Федеральные прокуроры обвинили двадцативосьмилетнего парня из пригорода Сент-Эдмундсбери в английском графстве Саффолк во взломе тысяч компьютерных систем, многие из которых принадлежат правительству США.
Лаури Лав (Lauri Love) был арестован после длительного расследования с участием военной прокуратуры и подразделений по борьбе с киберугрозами. Проводимые им сетевые атаки начались не позднее октября 2012 года. Вместе с друзьями Лаури нарушил работу нескольких тысяч компьютеров в подсетях, принадлежащих армии США, Агентству противоракетной обороны, Министерству энергетики, NASA, Региональной лаборатории компьютерной криминалистики и другим серьёзным организациям.
По словам Лаури, в серии взломов не было какой-то конкретной цели. Он и его друзья просто развлекались, проверяя таким способом свои силы.
Если для арестованного парня это был затянувшийся вызов компьютерным системам, считающимся наиболее защищёнными в мире, то по мнению прокуроров, группа Лаури преследовала вполне определённые преступные цели.
Сейчас им инкриминируется несанкционированный доступ, кража гигабайт секретных правительственных сведений и персональных данных тысяч служащих, включая военных, а главное — попытка нарушить работу важных узлов инфраструктуры и правительственных организаций США.
Общий список преступлений в обвинительном акте занимает двадцать одну страницу. В деле фигурирует текст сообщения, которое Лаури отправил через IRC одному из своих коллег:
«Вы даже понятия не имеете, как сильно мы могли бы [censored] правительство США, если бы хотели. Это действительно чувствительная информация. По кусочкам можно собрать сведения обо всех личных данных любого сотрудника или подрядчика».
Самое удивительное, что группа Лаури использовала довольно простые инструменты — сканеры открытых портов, анализаторы наличия уязвимостей и подборку готовых эксплойтов. Основными методами взлома были использование уязвимостей в веб-приложениях, написанных на скриптовом языке Adobe ColdFusion, и SQL-инъекции.
Первый вариант был использован, в частности, для атаки на сайт инженерной группы, выполняющий разработки для армии США. Благодаря незакрытой уязвимости в ColdFusion 2 октября 2012 года Лаури получил копию файла с паролями.
Используя пароль администратора, взломщики получили данные о текущих и планируемых операциях армейского корпуса, включая даже такие детали, как планируемые к сносу военные объекты.
Согласно данным фирмы Imperva, специализирующейся на вопросах информационной безопасности, атаки с использованием SQL-инъекций встречаются очень часто. За прошлый год крупные атаки такого типа происходили в среднем четыре раза в месяц, наблюдаясь вдвое чаще на сайтах интернет-магазинов.
Администраторы большинства из них прекрасно знают об этой проблеме и принимают соответствующие меры противодействия. Слегка удивляет, что по факту сайты торговых организаций оказались более защищены, чем правительственные.
Сейчас многие пишут о недостаточной надёжности Tor и приводят довольно веские аргументы, но именно этот примитивный способ анонимизации позволял Лаури оставаться неуязвимым больше года. Нашли его благодаря досадной оплошности. Одна из сетевых атак началась из домена, за который он платил через PayPal, а его счёт был привязан к реальному почтовому аккаунту lauri.love@gmail.com.
Пока Лаури грозит до пяти лет тюремного заключения и штраф в размере $250 тыс. Однако оценка ущерба до сих пор корректируется в сторону увеличения, исчисляясь миллионами долларов. Возможно, ему решат предъявить дополнительные обвинения.