КИБЕРОТЧЕТ. Исследователь даркнета предупредил жителей Колумбуса, штат Огайо, что атака вируса-вымогателя была масштабнее, чем сказал мэр. Город подает на него в суд.

КЛЮЧЕВЫЕ МОМЕНТЫ

  • Летом Колумбус, штат Огайо, стал жертвой кибератаки, которая является частью новой волны вирусов-вымогателей, запущенных группой, известной как Rhysida, и которая, по мнению некоторых экспертов по безопасности, скорее всего, связана с Россией или соседними государствами.
  • Городской ИТ-исследователь, отслеживающий «темный интернет» и киберпреступность, получил доступ к трем терабайтам взломанных данных, загрузка которых заняла более 8 часов, и предупредил через СМИ, что утечка оказалась гораздо более серьезной, чем город раскрыл жителям.
  • Его родной город подал на него в суд, что, по словам города, необходимо для защиты конфиденциальной информации. Однако это застало экспертов врасплох и, по их словам, может негативно сказаться на раскрытии информации о хакерских атаках и прозрачности общества.
Энди Джинтер, мэр Колумбуса, штат Огайо, выступает на мероприятии с двухпартийной группой мэров в Восточной комнате Белого дома в Вашингтоне, округ Колумбия, США, в пятницу, 20 января 2023 года. Мэры, столкнувшиеся с наплывом мигрантов из приграничных районов США и Мексики в свои города, умоляют федеральных чиновников оказать им дополнительную помощь во время встреч в Вашингтоне на этой неделе. Фотограф: Эндрю Харрер/Bloomberg через Getty Images
По словам исследователя даркнета, который расследовал это дело и на которого город подал в суд, Энди Гинтер, мэр Колумбуса (штат Огайо), изображенный на мероприятии в Белом доме в 2023 году, не предоставил общественности полную картину недавней атаки с использованием вируса-вымогателя. Блумберг | Блумберг | Getty Images/ PHOTO: MICHAEL REYNOLDS/ SHUTTERSTOCK

Программы-вымогатели давно преследуют американские муниципалитеты . Похоже, это была еще одна типичная атака программ-вымогателей, которая затронула город Колумбус, штат Огайо, в июле этого года. Однако реакция города на взлом была не такой, и эксперты по кибербезопасности и праву по всей стране ставят под сомнение его мотивы.

Коннор Гудвольф (настоящее имя — Дэвид Лерой Росс) — IT-консультант, который в рамках своей работы занимается темной паутиной . «Я отслеживаю преступления в темной паутине, преступные организации и все такое, за что арестовали генерального директора Telegram », — сказал Гудвольф.

Поэтому, когда стало известно, что город Колумбус, его родной город, подвергся взлому, Гудвольф сделал то, что он обычно делает: он покопался в сети. Ему не потребовалось много времени, чтобы выяснить, что было у хакеров в их распоряжении.

«Это была не самая крупная, но одна из самых серьезных утечек, которые я видел», — сказал Гудвольф.

В некотором смысле он описал это как обычное нарушение, в ходе которого были раскрыты персональные идентифицируемые данные, защищенная информация о состоянии здоровья, номера социального страхования и фотографии водительских прав. Однако, поскольку было взломано несколько баз данных, это было более масштабно, чем другие атаки. По словам Гудволфа, хакеры взломали несколько баз данных города, полиции и прокуратуры. Там были записи об арестах и ​​конфиденциальная информация о несовершеннолетних и жертвах домашнего насилия. Некоторые из взломанных баз данных, по его словам, датируются 1999 годом. 

Goodwolf обнаружил более трех терабайт данных, загрузка которых заняла более 8 часов.

«Первое, что я вижу, — это база данных прокурора, и я думаю: «Боже мой!», это же жертвы домашнего насилия. Когда речь идет о жертвах домашнего насилия, нам нужно защищать их больше всего, потому что они уже однажды стали жертвами, а теперь снова стали жертвами, поскольку их информация была раскрыта», — сказал он.

Первым действием Гудволфа было связаться с городом, чтобы сообщить им, насколько серьезна утечка, поскольку то, что он увидел, противоречило официальным заявлениям. На пресс-конференции 13 августа мэр Колумбуса Эндрю Гинтер сказал: «Персональные данные, которые злоумышленник опубликовал в даркнете, были либо зашифрованы, либо повреждены, поэтому большая часть данных, полученных злоумышленником, непригодна для использования».

Но то, что обнаружил Гудвольф, не подтверждало эту точку зрения. «Я пытался связаться с городом несколько раз, с несколькими департаментами, но меня отшили», — сказал он.

Компания Mandiant, принадлежащая Google, а также многие другие ведущие компании по кибербезопасности отслеживают продолжающийся рост атак с использованием программ-вымогателей , как по распространенности, так и по серьезности, а также рост активности Rhysida Group, стоящей за взломом Columbus, который приобрел известность в течение последнего года.

Группа Rhysida взяла на себя ответственность за взлом. Хотя о кибербанде известно немного, Гудвольф и другие эксперты по безопасности говорят, что они, по всей видимости, спонсируются государством и базируются в Восточной Европе. Гудвольф говорит, что эти банды вымогателей — это «профессиональные операции» со штатом сотрудников, оплачиваемым отпуском и пиарщиками. «С прошлой осени они усилили атаки и увеличили число целей», — сказал он.

Агентство по кибербезопасности и безопасности инфраструктуры правительства США выпустило бюллетень о Rhysida в ноябре прошлого года.

Гудвольф сказал, что поскольку никто из города не ответил ему, он обратился в местные СМИ и поделился данными с журналистами, чтобы донести до общественности серьезность нарушения. И тогда он услышал от города Колумбус в форме судебного иска и временного запретительного постановления, запрещающего ему распространять дополнительную информацию. 

Город защитил свой ответ в заявлении для CNBC: «Город изначально пытался получить этот приказ, который был выдан судом, чтобы предотвратить распространение конфиденциальной информации, потенциально включающей в себя личности тайных сотрудников полиции, которая угрожает общественной безопасности и уголовным расследованиям». Срок действия временного 14-дневного запретительного судебного приказа города в отношении Goodwolf истек, и теперь у города есть предварительный запрет и соглашение с Goodwolf о неразглашении дополнительных данных.

«Следует отметить, что постановление суда не запрещает ответчику обсуждать утечку данных или даже описывать, какие именно данные были раскрыты», — говорится в заявлении города. «Оно просто запрещает человеку распространять украденные данные, размещенные в даркнете. Город продолжает сотрудничать с федеральными властями и экспертами по кибербезопасности, чтобы отреагировать на это кибервторжение».

Между тем мэру пришлось принести mea culpa на последующей пресс-конференции, заявив, что его первоначальные заявления основывались на информации, которой он располагал на тот момент. «Это была лучшая информация, которой мы располагали на тот момент. Очевидно, мы обнаружили, что это была неточная информация, и я должен взять на себя ответственность за это». Понимая, что воздействие на жителей было больше, чем предполагалось на первый взгляд, город предлагает два года бесплатного кредитного мониторинга от Experian. Это касается всех, кто имел контакт с городом Колумбус через арест или другой бизнес. Колумбус также сотрудничает с Legal Aid, чтобы выяснить, какие дополнительные меры защиты необходимы жертвам домашнего насилия, которые могли быть скомпрометированы или нуждаются в помощи с судебными приказами о гражданской защите.

На сегодняшний день город не выплатил хакерам, требовавшим выкуп в размере 2 миллионов долларов.   

«Он не Эдвард Сноуден»

Те, кто изучает право в области кибербезопасности и работает в этой сфере, выразили удивление по поводу того, что Колумбус подал гражданский иск против исследователя.

«Судебные иски против исследователей безопасности данных случаются редко», — сказал Рэймонд Ку, профессор права в Университете Кейс Вестерн Резерв. В редких случаях, сказал он, это обычно происходит, когда исследователь якобы раскрыл, как уязвимость была или может быть использована, что затем позволило бы другим также воспользоваться уязвимостью.

«Он не был Эдвардом Сноуденом», — сказал Кайл Ханслован, генеральный директор компании по кибербезопасности Huntress, который сказал, что обеспокоен реакцией города Колумбус и тем, что это может означать для будущих нарушений. Сноуден был государственным служащим по контракту, который слил секретную информацию и столкнулся с уголовными обвинениями, но считал себя осведомителем. Гудвулф, говорит Ханслован, — добрый самаритянин, который независимо нашел взломанные данные.

«В этом случае, похоже, мы просто заставили замолчать человека, который, насколько я могу судить, является исследователем по вопросам безопасности, который сделал минимум и подтвердил, что официальные заявления не соответствуют действительности. Это не может быть надлежащим использованием судов», — сказал Ханслован, предсказывая, что дело будет быстро отменено.

Городской прокурор Колумбуса Зак Кляйн заявил на пресс-конференции в сентябре, что дело «не касается свободы слова или разоблачения. Речь идет о загрузке и раскрытии украденных записей уголовных расследований».

Ханслован беспокоится о волновом эффекте, когда консультанты и исследователи по кибербезопасности боятся выполнять свою работу из-за страха быть привлеченными к ответственности. «Главное здесь то, что мы видим появление новой схемы» для реагирования на хакерские атаки, в которой людей заставляют молчать, и это не должно приветствоваться, сказал он. «Замалчивание любого мнения, даже на 14 дней, может быть достаточным, чтобы помешать чему-то достоверному выйти на свет, и это ужасает меня», — сказал Ханслован. «Этот голос должен быть услышан. По мере того, как мы видим, что происходят более крупные инциденты в кибербезопасности, я беспокоюсь, что люди будут все больше беспокоиться об их раскрытии».

Скотт Дилан, основатель британской венчурной компании NexaTech Ventures, также считает, что действия города Колумбус могут оказать негативное влияние на сферу кибербезопасности.

«Поскольку сфера киберправа продолжает развиваться, это дело, вероятно, будет упоминаться в будущих дискуссиях о роли исследователей в ликвидации последствий утечек данных», — сказал Дилан. Он утверждает, что правовые рамки должны развиваться, чтобы соответствовать уровню сложности кибератак и этических дилемм, которые они порождают, а подход, принятый Колумбусом, является ошибкой. Тем временем, судебный процесс для Гудволфа будет продолжаться. Несмотря на то, что Колумбус и Гудволф достигли соглашения на прошлой неделе о распространении информации, город все еще подает на него в суд за ущерб в гражданском иске, который может достичь 25 000 долларов или больше. Гудволф представляет себя сам в своих переговорах с городом, хотя и говорит, что у него есть адвокат наготове, если понадобится.

Некоторые жители подали коллективный иск против города. Goodwolf утверждает, что 55% украденной информации было продано в даркнете, а 45% доступно любому человеку, имеющему необходимые навыки для доступа к ней.

Дилан считает, что город сильно рискует, даже если его действия могут быть юридически оправданы, создавая видимость попытки заглушить дискуссию, а не поощрять прозрачность. «Это стратегия, которая может иметь обратный эффект, как с точки зрения общественного доверия, так и будущих судебных разбирательств», — сказал он.

«Я надеюсь, что город осознает ошибку подачи гражданского иска и последствия не только для безопасности», — сказал Гудвольф, отметив, что  Intel тратит миллиарды , при значительной поддержке федерального правительства , на строительство предприятий по производству чипов в пригороде Колумбуса. В последние годы город позиционировал себя как новый технологический центр в «Кремниевом сердце» Среднего Запада, и нападки на белых хакеров и исследователей кибербезопасности, сказал он, могут заставить некоторых в технологическом секторе переосмыслить его как место.

источник: https://www.cnbc.com/2024/09/15/dark-web-expert-warned-us-hometown-about-big-hack-the-city-is-suing.html?mod=djemCybersecruityPro&tpl=cs