В ходе расследования утечки данных клиентов бюро кредитных историй Equifax исследователи безопасности из компании Mandiant выявили, что утечка оказалась масштабнее, чем предполагалось ранее.
Как показало исследование, количество граждан Канады, чьи данные были скомпрометированы, составило порядка 8 тыс. вместо предполагаемых изначально 100 тыс. Эксперты также выяснили количество граждан Великобритании, затронутых утечкой, однако на данный момент эта информация передана британским властям и пока не обнародована.
Напомним, ранее бюро кредитных историй Equifax сообщило о взломе, в результате которого неизвестные получили доступ к конфиденциальным данным (номерам социального страхования, датам рождения и домашним адресам) порядка 143 млн клиентов компании.
В причастности к атаке подозревают китайских хакеров. После того, как 6 марта 2017 года Apache опубликовала обновление исправляющее уязвимости в Apache Struts – популярном фреймворке для web-приложений, в течение 24 часов на китайском хакерском форуме Freebuf.com появились темы с обсуждением уязвимости. Несколько дней спустя, 10 марта, хакеры проэксплуатировали данную уязвимость в системах Equifax, установив бэкдоры, позволявшие получить доступ к сетям, если уязвимость будет исправлена. В общей сложности хакеры установили порядка 30 бэкдоров. Один из них, China Chopper, широко используется китайскими хакерами.
В ходе анализа трафика исследователи обнаружили, что группировка, изначально взломавшая Equifax, не смогла обойти межсетевые экраны компании, и оперативно передала эстафету более опытной команде. Вторая группировка использовала специальные средства туннелирования для обхода межсетевых экранов, анализа и взлома одной базы данных за другой.
Такой уровень специализации свидетельствует о высоком уровне организованности с внутренней иерархией команд, такой как в китайской армии. Как в последствии выяснили исследователи, хакеры в определенный момент начали поиск данных о конкретных людях – тактика, которая может указывать либо на поиск потенциальных источников данных для разведки, либо о поиске богатых клиентов для мошенничества. Высокий уровень организации может говорить о причастности хакеров, предположительно связанных с армией и правительством КНР, отмечают эксперты.