Технологии
Роман Персианинов

Кто такая Мия Эш — выдуманная британка, заражавшая компьютеры

И кто придумал аккаунт с фотографиями реальной девушки, втиравшейся в доверие, а затем убеждавшей открыть вирусный файл.

Фотография девушки, которую использовали хакеры

Миа Эш — 30-летняя британка с двумя гуманитарными высшими образованиями и успешный фотограф. У неё больше 500 друзей на Фейсбуке, примерно столько же на LinkedIn, основная часть — мужчины с Ближнего Востока.

Новые селфи, которые выкладывала Эш, моментально собирали лайки. В статусе отношений стояло «всё сложно». Это неудивительно — как выяснила исследовательская компания Secure Works, Мии Эш никогда не существовало.

Фейковый друг

Специалисты американской компании по вопросам кибербезопасности Secure Works давно изучали Эш. В январе 2017 года работники фирмы помогли одной ближневосточной компании очистить систему от вируса, запустившего цепочку расследования. Когда эксперты попытались понять, как враждебная программа попала на компьютер, ответ оказался неожиданным.

Владелец заражённого компьютера рассказал, что последний месяц он общался с некой Мией Эш. Они познакомились на LinkedIn, где девушка обратилась к нему с вопросом о фотосъёмке. Дискуссия перебралась в Фейсбук, профессиональный вопрос перерос в рутинную переписку.

Спустя какое-то время Эш отправила сотруднику фирмы электронное письмо с опросом в Microsoft Excel. Она попросила открыть сообщение на рабочем компьютере, якобы там опрос будет лучше работать. Её собеседник ничего не заподозрил — он общался с девушкой уже достаточно давно.

Профиль Мии Эш в Фейсбуке

Приложение к письму моментально запустило в корпоративный компьютер вирус PupyRAT, который удалось остановить только благодаря системе безопасности фирмы.

Когда специалисты Secure Works начали копать дальше в направлении Эш, они поняли — хакеры используют эту выдуманную персону, чтобы втереться в доверие к сотрудникам фирм и затем заразить их компьютеры. Этот вид социальной инженерии, с помощью которой можно «управлять» действиями человека, используя его психологические слабости, далеко не нов для хакеров.

Однако, по данным специалистов Secure Works, злоумышленники редко создают столь реалистичные фейковые профили, как в случае с Эш. Хакеры завели ей профиль в Фейсбуке, LinkedIn, Blogger, и WhatsApp, а также создали два электронных адреса на её имя. При этом они потратили время, чтобы придумать легенду и добавить в друзья огромное количество живых людей.

Этот фейковый аккаунт — один из лучших, что я когда-либо видела. Его определённо использовали не меньше года.

Эллисон Викофф

Хакерский инструмент

Изучив список друзей Эш на Фейсбук и Linkedin, специалисты разделили их на две категории. В первой находятся люди, которых Эш добавила, чтобы подкрепить образ успешного фотографа. Во второй группе — мужчины от 20 до 40 лет, в основном выходцы с Ближнего Востока, в том числе из Саудовской Аравии, Ирака, Ирана и Израиля. Есть и американцы — работники среднего звена в IT-компаниях и администраторы в фирмах нефтепромышленного, космического, юридического или медицинского толка.

На основе этой выборки в Secure Works решили, что за созданием Эш может стоять хакерская группировка OilRi, более известная как Cobalt Gypsy. С этим сообществом специалисты знакомы ещё с 2015 года. Его участники в ответе за создание 25 фейковых профилей LinkedIn, которые пытались выведать у пользователей важную информацию. В большой части профилей было указано, что их создатели родом с Ближнего Востока. При этом специалисты выделили пять «лидеров», которые якобы занимали высокие должности в американских или южнокорейских компаниях.

​Страны, с которыми Эш была связана через профиль LinkedIn. Чем темнее выделена территория, тем выше концентрация связей в этой стране. Нажмите, чтобы увеличить изображение

По данным Secure Works, группировку Cobalt Gypsy может курировать иранское правительство для кибершпионажа. Возможно, этими целями хакеры не ограничиваются. Как считают специалисты McAfee, Cobalt Gypsy сотрудничает с организацией Shamoon, которая вот уже пять лет взламывает IT-компании, в основном из Саудовской Аравии. Примечательно, что участники Shamoon используют ту же методику заражения, что Cobalt Gypsy — присылают сотрудникам инфицированное приложение к Microsoft Office.

Другое совпадение — обе группировки используют вирус PupyRat. Ещё в 2016 году Shamoon атаковали им одну из компаний, но антивирусу фирмы удалось подавить заражение. Месяц спустя, как выяснили в Secure Works, сотрудник фирмы познакомился с Эш. Специалисты считают, что она была запасным планом хакеров на тот случай, если жертвы не открывали письма с подозрительных адресов.

Эш пропадает с радаров

В начале июля, после более года активности, профиль Эш на LinkedIn пропал. Secure Works предупредили руководство Facebook о фейковом аккаунте, и вскоре её профиль в социальной сети тоже удалили. Специалисты же отыскали девушку, чьи фотографии использовала Эш для создания своего образа.

Она отказалась общаться с журналистом Wired и попросила не раскрывать её личность. На этом примере в Secure Works отмечают, как любые личные фотографии в социальной сети могут использовать в неожиданных и порой незаконных целях (со схожей проблемой недавно столкнулась читательница TJ).

Хронология действий Эш

«Если вы не скроете свои учётные записи в социальных сетях, их данные могут использовать в скверных целях», — пояснила Эллисон Викофф.

Однако куда более важный урок история Эш преподаёт IT-компаниям. Викофф считает, что хакерские ловушки становятся всё более изящными. Теперь обманным инструментом может оказаться даже живой человек.

#исследования #технологии