Yahoo-krænkelse afslører ulemperne ved statsstøttet hacking

Når regeringerne henvender sig til private hackere for at gennemføre statsstøttede angreb, som FBI hævder, at Rusland gjorde i bruddet på Yahoo i 2014, tager de en stor risiko.

På den ene side giver det dem en smule plausibel afviselighed, mens de høster de potentielle byder ved hvert angreb, men hvis hackerne ikke holdes i en snor bånd kan tingene blive dårlige.

Karim Baratov, den 22-årige canadiske hacker, som FBI hævder Russlands statssikkerhedsagentur, der blev hyret til at gennemføre Yahoo-bruddet, brydede sig ikke meget om en lav profil.

Hans Facebook- og Instagram-indlæg pralede af det million dollars hus, han købte i en forstad til Toronto, og der var adskillige billeder af ham med dyre sportsbiler - den seneste en Aston Martin DB9 med nummerpladen "MR KARIM."

Men glem dem et øjeblik og overvej, at han ikke var særlig forsigtig med at skjule sit hackingarbejde.

Hans navn er registreret på flere russisk-sproglige websteder, der tilbyder e-mail-hacking for mellem $ 80 og $ 90 pr. Konto. I domænenavneposterne anførte han sin hjemmeadresse.

”Når du henter amatører, der ikke følger standardprotokol, er det risiko,” sagde Alex Holden, chef for informationssikkerhed hos Hold Security.

Piknu

Billeder fra Baratovs Instagram-konto.

Bruddet på Yahoo skete i 2014. På det tidspunkt underrettede virksomheden FBI, men mente kun, at 26 konti var blevet målrettet. Først i midten af ​​2016 begyndte hackets virkelige størrelse at blive synlig.

Sikkerhedseksperter siger, at det er muligt, at Baratov eller en anden hacker, der er ansat for at hjælpe, måske har bragged online om hacket på et tidspunkt og vælt amerikanske efterforskere.

Og derefter i august 2016 blev der fundet en database, der angiveligt blev stjålet fra Yahoo, og som cirkulerede på det sorte marked.

”Nogle af oplysningerne om dette hack var grundlæggende lækket,” sagde Holden. ”Det er ikke et tegn på en moden efterretningsoperation.”

Så hvorfor vendte Rusland sig mod en 22-årig fra Canada? Sprog har måske spillet en rolle.

Ifølge tiltalen brød Baratov ind på konti gennem spyd phishing-e-mail-angreb, som ofte er designet til at dupe ofrene til at udlevere adgangskodeoplysninger.

Spydfiskeri fungerer dog kun bedst, hvis e-mails vises autentiske.

”Fordelen ved at have Karim, den canadiske, med på holdet muliggjorde sandsynligvis oprettelse af langt mere troværdige phishing-angreb på grund af at han var en engelsktalende,” sagde Chester Wisniewski, forskningsforsker ved sikkerhedsfirmaet Sophos, i en e-mail.

Foruden Baratov hyrede de russiske agenter angiveligt en 29 år gammel lettisk ved navn Aleksey Belan, der trak hovedhacket mod Yahoo ud og stjal databasen med 500 millioner brugerkonti.

Ved at outsourcere operationen til Belan, ønskede Rusland sandsynligvis at skjule de sande motiver for Yahoo-overtrædelsen, sagde Wisniewski. Inden onsdagens anklage var Belan selv allerede en efterspurgt mand for hacks mod amerikanske e-handelsvirksomheder.   

”Hvem er bedre til at hjælpe med et indbrud?” han sagde. "Der er også 'dækning' af kriminelle handlinger for potentielt at tilsløre spionage, der angiveligt var det egentlige formål."

Som svar på onsdagens strafferetlige anklager fra FBI benægter den russiske regering enhver indblanding og kalder påstandene for en distraktion.

Baratov, der er blevet arresteret i Canada, hævder også sin uskyld, ifølge hans advokat. I mellemtiden forbliver Belan stort set.

Men hvis påstandene er rigtige, viser det et eksempel på, hvordan Rusland udnytter cyberkriminals magt til spionageformål - og hvordan det kan blive slurvet. 

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.