FBI kontra hakerzy

FBI rozpracowuje hakerów z gangu znanego jako Scattered Spider, by postawić ich w stan oskarżenia. Ta organizacja przestępcza ma swoje siedziby głównie w Stanach Zjednoczonych i Wielkiej Brytanii, choć posiada też powiązania z grupami hakerskimi w Europie Wschodniej. Gang włamał się do sieci komputerowych kilkudziesięciu amerykańskich organizacji, w tym firm MGM Resorts International i Caesars Entertainment, kontrolujących wiele kasyn w Las Vegas...

Na tropie gangu

Największy rozgłos przyniósł grupie Scattered Spider (znanej również jako Star Fraud, Octo Tempest, Scatter Swine i Muddled Libra) ubiegłoroczny atak na MGM i Caesars, choć wcześniej jej członkowie z powodzeniem hakowali też placówki opieki zdrowotnej, firmy telekomunikacyjne oraz instytucje finansowe. Śledczy zajmujący się bezpieczeństwem cybernetycznym tropią Scattered Spider od co najmniej 2022 roku i twierdzą, że grupa ta jest znacznie bardziej agresywna niż inne gangi hakerskie.

Przestępcy ze Scattered Spider specjalizują się zwłaszcza w kradzieży tożsamości pracowników działu pomocy technicznej IT, co umożliwia im penetrację firmowych sieci komputerowych. Caesars zapłacił około 15 milionów dolarów za uwolnienie swoich systemów od ataków hakerów. W negocjacjach ze swoimi ofiarami grupa czasami grozi przemocą fizyczną, co jest niezwykle niepokojące i rzadko jak dotąd spotykane.

W ciągu dwóch lat gang zaatakował ponad sto instytucji. Hakerzy skutecznie wykradali informacje, za których zwrot żądali wielomilionowego okupu. Z uwagi na skalę oraz intensywność tych ataków, część ekspertów poddawała krytyce fakt, że jak dotąd nie doszło jeszcze do aresztowania przestępców ani nie widać wyraźnych postępów w śledztwie. Tym bardziej że hakerzy ci działają głównie w krajach zachodnich, a nie poza amerykańską jurysdykcją, np. w Azji.

– Pracujemy nad postawieniem poszczególnych ludzi w stan oskarżenia pod zarzutem prowadzenia działalności przestępczej, w tym przypadku głównie w związku z ustawą o oszustwach i nadużyciach komputerowych – powiedział w wywiadzie dla agencji Reuters Brett Leatherman, zastępca dyrektora ds. cyberbezpieczeństwa FBI. Jednak na razie wiadomo tylko o pojedynczym aresztowaniu. W styczniu FBI oskarżyło 19-letniego Noaha Urbana z Florydy o oszustwo drogą elektroniczną. Niewykluczone, że wkrótce dojdzie do kolejnych zatrzymań. Niektórzy członkowie gangu to osoby nieletnie, choć w większości mają od 19 do 22 lat.

Grupa Scattered Spider najprawdopodobniej powstała w maju 2022 roku i początkowo koncentrowała się na atakach na firmy telekomunikacyjne. Hakerzy stosowali oszustwa polegające na wymianie kart SIM w telefonach komórkowych oraz tzw. phishingu za pośrednictwem wiadomości SMS i serwisu Telegram. Zazwyczaj wykorzystywali błąd w zabezpieczeniach oprogramowania systemu operacyjnego Windows znany jako CVE-2015-2291.

Ataki cybernetyczne

Według Allison Nixon z Unit 221B, firmy zajmującej się bezpieczeństwem cybernetycznym, Scattered Spider jest częścią większej globalnej grupy hakerskiej, znanej jako „Społeczność” lub „Com”, której członkowie hakowali główne amerykańskie firmy technologiczne. Hakerzy amerykańscy i brytyjscy mają rzekomo współpracować z istniejącymi od lat formacjami hakerskimi w Europie Wschodniej, a szczególnie w Rosji, Rumunii i Bułgarii.

W atakach na MGM i Caesars, Scattered Spider uzyskała dostęp do wewnętrznych systemów tych firm dzięki zastosowaniu inżynierii społecznej. Grupie udało się ominąć technologie tzw. uwierzytelniania wieloskładnikowego, co dało jej dostęp do danych umożliwiających logowanie. Hakerzy twierdzą, że obrali za cel MGM, ponieważ przyłapali kasyno na próbie manipulowania automatami do gier. Niemal pewne jest jednak to, że są to oskarżenia bezpodstawne. Stosując podobną taktykę, grupa była w stanie uzyskać dostęp do numerów prawa jazdy i prawdopodobnie numerów ubezpieczenia społecznego znacznej liczby klientów Caesars.

Firma MGM Resorts po raz pierwszy ujawniła fakt, że stała się celem ataku hakerów, 12 września 2023 roku w raporcie przesłanym następnego dnia do Komisji Papierów Wartościowych i Giełd. Firma oświadczyła, że chociaż „uporała się” z atakiem, wiele systemów komputerowych w jej ośrodkach pozostawało w trybie offline, co dotyczyło między innymi kredytów na jedzenie i napoje. Atak dodatkowo unieruchomił znajdujące się na miejscu bankomaty, a także klucze do niektórych pokojów hotelowych. Ponadto uniemożliwił MGM pobieranie od klientów opłat za parkowanie samochodów. Natomiast przestępcy w żaden sposób nie kontrolowali automatów do gier.

MGM wraz z Federal Trade Commission i FBI prowadzą obecnie dochodzenie w sprawie cyberataku, a operator kasyna tymczasowo zamknął swoją stronę internetową. Korporacja Moody’s stwierdziła, że ze względu na duże uzależnienie MGM od komputerów w większości swoich operacji, jej zdolność kredytowa może się obniżyć w wyniku inwazji hakerów. Po ogłoszeniu ataków akcje giełdowe zarówno Caesars, jak i MGM spadły.

Ponadto w następstwie włamań zarówno MGM, jak i Caesars zostały podane do sądu w ramach pozwów zbiorowych, w których stwierdza się, że brak odpowiedniego zabezpieczenia danych przez obu operatorów kasyn stanowi naruszenie prawa. Nie jest jednak jasne to, czy firmy te istotnie są winne temu, iż nie oparły się niezwykle wyszukanym działaniom przestępców. Prawda jest niestety taka, że w zasadzie każde zabezpieczenie może zostać złamane przez wytrawnych hakerów.

Leatherman twierdzi, że prywatne firmy ochroniarskie pomagają FBI w gromadzeniu dowodów. Przyznaje jednak, że jest to niezmiernie trudny i żmudny proces, gdyż cyberprzestępcy są bardzo sprawni w skutecznym zacieraniu śladów i zachowywaniu anonimowości. Mimo to ostatnio zanotowano wyraźne postępy w śledztwie w sprawie grupy Scattered Spider, której działalność w bieżącym roku znacznie osłabła.

Krzysztof M. Kucharski