Подстава века или таинственная история взлома Ситибанка



    Было время, когда хакеры промышляли взломом ради удовлетворения собственного любопытства и исследовательского зуда, а вред, который могли причинить вредоносные программы, ограничивался переворачиванием изображения на экране вверх тормашками и доносящимися из динамика компьютера неприличными звуками. Потом времена изменились, и на первое место вышли корыстные мотивы. Киберпреступность взяла на вооружение самые современные методы взлома, и одной из основных целей хакерских атак стали банки. Как говорится, just a business, ничего личного.


    Один из самых громких случаев взлома банков — далеко не первый, но получивший широкую огласку в СМИ — случился еще в 1994 году, и имел, как принято говорить сейчас, «русский след». 30 июня 1994 года выпускник Ленинградского технологического института, 27-летний микробиолог Владимир Левин вторгся в компьютерную систему американского «Ситибанка», и в течение пяти месяцев похитил с клиентских счетов более 12 млн. долларов. При этом порядка четверти миллиона до сих пор не найдено, несмотря на старания сотрудников ФБР, которые принимали активное участие в расследовании инцидента. Поскольку злодей не уделял достаточного внимания собственной анонимности, фэбээровцы довольно быстро выяснили, что взлом осуществлялся из помещения питерской компьютерный фирмы «Сатурн СПб», а с помощью сотрудников МВД России быстро установили личность хакера. Им и оказался сотрудник этой небольшой компании Владимир Леонидович Левин, 1967 года рождения, проживавший с родителями в скромной квартире на Светлановском проспекте. Так как в российском Уголовном кодексе того времени отсутствовала статья за компьютерные преступления, привлечь Левина к ответственности не представлялось возможным. Чтобы арестовать хакера, сотрудники спецслужб решили выманить его за границу, для чего затеяли целую психологическую игру. Они заставили задержанных подельников звонить Левину по телефону с сообщениями, что его вот-вот поймают, а их российские коллеги натравили на Владимира братков, требовавших поделиться нетрудовыми доходами. Не выдержав такого прессинга, Левин решил сбежать в Великобританию к знакомому своей матери, где и был задержан прямо в аэропорту Стэнстед, едва спустившись с трапа самолета. Произошло это 3 марта 1995 года.



    Надо сказать, что данный взлом осуществлялся по всем правилам классических киберпреступлений: деньги небольшими порциями переводились на счета в других банках, а затем обналичивались с помощью дропов или «мани мулов» — нанятых курьеров, снимавших украденные средства со своих пластиковых карт или банковских счетов наличными. При этом сами дропы не были знакомы с нанимателями: обычно их используют «в тёмную», предлагая подработать в качестве посредников при выполнении денежных переводов, или прикрывая подобную деятельность какой-нибудь легендой вроде финансовой пирамиды. Все взаимодействия между киберпреступниками и дропами происходит дистанционно. Соответственно, «денежных мулов» полиция ловит в первую очередь, что и произошло в случае с Левиным: задержанные начали давать показания. Правда, они мало чем помогли полицейским, кроме, разве что, понимания масштабов аферы и возможности вернуть пострадавшим большую часть похищенного. Именно этим, в частности, и объясняется столь малый срок, полученный «русским хакером» за совершенное им преступление.

    Отсидев чуть больше 12 месяцев в британской каталажке, Владимир Левин был экстрадирован в США, где суд назначил ему 3 года лишения свободы. Но ещё до этого, благодаря многочисленным публикациям СМИ, Левин заработал репутацию величайшего и крутейшего хакера современности, встав в один ряд с Кевином Митником, Джонатаном Джеймсом и прочими парнями, оставившими свой след на пыльных тропинках далёких планет мировой киберпреступности. Казалось бы, бдительность сотрудников «Ситибанка» и профессионализм агентов ФБР позволили быстро раскрыть «преступление века» и вернуть большую часть украденного своим законным владельцам. Но есть в этом деле пара тёмных пятен, которые не позволяют сказать, что мировой общественности известны абсолютно все детали этого громкого киберпреступления.

    Во-первых, несмотря на все старания, дознавателям так и не удалось откопать в недрах банковских серверов следов действия вредоносных программ. Кроме того, по свидетельствам знакомых, фидошник Левин не производил впечатления компьютерного гения, да и в компании «Сатурн СПб», где он трудился сисадмином, звезд с неба не хватал. Возникло предположение, что причиной взлома «Ситибанка» стал человеческий фактор, возможно, социальная инженерия, методы которой успешно использовал на практике еще старина Кевин Митник. Говоря по-простому, сотрудникам банка просто задурили голову, выманив у них информацию, необходимую для доступа к клиентским счетам.

    И вот тут-то возникает второй вопрос, который ставит под сомнение всю эту широко разрекламированную историю про гениального русского хакера, провернувшего на известном месте банковскую систему Соединенных Штатов Америки. Дело в том, что Владимир Левин в достаточной степени не владел английским языком. И в школе, и в институте он учил французский, а язык Шекспира знал на уровне «Ландан из зэ кэпител оф Грейт Британ» и чтения технической документации со словарем. По слухам, разговорный английский он смог выучить, уже находясь в американской тюрьме, благо, там у него появилось для этого достаточно свободного времени. Напрашивается вывод: сам Владимир Левин вряд ли мог использовать социальную инженерию или изощренный хакерский инструментарий для совершения этого преступления. В пользу такого вывода говорит и тот факт, что после ареста сотрудники ФБР пытались привлечь Левина к сотрудничеству, однако крепко обломались. Не потому, что русский хакер отказывался работать на спецслужбы вероятного противника, а потому, что оказался бесполезен — его квалификация не позволяла принять деятельное участие в дальнейшем расследовании. Так кто же тогда взломал «Ситибанк»?

    Достоверных и проверенных фактов на этот счёт нет до сих пор, поэтому история быстро обросла слухами, предположениями и домыслами. Кое-где писали, что взлом оказался столь успешным благодаря банковскому инсайду, а именно, заинтересованному участию в хищении некоторых нечистых на руку сотрудников. Но в самом банке, разумеется, провели внутреннее расследование инцидента, результаты которого не были опубликованы, однако никаких отставок, арестов, или громких увольнений за этим не последовало. Значит, сотрудники банка здесь всё-таки ни при чём.

    Эта история так навсегда и осталась бы покрыта мраком неразгаданной тайны, если бы 17 апреля 2012 года в дайджесте «Независимый обзор провайдеров» не была опубликована статья «Дело Левина: недостающее звено», которая сейчас уже благополучно выпилена из этих ваших интернетов. В заметке некий анонимный хакер под ником ArkanoiD поделился с читателями подробностями о том самом легендарном взломе, одним из участников которого он, по его собственным словам, являлся. К тому моменту все сроки давности данного преступления уже давно прошли, поэтому ArkanoiD’у было нечего опасаться. А у общественности, соответственно, нет ни малейших оснований не доверять его словам.

    Итак, ArkanoiD поведал, что за взломом «Ситибанка» на самом деле стояла международная группа хакеров, которая занималась исследованием безопасности сетей, построенных с использованием протокола X.25. В 1994 году эта технология широко применялась для построения LAN на базе телефонных сетей, поскольку протокол позволял осуществлять передачу данных через низкокачественные линии с большим количеством ошибок благодаря развитому механизму их коррекции. Именно протокол X.25 использовался в сетях «Ситибанка». Обнаруженные уязвимости в механизме авторизации пользователей позволили хакерам получить доступ к BBS — электронной доске объявлений банка. Видимо, для удобства взломщиков BBS показывала всем желающим собственные файлы конфигурации, а также список IP-адресов доступных по протоколу ARP узлов с комментариями на английском языке. Соединившись со всеми узлами по очереди, хакеры получили доступ к нескольким шлюзам, через них — к модемным пулам и внутренней сети «Ситибанка». Был обнаружен роутер, к которому можно было подключиться Telnet’ом из внутренней банковской сети, и наоборот, из интернета попасть через этот роутер в сеть «Ситибанка», а из нее — в электронные почтовые ящики нескольких сотрудников. Поскольку логины и пароли для доступа к банковским счетам клиентов часто передавались в почте в незашифрованном открытом виде, перехват сообщений e-mail позволил злоумышленникам собрать неплохую коллекцию учетных данных. Некоторые пароли были получены с помощью брутфорса, благо, они оказались нестойкими к перебору по базовому словарю. Из этой же скомпрометированной сети они без всякого труда скачали инструкции по доступу к различным внутренним сервисам банка.

    Несмотря на то, что внутренняя сеть «Ситибанка» все-таки была оснащена системой предупреждения о несанкционированном доступе, служба безопасности никак не реагировала на многочисленные автоматические сообщения о вторжении, что позволило взломщикам действовать практически не скрываясь. Раздолбайство админов доходило до того, что, по словам ArkanoiD’а, однажды он запустил на одном из банковских серверов игру Star Trek и рубился в нее по сети, так и оставшись незамеченным. ArkanoiD утверждал, что вскоре его группа получила фактически полный доступ к банковской инфраструктуре — хакеры обладали админскими паролями от внутренних серверов, располагали поэтажными планами размещения оборудования в офисах «Ситибанка», данными для доступа к клиентским счетам и даже иногда помогали сотрудникам решать мелкие технические проблемы.

    Отчасти столь наплевательское отношение со стороны службы безопасности «Ситибанка» объяснялось тем, что дыры в инфраструктуре были хорошо известны сотрудникам, и часть устаревших устройств планировалось в скором времени заменить. Сама же межбанковская сеть Sprintnet, объединявшая офисы самого «Сити» и несколько других банков, считалась достаточно защищенной для того, чтобы туда осмелились влезть американские хакеры. Никто попросту не ожидал, что к ней получат доступ взломщики из-за океана.

    Однако вторгшиеся в банковскую сеть хакеры оказались не только опытными, но и в известной степени разумными — они прекрасно понимали, что стоит им перейти от изучения инфраструктуры и перехвата электронной почты к выкачиванию денег с банковских счетов, как взлом будет тут же обнаружен, а за их поиск примутся люди посерьезнее ленивых системных администраторов. Последствия могли оказаться намного круче возможной прибыли. Поэтому, вдоволь наигравшись со взломанной сетью, один из участников группы продал доступ к ней первому желающему за 100 долларов наличными. Этим желающим оказался Владимир Левин.

    Что же касается личности самого таинственного ArkanoiD'а, то в 2005 году Lenta.ru писала о нем следующее:

    На российской и международной хакерской сцене имя ArkanoiD хорошо известно, и в ряде версий неофициальных хит-парадов компьютерного андерграунда он, наряду с такими персонажами, как Solar Designer, относится к числу наиболее квалифицированных хакеров на территории бывшего СССР.


    В целом, рассказанная им история выглядит вполне правдоподобно. В 1994 году даже крупные банки не особо заботились об информационной безопасности, а сети многих предприятий, включая государственные конторы и серьезные исследовательские институты, часто представляли собой форменной дуршлаг. Получается, что Владимира Левина фактически подставили, вернее, он подставил себя сам, решив воспользоваться купленной за 100 баксов информацией для собственного обогащения, и не рассчитав последствия. А фебеэровцам и службе безопасности банка было, очевидно, лень искать реальных хакеров, получивших несанкционированный доступ к сети, когда похититель чужих денег — вот он: сидит за компьютером в офисе скромной питерской фирмы, и даже почти не скрывается. В результате каждый получил то, что хотел: админы банка — хороший урок, сотрудники спецслужб — премию и новые звания, клиенты —похищенные у них деньги обратно, а Владимир Левин — тюремный срок и репутацию самого крутого хакера России и близлежащих окрестностей.

    После отсидки Владимир Левин исчез с радаров СМИ, и о его дальнейшей судьбе практически ничего не известно. Возможно, ему вполне хватило шумихи двадцатисемилетней давности, благодаря которой его судьба навсегда изменилась, и далеко не в лучшую сторону. Изменилась и история информационной безопасности: после этого громкого взлома банки стали бережнее относиться к охране своего сетевого периметра, а защита данных быстро превратилась в богатую многомиллионную индустрию. Конечно же, эта атака на банк стала далеко не последней в истории человечества. Были и другие громкие взломы, о которых мы расскажем в следующий раз.



    Наши серверы можно использовать для разработки на любых языках программирования.

    Зарегистрируйтесь по ссылке выше или кликнув на баннер и получите 10% скидку на первый месяц аренды сервера любой конфигурации!

    Маклауд
    Облачные серверы на базе AMD EPYC

    Комментарии 28

      +1
      гмгм, мне почему-то показался вероятным вариант, что заявленная сумма — это именно привязываемая к Левину сумма. Какие-то суммы легко могли «исчезнуть», но, поскольку эти операции не удалось привязать к взлому, то и были списаны на текущие небалансы и страховки.
        0
        Как минимум, четверть миллиона вечнозеленых долларов точно куда-то испарилась, при этом Арканоид утверждал, что хакеры из его группы к счетам пользователей не прикасались. Видимо, когда начали исчезать деньги, шухер поднялся очень быстро.
        0
        Вот есть интересные подробности об этой истории: www.compromat.ru/page_24326.htm
          0
          Любопытно, спасибо.
            0

            да… спасибо за статью, не знал таких подробностей…
            надо ж вот так живёшь, а рядом кипят страсти…
            Вова был хорошим аплинком, 2053/108 по моему, если память не подводит. Хорошая BBSка у него была, 2 или 3 зюхеля шустрых, софта много разного))
            Интересно было б почитать про технологию взлома, интернета ж не было, по сути он по ISDN должен был звониться куда-то зарубеж..., а это было мягко говоря не дешево.

              0
              В книге «Атака из Internet» (Медведовский И.Д., Семьянов П.В., Леонов Д.Г., Лукацкий А.В.) этот взлом довольно подробно описан. Книжку, вроде бы, можно найти на Литресе и в он-лайн библиотеках.
                0
                Я бы даже сказал, что конкретно этот фрагмент лежит открыто лет так десять:
                bugtraq.ru/library/books/attack3/intro/#levin
                  0

                  вы сами читали? я бегло просмотрел сей труд, может какую-то урезанную версию, но никаких подробностей по технике там не видел, одни общие слова.

                    0
                    За рубеж звонить не надо: Sprintnet нода живёт в местном городе. На неё звонишь (модем на местный номер), а дальше коннектишься через роутинг к любой другой ноде в этой сети.
                      0
                      спасибо, вот со Спринтнетом был явный пробел, Роснетовские ноды помню. Еще помню, что аплинк все время время коннекта ограничивал, если ты даунлоадишь больше чем аплоадишь чего-то полезного, так что в моем случае «посерфить» особо не получалось ))
                  0
                  В общем BBS того времени взламывались легко. Допустим почти у всех стоял (в нашем городе) Maximus, и если была разрешена файлопомойка, достаточно было залить файл в имени которого было 2 спец. символа. При листинге файлов сервер их обрабатывал как команды (современный аналог javascript) и сваливался в шел. DOS же никак и ничего не защищал.
                    0
                    ПРи этом большинство BBS-ок были фидошными нодами.
                    0
                    Вова был хорошим аплинком, 2053/108 по моему, если память не подводит. Хорошая BBSка у него была, 2 или 3 зюхеля шустрых, софта много разного))

                    И в HTML шарил
                    +3
                    Смешно: «Петербургские „ноды“ (хакеры на местном питерском жаргоне)»
                    +2
                    Таинственный и загадочный «Анонимный хакер под ником ArkanoiD» — Алексей Смирнов, в настоящее время известный специалист по ИБ. Некоторое время назад работал директором по безопасности в Parallels.
                    xakep.ru/2014/01/26/intervyu-arkanoid
                    www.vedomosti.ru/management/articles/2012/12/27/perebralis_na_storonu_sveta
                      0
                      Ну вот, взяли, и всю интригу раскрыли ,)
                        0
                        Хихик, редакторы xakep.ru переименовали Relcom (от «reliable communications») в «Realcom»
                          0
                          На Xабре и редактор xakep.ru есть: Holmogorov
                          0
                          И на хабре он тоже есть: arkenoi
                            +3
                            пришлось пароль вспоминать!
                              +1
                              Зачем вспоминать, когда можно сбрутить? (:
                                0
                                Он применил социальную инженерию!
                            0

                            А другой участник тех событий — один из разработчиков весьма популярных на постсоветском пространстве альтернативных прошивок для модемов, разработчик известного фаервола, автор ряда нетленных мануалов по телефонии и фрикингу (и в прошлом администратор известного в своих кругах сайта про это), и ходят легенды что в 2000-х годах история с его участием мелькала в жёлтой прессе с не менее желтыми заголовками вида "Российский умелец сделал устройство, позволяющее прослушивать любые телефонные номера"… :)

                            0
                            В те времена была хорошая фраза...«ведро мусора из банка стоит 200 долларов».
                              0
                              Так еще старина Митник не брезговал копаться в помойках банков и бизнес-центров в поисках полезного хабара.
                              0

                              Для полноты картины ссылку на первоисточник "вторжения" можно было бы приложить.

                              0
                              некий анонимный хакер под ником ArkanoiD
                              Гм, а он разве анонимный? Я, вроде, с ним не раз общался и фотки его видел. Да, у него очень высокая квалификация (редкий случай — он ещё и как человек хороший при этом). Особенно в ИБ.
                              Но, возможно это и не тот арканоид.
                              UPD: А, уже написали. Да, это он

                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                              Самое читаемое