Мародерство издалека: как русские хакеры взламывали школы Эйвона и Ковентри, осушали банковские счета и разрушали сети округа Огайо.
КЛИВЛЕНД, Огайо. В течение нескольких часов российские хакеры украли 471 000 долларов из школ Avon в результате серии незаконных банковских переводов со счетов в местных банках.
На следующий день они попытались снова, но на этот раз получили почти 700 000 долларов.
Почти два года спустя, в мае 2019 года, они нанесли удар по школам Ковентри, повредили компьютеры в округе Саммит и отправили студентов домой на каникулы до конца года. В отличие от Avon, округ не потерял денег, но потратил около 80 000 долларов на восстановление после нападения.
«Это разрушило нашу сеть, – сказала Келли Кендрик, операционный директор Ковентри. «Это так дорого обошлось региону, что мы потратили все лето на восстановление порядка и укрепление нашей безопасности».
Спустя годы подробности об атаках и их руководителях стали известны в федеральных обвинениях, поданных в Кливленде в начале этого месяца. Обвинения представляют собой первую легальную атаку правительства на TrickBot, международную сеть киберпреступлений, которая заразила миллионы компьютеров по всему миру и захватила десятки миллионов долларов у ничего не подозревающих банков, правительств и предприятий.
Кибератаки стали частью цифровой холодной войны, нового фронта, который включал в себя взлом электронных писем Хиллари Клинтон в предвыборной кампании в 2016 году, создание фальшивых учетных записей в социальных сетях, нацеленных на эксплуатацию американских расовых разногласий и нанесение ударов по различным правительственным учреждениям. В последние недели вредоносное ПО, предположительно из России, поразило колониальный трубопровод и глобальную мясоперерабатывающую компанию GPS.
В среду президент России Владимир Путин и президент США Джозеф Байден объявили, что планируют вместе работать над мерами кибербезопасности – заявление, которое вызвало у многих скепсис по поводу значимых результатов.
Однако Байден был жестким, сказав впоследствии репортерам, что он ясно дал понять: «У нас большой кибер-потенциал. И (Путин) это знает».
Влияние такой киберпреступности продолжает сказываться на северо-востоке Огайо. Школьные и правительственные чиновники проводят лето, работая над мерами, направленными на предотвращение атак и обеспечение безопасности своих сетей.
Власти заявили, что Ала Уэйт и TrickBot сыграли свою роль в создании этого страха.
Федеральное большое жюри в Кливленде предъявило обвинение 55-летней гражданке Латвии по 19 пунктам, включая банковское мошенничество, интернет-мошенничество и многочисленные эпизоды сговора по поводу того, что власти охарактеризовали как ее роль в сети. Эксперты по безопасности заявили, что арест позволил одним из первых взглянуть на происхождение TrickBot, фонда, созданного в России примерно в 2015 году.
«Она не была лидером, но была неотъемлемой частью TrickBot», – сказал Алекс Холден, генеральный директор Hold Security, фирмы по кибербезопасности из Милуоки, которая отслеживает работу TrickBot в течение многих лет. «Она переходила из одной части организации в другую, и это показывает, что они ей доверяли».
‘Школьным округам тяжело’
Согласно обвинительному заключению по делу Витта, разработчики TrickBot создали различные формы вредоносных программ и программ-вымогателей для опустошения банковских счетов и внедрения вирусов для отключения компьютерных систем. В обвинительном заключении не уточняется, как организация отбирала своих жертв и преследовала их.
В документе утверждалось, что TrickBot поразил загородный клуб в Рипоне, штат Калифорния, в декабре 2016 года. Одиннадцать месяцев спустя, в октябре 2017 года, он поразил школы Avon.
19 октября 2017 года TrickBot получил четыре отдельных банковских перевода со счетов округа на общую сумму 471 066 долларов, согласно обвинительному заключению. На следующий день TrickBot попытался получить доступ к большему количеству, но эта попытка не удалась.
«Это тяжело для школьных округов», – сказал Майкл Лоеб, директор Avon, добавив, что страховка покрыла ущерб. «Финансирование действительно трудно получить. Я рад, что они поймали этого человека, но я понятия не имел, что (арест) произошел».
Согласно обвинительному заключению, почти через год после забастовки Avon TrickBot получил учетные данные онлайн-банкинга, чтобы конфисковать более 750 000 долларов в виде денежных переводов от компании по недвижимости Северного Кантона. Федеральная прокуратура не идентифицировала компанию в документе.
Школы Ковентри не понесли убытков на своих банковских счетах, когда вредоносная программа поразила в мае 2019 года, но атака быстро распространилась.
«Как только мы узнали об этом, мы отключили все компьютеры в этом районе», – сказал Кендрик, региональный директор по операциям. «Он отключил нашу сеть».
Это затронуло телефоны и системы безопасности доступа, а также системы отопления и охлаждения.
Наблюдатель Лиза Блоу сказала, что официальные лица полагают, что атака первоначально произошла через электронное письмо, открытое учителем начальной школы, и округ быстро заморозил его счета. ФБР взяло дело на себя из-за его сложности.
«Это преподало нам очень важный урок проактивности», – сказал Плафф.
Районы недвижимости и школы северо-востока Огайо были не одиноки. В обвинительном заключении говорилось, что TrickBot ударил по школам в Беннингтоне, штат Вермонт; электрическая компания в Истленде, штат Техас; и загородный клуб в Линчберге, штат Вирджиния, а также другие предприятия и правительства по всей стране.
Предполагаемая роль автора кода
В обвинительном заключении говорилось, что Витте начал работать с TrickBot примерно в 2018 году. В записке говорилось, что он разработал вредоносное ПО и программы-вымогатели, которые информируют пользователей о том, что кто-то атаковал их компьютеры и что им необходимо приобрести специальное программное обеспечение, чтобы исправить это, с оплатой через биткойн.
Власти арестовали ее, когда она приехала в Майами в феврале. Она отвергла обвинения и остается в тюрьме Янгстаун без залога в ожидании суда. Ее адвокат Эдвард Брайан отказался от комментариев.
Холден, президент компании по кибербезопасности Милуоки, написал в онлайн-отчете, что Витт родился в советском городе Ростове-на-Дону. Позже она переехала в Латвию, чтобы изучать математику. Холден писал, что она осталась там после обретения страной независимости. Последние несколько лет она жила в южноамериканской стране Суринам.
«У нескольких членов группы (TrickBot) были папки Аллы Витте с данными в них», – написал Холден в отчете. «Они обращаются к Алаа, как если бы они обращались к своим матерям».
Федеральная прокуратура получила обвинительное заключение в августе. Она была одной из семи обвиняемых, остальные живут либо в России, либо на Украине.
Обвинение в Кливленде остается засекреченным, но власти раскрыли отредактированную версию в Майами после ее ареста. Имена партнеров Витте не разглашаются.
В обвинительном заключении упоминаются и другие пионеры TrickBot, а Витте играет роль разработчика вредоносных программ. Однако в своем онлайн-отчете Холден подчеркнул, что Витт «сознательно и злонамеренно действовал в составе банды TrickBot».
Официальные лица приветствовали ее арест и предъявление обвинения победой правоохранительных органов.
“Это обвинение ставит в известность других российских хакеров. Вас будут выслеживать и привлекать к ответственности”, – сказал Скотт Джаспер, старший преподаватель Высшей школы военно-морского флота США и автор книги “Русские кибероперации: кодируя границы конфликта”.
«Но эти представители редко отворачиваются от России, и российское правительство пользуется огромным преимуществом хаоса, который они создают в Америке, чтобы передать их», – сказал он.
Идея произвела впечатление на северо-восток Огайо.
«Первое, что мы делаем утром, – это охрана, – сказал Кендрик из Ковентри. «Это то, что мы должны делать».
«Любитель алкоголя. Дружелюбный вебоголик. Пожизненный телеведущий. Гордый интроверт».