Хакеры из SocialHack рассказали о способе взлома Russia Today

Хакеры из группировки SocialHack в ходе обучающего семинара рассказали подробности получения доступа к редактированию русскоязычного сайта телеканала Russia Today, который они имеют до сих пор. О том, что обсуждалось на одном из серии таких семинаров, TJ рассказал источник, близкий к SocialHack.

По словам представителя хакерской группировки, общавшегося со «студентами» через Jabber под ником ahilles, взлом сайта Russia Today целиком полагался на метод социальной инженерии.

Изначально у хакеров не было данных о сотрудниках телеканала. Они не смогли найти их в публичных источниках, поэтому позвонили в редакцию, представившись заместителем директора по стратегическому развитию холдинга ВГТРК и предложив спецпроект к 9 мая. В ответ они получили ФИО руководителя отдела спецпроектов Russia Today, её личный номер телефона и электронную почту.

По этим данным они нашли сотрудницу телеканала во «ВКонтакте». Она оказалась молодой девушкой, поэтому хакеры решили познакомиться с ней с фейковой страницы симпатичного парня, якобы работающего в RT системным администратором. Войдя в расположение, злоумышленники узнали у девушки о проблемах в работе системы управления контентом на сайте Russia Today: сессия пользователя завершалась через случайные промежутки времени, от 10 минут до нескольких часов, что вызывало у сотрудников неудобства.

Предложив решить её проблемы с сессией при помощи патча, хакеры подменили свой email на корпоративный и прислали сотруднице RT установочный файл, содержащий зловред DarkComet RAT, дающий удалённое управление над компьютером. Для того, чтобы «комету» не обнаружили, ahilles воспользовался подручным криптором, скрывающим зловреда от 55 из 56 известных антивирусов: по словам хакера, его обнаруживала только Avira.

Зловред не обнаружил сохранённых в браузерах паролей, поэтому хакерам пришлось дождаться, пока девушка введёт на компьютере пароль и его перехватит кейлоггер, утверждал ahilles. Зачем хакерам требовалось дожидаться ввода пароля при полном доступе к управлению компьютером, он не уточнял.

После того, как в SocialHack получили пару логин-пароль, выяснилось, что в Russia Today отсутствует двухфакторная аутентификация, а доступ в панель администрирования не имеет никаких ограничений. Хакерам удалось создать несколько фейковых пользовательских профилей, а также при помощи почтовой рассылки зловреда получить доступ ещё к семи рабочим компьютерам сотрудников RT.

По словам хакеров, доступ к сайту Russia Today они имеют до сих пор, однако не пользуются им.

Взломщики утверждали, что в результате они могли подсматривать за происходящим в офисе через веб-камеры и наблюдать, как после массового изменения ими содержимого статей в редакции началась паника.

В качестве подтверждения взлома представитель SocialHack показал скриншоты панели администрирования русскоязычного сайта Russia Today и переписки в Skype между сотрудниками телеканала. Как заявляют хакеры, атаку на телеканал они провели ради «резкой рекламы» своей группировки.

По словам ahilles, после успешной атаки он отделался от сотрудницы RT легендой, что его уволили из компании из-за того, что допустил взлом сайта. Эту легенду он придумал якобы после того, как прочитал переписку в Skype нескольких редакторов, говоривших об увольнениях в IT-отделе.

Взлом сайта произошёл 12 мая: тогда хакеры воспользовались полученным доступом, чтобы разместить в СМИ сообщение о наборе в группы обучения взломам. Позднее они пообещали рассказать о деталях атаки, однако для этого «новобранцам» необходимо было пройти отбор.

Всего было открыто пять групп по десять человек, в двух из которых обучение было бесплатным. Отбор происходил после решения тестовых заданий, отличающихся в каждой из групп: в одних случаях нужно было разработать план взлома с помощью социальной инженерии, в других — показать навыки расшифровки или поиска уязвимостей.