/cdn.vox-cdn.com/uploads/chorus_asset/file/25844363/IMG_0893.jpeg?w=120&resize=120,86&ssl=1)
Програми-вимагачі вже давно мучать американські муніципалітети. Схоже, це була ще одна типова атака програм-вимагачів, яка торкнулася міста Колумбус, штат Огайо, у липні минулого року. Однак місто не відреагувало на злом, і кіберексперти та юридичні експерти по всій країні сумніваються в його мотивах.
Коннор Гудвулф (юридичне ім’я — Девід Лерой Росс) — ІТ-консультант, який займається темною мережею в рамках своєї роботи. «Я розглядаю злочини типу темної мережі, злочинні організації та речі на кшталт того, за що був заарештований генеральний директор Telegram», — сказав Гудвулф.
Тож коли стало відомо, що його рідне місто Колумбус було зламано, Гудвулф зробив те, що він робить: він вибухнув у мережі. Йому не знадобилося багато часу, щоб з’ясувати, чим володіють хакери.
«Це було не найбільше, але це було одне з найбільш вражаючих порушень, які я бачив», — сказав Гудвулф.
У певному сенсі він описав це як звичайне порушення з розкриттям особистої інформації, захищеної інформації про здоров’я, номерів соціального страхування та фотографій водійських прав. Однак, оскільки було зламано багато баз даних, ця атака була більш комплексною, ніж інші атаки. За словами Goodwolf, хакери зламали численні бази даних міста, поліції та окружної прокуратури. Там були записи про арешти та конфіденційна інформація про неповнолітніх і жертв домашнього насильства. Деякі зі зламаних баз даних, за його словами, сягають 1999 року.
Goodwolf виявив понад три терабайти даних, які завантажувалися понад 8 годин.
«Перше, що я бачу, — це база даних прокуратури, і мені здається, що це жертви домашнього насильства. Коли мова йде про жертв домашнього насильства, нам потрібно більше захищати їх, тому що вони вже були жертвами. , а зараз знову з розголошенням їхньої інформації», – сказав він.
Першою дією Гудвулфа було зв’язатися з міською владою, щоб повідомити, наскільки серйозним є порушення, оскільки те, що він побачив, суперечило офіційним заявам. На прес-конференції 13 серпня мер Колумбуса Ендрю Гінтер сказав: «Особисті дані, які зловмисник опублікував у темній мережі, були або зашифровані, або знищені, тому більшість даних, які надійшли від загрозливого актора, не можуть бути використані ». .
Але те, що знайшов Goodwolf, не підтвердило цю точку зору. “Я кілька разів намагався під’їхати до міста на кількох ділянках, і я отримав задоволення”, – сказав він.
Mandiant, що належить Google, разом із багатьма іншими провідними фірмами з кібербезпеки спостерігають за постійним зростанням атак програм-вимагачів, як за поширеністю, так і за серйозністю, а також за зростанням Rhysida Group, яка стоїть за зломом Columbus, про який стало відомо в останні роки.
Команда Rhysida взяла на себе відповідальність за злом. Хоча про кібербанду відомо небагато, Гудвулф та інші експерти з безпеки кажуть, що вона, схоже, спонсорується державою та базується у Східній Європі, можливо, має зв’язки з Росією. Goodwolf каже, що ці банди програм-вимагачів є «професійним бізнесом» зі штатом, оплачуваними відпустками та піарниками.
«Вони посилили атаки та цілі з минулої осені», – сказав він.
У листопаді минулого року Урядове агентство з кібербезпеки та безпеки інфраструктури США випустило бюлетень про Rhysida.
Гудвулф сказав, що оскільки ніхто з міста не відреагував, він звернувся до місцевих ЗМІ та поділився даними з журналістами, щоб дізнатися про серйозність порушення. І ось тоді він почув від міста Колумбус у формі судового позову та тимчасового обмежувального припису, який забороняє йому оприлюднювати додаткову інформацію.
Місто захистило свою відповідь у заяві для CNBC:
«Спочатку місто намагалося отримати цю заборону, яка була видана судом, щоб запобігти поширенню чутливої та конфіденційної інформації, потенційно включно з особами таємних офіцерів поліції, яка загрожує громадській безпеці та кримінальним розслідуванням».
Термін дії 14-денного тимчасового заборони проти Goodwolf закінчився, і тепер він має попередню заборону та угоду з Goodwolf більше не розголошувати жодних даних.
“Слід зазначити, що рішення суду не забороняє відповідачу обговорювати витік даних або навіть описувати, які саме дані були оприлюднені”, – додається в повідомленні міста. «Це просто забороняє особам поширювати вкрадені дані, розміщені в темній мережі. Місто продовжує працювати з федеральними органами влади та експертами з кібербезпеки, щоб відреагувати на це кібервторгнення».
Тим часом на наступній прес-конференції мер був змушений оприлюднити mea culpa, заявивши, що його початкові заяви ґрунтувалися на інформації, яку він мав на той час. «Це була найкраща інформація, яку ми мали на той час. Очевидно, ми виявили, що це була неточна інформація, і я повинен прийняти за це відповідальність».
Усвідомлюючи, що ризик для жителів був більшим, ніж вважалося спочатку, місто пропонує два роки безкоштовного кредитного моніторингу від Experian. Це стосується всіх, хто мав контакт із містом Колумбус через арешт чи іншу справу. Columbus також співпрацює з Legal Aid, щоб визначити, який додатковий захист потрібен для жертв домашнього насильства, які, можливо, зазнали насильства або потребують допомоги з приписами цивільного захисту.
На сьогоднішній день місто не заплатило хакерам, які вимагали $2 млн викупу.
«Він не Едвард Сноуден»
Ті, хто вивчає право кібербезпеки та працює в цій галузі, висловили здивування, що Columbus подав позов проти дослідника.
«Судові позови проти дослідників безпеки даних трапляються рідко», — сказав Реймонд Ку, професор права в Університеті Кейс Вестерн Резерв. За його словами, у рідкісних випадках вони трапляються, як правило, коли дослідник нібито розкриває, як недолік був або може бути використаний, що потім дозволить іншим скористатися недоліком.
«Це був не Едвард Сноуден», — сказав Кайл Ганслован, генеральний директор фірми з кібербезпеки Huntress, який назвав себе стурбованим реакцією міста Колумба та тим, що це може означати для майбутніх порушень. Сноуден був урядовим підрядником, який злив секретну інформацію та зіткнувся з кримінальними звинуваченнями, але він вважав себе викривачем. Гудвулф, каже Ганслован, є добрим самарянином, який самостійно знайшов зламані дані.
«У цьому випадку схоже, що ми просто змусили замовкнути когось, хто, наскільки я можу судити, є дослідником безпеки, який зробив мінімум і підтвердив, що зроблені офіційні заяви не відповідають дійсності. Це не може бути доречним використання судів», – сказав Ханслован, передбачаючи, що справу швидко скасують.
Прокурор міста Колумбус Зак Кляйн заявив під час прес-конференції у вересні, що справа «не про свободу слова чи інформування. Йдеться про отримання та розголошення вкрадених матеріалів кримінального розслідування».
Hanslovan турбується про хвилевий ефект, коли консультанти та дослідники з кібербезпеки бояться виконувати свою роботу через страх бути позовом. «Найважливіша історія полягає в тому, що ми бачимо появу нової п’єси» для відповіді на хакерство, у якій людей змушують мовчати, і це не слід вітати, сказав він. «Замовчування будь-якої думки, навіть протягом 14 днів, може бути достатнім, щоб запобігти виходу чогось достовірного, і це мене лякає», — сказав Ганслован. «Цей голос потрібно почути. Оскільки ми бачимо, що з’являються масштабніші інциденти з кібербезпекою, я хвилююся, що люди стануть більше турбуватися про те, щоб їх висвітлити».
Скотт Ділан, засновник британської компанії венчурного капіталу NexaTech Ventures, також вважає, що дії міста Колумба можуть негативно вплинути на кібербезпеку.
«Оскільки кіберпростір продовжує розвиватися, ця справа, ймовірно, послужить джерелом інформації для майбутніх дискусій про роль слідчих у витоку даних», — сказав Ділан.
Він каже, що правові рамки повинні розвиватися, щоб йти в ногу зі складністю як кібератак, так і етичних дилем, які вони створюють, і підхід, який використовує Колумб, є неправильним.
Тим часом судовий процес щодо Goodwolf триватиме. Незважаючи на те, що минулого тижня Колумб і Гудвулф досягли угоди про оприлюднення інформації, місто все ще подає на нього позов про відшкодування збитків у цивільному позові, який може досягати 25 000 доларів або більше. Гудвулф представляє себе на переговорах з міською владою, хоча він каже, що має під рукою адвоката, якщо знадобиться.
Деякі жителі подали колективний позов проти міста. Goodwolf каже, що 55% зламаної інформації було продано в темній мережі, а 45% доступні для будь-кого, хто має навички доступу до неї.
Ділан вважає, що місто бере на себе великий ризик, навіть якщо його дії можуть бути юридично виправданими, створюючи видимість спроби замовкнути слова, а не заохочувати прозорість. «Ця стратегія може зазнати невдачі як з точки зору суспільної довіри, так і з точки зору майбутніх судових процесів», – сказав він.
«Я сподіваюся, що місто усвідомлює помилку подання позову та наслідки, що виходять за межі безпеки», — сказав Гудвулф, зазначивши, що Intel витрачає мільярди за значної підтримки федерального уряду на будівництво потужностей з виробництва мікросхем у передмісті Колумбуса. За останні роки місто позиціонувало себе як новий технологічний центр у «Силіконовому серці» Середнього Заходу, і, за його словами, атаки на білих капелюхів і дослідників кібербезпеки можуть змусити декого в технологічному секторі переосмислити його як місце.
