Российские хакеры Killnet совместно с группировкой из Белоруссии Infinity Hackers BY объявили об атаке на Налоговую службу США. В результате инцидента им удалось скачать с серверов ведомства базу данных со 198 млн строками информации о ее пользователях, включая логины и пароли от личных кабинетов на официальном сайте. «Газета.Ru» пообщалась с Killmilk, предводителем группы Killnet, и теперь делится подробностями о наступательной «операции» хакеров.

PornHub

Вечером 16 января 2023 года российские хакеры Killnet заявили о взломе информационной системы Налоговой службы США (Internal Revenue Service, IRS). В своем сообщении хакеры акцентировали внимание на том, что провести операцию им помогли «друзья» из белорусской группировки Infinity Hackers BY.

В разговоре с «Газетой.Ru» хакер Killmilk, — лидер Killnet, — уточнил, что Налоговая служба США давно попала в их список потенциальных жертв. Хакеры присмотрели ведомство для громкого заявления о своих наступательных возможностях в ответ на агрессивные действия США в адрес Белоруссии. Для Killnet и Infinity Hackers BY взлом IRS стал символом объединения сил двух стран в киберпространстве ради защиты Родины.

«Налоговая США подвернулась нам не случайно. Не было так, что мы закинули удочки в несколько ведомств недружественных стран и ждали дурака, который клюнет на уловку и подарит нам доступ. Хак Налоговой США стал для нас очень сложным и нудным процессом, который длился месяцы»,

– рассказал Killmilk корреспонденту «Газеты.Ru».

«Окном» во внутреннюю сеть Налоговой службы США стал аккаунт одного из сотрудников ведомства. Killmilk не раскрыл имя и должность этого человека, но отметил, что его аккаунт имел достаточный для скачивания базы данных IRS уровень доступа. Аккаунт был украден при помощи фишинга.

«Мои друзья из Белоруссии создали обычную копию PornHub со встроенным скриптом, который крадет cookie (файл с атрибутами пользователя для быстрой авторизации на том или ином сайте, который сохраняется браузером на ПК или смартфоне – «Газета.Ru») с паролями. Этот сайт мы по почте подсунули товарищу из IRS. Если интересно, то он попался при переходе по ссылке на раздел с классическим сексом», – объяснил хакер.

По словам Killmilk, фишинг был реализован еще два месяца назад, однако возможность для атаки на Налоговую службу США и кражи данных появилась только сейчас.

Пароли

Налоговая служба США занимается сбором налогов и контролирует соблюдение законов в сфере налогообложения. Каждый гражданин США может завести на IRS аккаунт для отслеживания задолженности перед государством, быстрых налоговых отчислений с банковской карты, просмотра истории платежей и не только. В результате атаки хакеры получили логины и пароли от 198 млн аккаунтов, в которых хранятся перечисленные типы данных американцев. Также стали известны имена жертв, названия и версии их браузеров, а также другая личная и техническая информация.

«Пароли и логины мы стащили из базы IRS, которая была захеширована (зашифрована – «Газета.Ru») алгоритмом MD5. Декодирование прошло очень успешно и быстро», – сказал Killmilk.

Руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров в разговоре с «Газетой.Ru» пояснил, что «никакого волшебства» в словах хакера нет и описанная им процедура очень вероятна.

«Налоговая служба США – не Пентагон, поэтому вряд ли она защищена по последней моде в сфере информационной безопасности, то есть шифровку логинов и паролей в MD5 я вполне допускаю. Тот факт, что базу данных удалось быстро расшифровать, тоже не вызывает у меня никакого удивления. Шифрование MD5 было разработано в 1991 году и имеет 128-битный алгоритм. Для сравнения: современные криптографические системы поддерживают 2048-битное шифрование. Уже давно разработаны онлайн-сервисы с бесплатным доступом для шифровки и расшифровки MD5», – сказал Бедеров.

В качестве подтверждения своих слов Kilmilk предоставил «Газете.Ru» несколько пар логинов и паролей от аккаунтов на сайте irs.gov. С их помощью корреспонденту «Газеты.Ru» удалось залогиниться на сайте ведомства от имени трех граждан США, однако пройти авторизацию полностью из-за механизмов подтверждения личности не получилось.

При этом, используя те же данные, получилось зайти в онлайн-кабинет одного человека на сайте кредитной организаций First Progress. Выяснилось, например, что жертва ежемесячно платит по $400 за автомобиль, купленный в кредит. В свою очередь другая пара логина и пароля позволила пройти до ввода кода двухфакторной аутентификации на сайте компании First Progress.

Killnet намеревается публиковать фрагменты полученной базы данных каждый раз, как США будут проявлять агрессию в адрес России или Белоруссии.

«Мы с белорусами договорились на берегу: не делаем зла до того, как США не дадут повода. Как только США предпримут что-либо против РФ и Белоруссии, мы постим куски архива с личной информацией американцев.

Тут добавлю, что многие логины и пароли от аккаунтов на irs.gov подходят к аккаунтам в соцсетях, онлайн-банках, корпоративных системах и не только», – отметил Killmilk.

Белоруссия

Infinity Hackers BY – это новая группировка, дебютировавшая в публичном пространстве именно с коллаборации с Killnet. По легенде, коллектив создан выходцами с малоизвестного хакерского форума Infinity.

«Мы работаем с ними уже около полугода. В рамках атаки на Налоговую службу США делили обязанности примерно 50 на 50. Мы занимались организационными и подготовительными работами, а на Infinity легла задача деструктивного воздействия на сеть жертвы», – сказал Killmilk.

Killnet намерены продолжать партнерство с Infinity Hackers BY до конца СВО на Украине. Главной целью является ответ на агрессию Запада в цифровом пространстве. Побочная задача – развить комьюнити форума Infinity. Игорь Бедеров из T.Hunter отметил, что раньше не слышал о киберпреступной группировке Infinity Hackers BY. Он считает, что под этой вывеской могут скрываться IT-специалисты Белоруссии, действующие в интересах правительства страны.