«Русских хакеров» обвиняют во взломе австралийской страховой компании
Австралийская полиция 11 ноября заявила, что виновные во взломе базы данных одной из крупнейших страховых компаний в стране находятся в России. С конца октября от страховой компании «Medibank» требовали выплатить 10 млн. долл. за неразглашение похищенных персональных данных клиентов. Компания отказалась платить, и хакеры начали публиковать похищенные файлы в даркнете. Глава Федеральной полиции Австралии на Рис Кершоу специальном брифинге заявил, что полиции известны имена и местонахождение преступников, но пока он может сказать только то, что следы ведут в Россию, и следователи намерены пообщаться с российскими коллегами. Специалисты утверждают, что полиция пришла к своим выводам только на том основании, что преступники используют сайт разгромленной летом группировки REvil.
Почерк REvil
Один из офисов «Medibank» в Сиднее
Если исходить из имеющейся информации, можно прийти к выводу, что разгром REvil был неполным, и какая-то часть группировки осталась на свободе. Слишком уж история со взломом «Medibank» похожа на предыдущие дела этих хакеров. Получив доступ к базе данных, они, не поднимая шума, оповестили об этом руководство страховщиков. Те держали паузу две недели и обнародовали информацию только 8 ноября, когда хакеры сообщили, что через сутки начнут публиковать украденные данные. Компания «Medibank» категорически отказалась платить даже сумму, сниженную с 10 до 9,7 млн. долл. (по числу похищенных файлов).
Наталкивает на мысли о REvil и ещё одно обстоятельство. Хакеры сработали очень точечно, украв только файлы, способные причинить пациентам серьёзный моральный ущерб. Среди уже опубликованных данных позитивные тесты на ВИЧ, данные о прерываниях беременностей и сведения о лечении от наркомании и алкоголизма. Разглашение этих данных нанесёт колоссальный урон не только репутации, но и финансам компании «Medibank». Суммы возможных исковых претензий пострадавших явно будут исчисляться миллионами долларов, пусть и австралийских (около 40 рублей). Компания может потерять гораздо больше, чем если бы заплатила выкуп. Страховщики уже пытаются сыграть на опережение, объявив о создании масштабной программы психологической помощи пострадавшим.
Прямых улик нет
Один из австралийских специалистов по кибербезопасности Джеффри Фостер, комментируя заявление Кершоу, подчеркнул, что единственное доказательство русского следа во взломе «Medibank» выглядит весьма слабым. Речь о редиректе – автоматическом перенаправлении запроса с сайта REvil на страницу с информацией о клиентах «Medibank». Для настройки этого перенаправления нужен доступ к сайту хакерской группировки, а получить его теоретически мог кто угодно.
Если бы в распоряжении следователей были конкретные данные, Кершоу не рассказывал бы о желании пообщаться с российскими полицейскими, а передал бы им материалы. Ведь в январе текущего года участники группировки REvil были арестованы ФСБ именно по запросу из США, у российского правосудия к ним претензий не было. Тем более что на ситуацию уже отреагировал даже премьер-министр Австралии Энтони Альбанезе. Не упоминая названия, он заявил, что страна, из которой ведутся подобные кибератаки, должна нести ответственность за них.
