь в конце 2016 года стал ясен весь масштаб взлома. На прошлой неделе ФБР обвинило в совершении атаки четырех человек, двое из которых считаются агентами российских спецслужб.
Вот как описывают произошедшее в ФБР.
Взлом начался с фишингового сообщения, отправленного в начале 2014 года по электронной почте одному из сотрудников Yahoo. Неизвестно, сколько всего электронных писем было отправлено, но один из получателей щелкнул по ссылке, и этого оказалось достаточно.
Латвийский хакер Алексей Белан, завербованный русскими, начал копаться в сети в поисках базы данных пользователей Yahoo и инструмента управления учетными записями Account Management Tool, использовавшегося для ее редактирования. Вскоре он нашел и то и другое.
Чтобы не потерять доступ, он запустил на сервере Yahoo вредоносную программу и похитил резервную копию базы данных пользователей, перенеся ее на свой компьютер.
В базе данных содержались имена пользователей, номера их телефонов, контрольные вопросы и ответы на них, а самое главное – адреса электронной почты для восстановления паролей и криптографические ключи, уникальные для каждой учетной записи.
Все это помогло Белану и его «коллеге» Кариму Баратову получить доступ к учетным записям пользователей, интересовавших Дмитрия Докучаева и Игоря Сущина, названных ФБР агентами российских спецслужб.
Инструмент для управления учетными записями не позволял осуществлять поиск по именам пользователей, поэтому хакеры обратились к адресам для восстановления доступа к электронной почте. Иногда им удавалось идентифицировать жертву по адресу, а иногда подсказкой служил корпоративный домен электронной почты интересовавшей их организации.
После идентификации учетных записей хакеры смогли воспользоваться украденными криптографическими ключами, сгенерировав необходимые для доступа cookie с помощью скрипта на сервере Yahoo. Соответствующие cookie, генерировавшиеся неоднократно в течение 2015-2016 годов, позволяли хакерам получать свободный доступ к учетной записи нужного пользователя даже без знания его пароля.
Белан и его коллега действовали весьма избирательно. Из 500 млн аккаунтов, к которым они могли бы получить доступ, cookie были сгенерированы примерно для 6,5 тыс. учетных записей.
Среди пользователей, чьи аккаунты подверглись взлому, были помощник вице-премьера Российской Федерации, офицер российского министерства внутренних дел, а также тренер, работающий в российском министерстве спорта. В числе прочих жертв — российские журналисты, официальные лица ряда государств, правительственные чиновники, швейцарский биткоин-кошелек и сотрудник авиакомпании из США.
Когда Yahoo впервые обратилась в ФБР в 2014 году, предполагалось, что целью хакеров были всего 26 учетных записей. И только в августе 2016-го, когда стал очевиден весь масштаб утечек, расследование ФБР значительно активизировалось.
В декабре 2016 года в Yahoo сообщили подробности выявленной бреши и посоветовали сотням миллионам пользователей сменить пароли.
