Αποκάλυψη: Πως έγινε το hack στη Yahoo;

Δημοσίευση: 18 Μαρτίου 2017, 9:54 μμ

Ας μιλήσουμε για το hack στην Yahoo. Στον ψηφιακό κόσμο, χρειάζεται ένα μόνο κλικ για να καταρρεύσουν ή να πάθουν ανεπανόρθωτη ζημιά μεγάλες και μικρές επιχειρήσεις.

Γνωρίζετε ότι η Yahoo δεν έπεσε θύμα κάποιας περίπλοκης επίθεσης από ένα ninja hacker, και ότι μια απλή επίθεση spear-phishing ήταν το μόνο όπλο που χρησιμοποιήθηκε για την μεγαλύτερη παραβίαση δεδομένων στην ιστορία;

Ναι, ένας από τους υπαλλήλους της Yahoo έπεσε θύμα μιας απλής επίθεσης phishing κάνοντας click σε ένα λάθος σύνδεσμο που του απεστάλη από τους hackers. Με το click αυτό κατάφεραν να αποκτήσουν πρόσβαση στα εσωτερικά δίκτυα της εταιρείας.

Οι επιθέσεις phishing χρησιμοποιούνται για την υποκλοπή ονομάτων και κωδικών πρόσβασης χρηστών. Spear-phishing είναι μια στοχευμένη μορφή phishing στην οποία οι εισβολείς στοχεύουν εργαζόμενους στην εταιρεία που θέλουν να αποκτήσουν πρόσβαση, για να υποκλέψουν τα διαπιστευτήρια τους.


Συνήθως το άνοιγμα ενός κακόβουλου συνημμένου αρχείου φτάνει για να χαθούν πολύ προσωπικά δεδομένα από τον υπολογιστή του θύματος. Αν τώρα αυτό το θύμα είχε αποθηκεύσει στον υπολογιστή του και διαπιστευτήρια πρόσβασης στα συστήματα της εταιρείας που εργάζεται έχουμε το φαινόμενο της Yahoo.

H μαζική υποκλοπή των δεδομένων της Yahoο ήταν ανθρώπινο λάθος σύμφωνα με το κατηγορητήριο του FBI.

Την Τετάρτη, η κυβέρνηση των ΗΠΑ κατηγόρησε δύο Ρώσους κατασκόπους (τον Dmitry Dokuchaev και τον Igor Sushchin) αλλά και δύο hackers (τον Alexsey Belan και τον Karim Baratov) για το hack που πραγματοποιήθηκε στην Yahoο το 2014. Από το συγκεκριμένο hack διέρρευσαν περίπου 500 εκατομμύρια λογαριασμοί χρηστών της εταιρείας.

Το κατηγορητήριο παρέχει αρκετές λεπτομέρειες για το hack του 2014, και αξιωματούχοι του FBI έδωσαν πρόσφατα μια νέα εικόνα για το πώς οι δύο αξιωματικοί της Ρωσικής Ομοσπονδιακής Υπηρεσίας Ασφαλείας (FSB) προσέλαβε δύο hacker να αποκτήσουν την αρχική πρόσβαση στη Yahoo στις αρχές του 2014.

Ας δούμε πως έγινε το hack στη Yahoo:

Η επίθεση ξεκίνησε με ένα “Spear Phishing” e-mail που απεστάλη σε «ημι-προνομιούχους» υπαλλήλους της Yahoo και όχι σε κορυφαία στελέχη της εταιρείας στις αρχές του 2014.

Αν και δεν είναι σαφές το πόσοι εργαζόμενοι της Yahoo έλαβαν το email, χρειάστηκε μόνο ένα click στο κακόβουλο συνημμένο ή σε κάποια σύνδεση, για να αποκτήσουν πρόσβαση οι επιτιθέμενοι σε εσωτερικά δίκτυα της Yahoo.

Ο Alexsey Belan, ο οποίος είναι ήδη στη λίστα των Most Wanted hackers του FBI, άρχισε να εξερευνά το δίκτυο και, σύμφωνα με το FBI, ανακάλυψε δύο βασικά στοιχεία:

  • Το User Database (UDB) της Yahoο (μια βάση δεδομένων που περιείχε προσωπικές πληροφορίες για όλους τους χρήστες του Yahoο).
  • Και το εργαλείο Διαχείρισης Λογαριασμών (Account Management Tool) – ένα διαχειριστικό εργαλείο που χρησιμοποιείται για την επεξεργασία της βάσης δεδομένων.
 

Ο Belan χρησιμοποίησε το πρωτόκολλο μεταφοράς αρχείων (FTP) για να κατεβάσει τη βάση δεδομένων της Yahoo, που περιείχε ονόματα, αριθμούς τηλεφώνων, ερωτήσεις και απαντήσεις ασφαλείας, και το χειρότερο, τα μηνύματα ηλεκτρονικού ταχυδρομείου της ανάκτησης κωδικών πρόσβασης που διέθεταν μια κρυπτογραφική τιμή, μοναδική για κάθε λογαριασμό της Yahoο.

Με τα μηνύματα ανάκτησης λογαριασμών και με τις μοναδικές τιμές κρυπτογράφησης ο Belan και ο Baratov απέκτησαν πρόσβαση στους λογαριασμούς ορισμένων χρηστών που επιθυμούσαν οι Ρώσοι κατάσκοποι Dokuchaev και Sushchin.

Μόλις εντόπισαν τους λογαριασμούς οι hackers χρησιμοποίησαν τις κλεμμένες τιμές κρυπτογράφησης που ονομάζονται “nonces” για να δημιουργήσουν πλαστά cookies πρόσβασης στους συγκεκριμένους λογαριασμούς χρηστών, δίνοντας στους πράκτορες της FSB πρόσβαση στους λογαριασμούς ηλεκτρονικού ταχυδρομείου των χρηστών χωρίς να χρειάζεται κάποιος κωδικός πρόσβασης.

Σύμφωνα με το FBI, αυτά τα cookies που δημιουργήθηκαν μεταξύ του 2015 και του 2016 τους έδωσαν πρόσβαση “σε περισσότερους από 6.500 λογαριασμούς της Yahoo.”

Ποιους ήθελαν οι Ρώσοι κατάσκοποι:

Σύμφωνα με το κατηγορητήριο, εκτός τους παρόχους ξένων υπηρεσιών webmail, οι Ρώσοι κατάσκοποι απέκτησαν πρόσβαση σε λογαριασμούς της Yahoο που ανήκουν στους:

Ένα βοηθό αναπληρωτή του προέδρου της Ρωσίας.
Ένα αξιωματικό του Υπουργείου Εσωτερικών της Ρωσίας.
Ένα εκπαιδευτή που εργάζεται στο Υπουργείο Αθλητισμού της Ρωσίας.
Ρώσους δημοσιογράφους.
Υπάλληλοι κρατών που συνορεύουν με τη Ρωσία.
Κυβερνητικούς υπαλλήλους των ΗΠΑ.
Ένα υπάλληλο σε Ελβετική εταιρεία Bitcoin wallet.
Ένα εργαζόμενο σε μια αεροπορική εταιρεία των ΗΠΑ.

Ο ειδικός πράκτορας του FBI John Bennett δήλωσε σε μια συνέντευξη Τύπου ότι η Yahoo πλησίασε για πρώτη φορά το FBI το 2014 για το hack και ότι ήταν “σπουδαίοι συνεργάτες” κατά τη διάρκεια της έρευνάς τους.

Ωστόσο, η εταιρεία ανακοίνωσε το hack δύο χρόνια μετά τον Δεκέμβριο του 2016, ενημερώνοντας εκατοντάδες εκατομμύρια πελάτες της να αλλάξουν τους κωδικούς τους.

secnews.gr