Группа хакеров из России собрала самую большую известную «коллекцию» учетных данных, включающую 1,2 миллиарда уникальных комбинаций логин-пароль и более 500 миллионов электронных адресов, сообщает компания Hold Security, специализирующаяся на кибербезопасности.
Данные были собраны с более чем 420 тысяч сайтов, включая крупные порталы, домашние странички и FTP-серверы. Эксперты компании дали группировке имя CyberVor, учитывая ее российское происхождение.
По мнению экспертов, поначалу злоумышленники просто закупили несколько баз с украденными данными у собратьев-хакеров на черном рынке. Эти списки стали основой для атак на провайдеров электронной почты, соцсети и т.д. — начиная с 2011 года группа рассылала спам и заражала жертв вирусами.
Ранее в этом году «Киберворы» сменили тактику. Они получили доступ к информации из ряда ботнетов, которые использовали компьютеры жертв для обнаружения SQL-уязвимостей на посещаемых сайтах. Этот своеобразный «аудит безопасности» обнаружил дыры в защите более чем 400 тысяч ресурсов. Таким образом «Киберворы» получили доступ к данным, находящимся на плохо защищенных сайтах. По данным Hold Security, хакеров в первую очередь интересовали учетные данные. Причем эксперты отмечают, что группа не проявляла специального интереса к каким-нибудь ресурсам — хакеры собирали данные со всех сайтов — невзирая на размер, специализацию, «страну приписки» или язык общения.
В итоге, «Киберворы» собрали 4,5 миллиарда записей, 1,2 миллиарда из которых оказались уникальными комбинациями идентификатора и пароля, многие из которых могут дать доступ к аккаунтам пользователей.
В то же время, по мнению экспертов, хакеры нацелены не на кражу финансов, а предпочитают организовывать масштабные спам-рассылки в соцмедиа вроде Twitter и получать деньги за свои услуги от заказчиков рекламной кампании. Впрочем, не исключена и продажа собранных данных на черном рынке другим злоумышленникам.
Hold Security сообщает, что поскольку взлому подвергались и российские сайты, у компании нет оснований полагать, что «Киберворы» сотрудничают с правительством. «Штаб-квартира» группы, по данным Hold Security, располагается в небольшом городке на юге центральной части России, в регионе, граничащем с Казахстаном и Монголией. Группа состоит из десятка молодых людей, лет 20-ти, знакомых друг с другом физически, а не только онлайн. Их серверы, скорее всего, тоже находятся в России. В группе существует разделение труда: кто-то пишет программы, кто-то ворует данные, — классическая командная работа, как в небольшой процветающей компании.
Представители Hold Security отказались перечислить взломанные сайты, поскольку большинство из них до сих пор не исправили дыры в защите.
