«Ну, как у вас дела насчет картошки? - звучал один из ее куплетов. - Насчет картошки? - Насчет картошки! - Она у нас становится на ножки! - Я очень счастлив и рад за вас!»ѕ
Оба родились в 1919 году, и 83-летний еврей Березин умер 10 лет назад в Тель-Авиве, а 67-летний украинец Тимошенко - 27 лет назад в Киеве, но вещие слова их куплета с новой силой зазвучали в Америке в связи с очередной кибератакой на миллионы владельцев кредитных и дебитных карт.
Как выяснилось, в дни обычно бешеного предновогоднего шопинга с помощью российского компьютерного вируса «КАРТОХА» были похищены данные карт клиентов компании дешевых универмагов Target, а также дорогих бутиков Neiman Marcus и других крупных сетей розничной торговли.
Тревогу поднял бывший репортер газеты The Washington Post Брайан Кребс, который на своем блоге «Krebs On Security» 18 декабря сообщил, что пару дней назад до него дошли слухи о пропажах денег с карт покупателей компании Target, у которой 1797 магазинов в США и 124 - в Канаде.
Кребс написал, что пока у него нет оснований подозревать в этом хакеров, но предупредил, что перед тем, как использовать краденые данные карты, киберпохититель должен продать их на черном киберрынке покупателю, а это не всегда просто, поскольку этот рынок сейчас завален таким товаром. Два года назад Кребс разбирался со схожей историей, но тогда пострадавшая фирма была куда мельче, все ее карты мигом закрыли, а владельцам выдали новые.
В самой Target 19 декабря сказали, что кредитными и дебитными картами этой сети по-прежнему можно пользоваться, но владельцам карт следует внимательнее следить за счетами за покупки, сделанные с 27 ноября по 15 декабря. По их данным, злоумышленникам удалось заполучить личные данные 40 млн владельцев кредитных и дебитных карт - имена владельцев, номера карт, их сроки действия, трехзначные коды безопасности.
«Если вы увидите что-то похожее на мошенничество, - сообщила компания на своем сайте, - владельцы REDcard должны связаться с Target по телефону 866-852-8680, а остальные - со своими банками». Больше 20% посетителей магазинов Target расплачиваются ее картами, которые дают 5% скидки, но примерно половина из них предпочитает не кредитные, а дебитные карты, по которым магазин сразу снимает деньги со счета покупателя.
По поступавшим сообщениям, нападению, то есть краже данных, подверглись также владельцы кредитных карт Visa и MasterCard.
Банк Visa 19 декабря пояснил, что когда там обнаруживают вторжение в данные карт, то работают с участниками, «чтобы те могли защитить потребителей отслеживанием мошенников, а при необходимости заменой карт».
Представитель банка кредитных карт American Express Марина Норвилл подтвердила, что их компания в курсе слухов о нападении на Target и готова помочь в расследовании, но пока еще слишком рано.
20 декабря газета The Wall Street Journal написала, что налет на карты «совершался не в сети, а в магазинах и, возможно, с помощью аппаратов, в которые покупатели вставляли свои карты, когда расплачивались». Представитель Secret Service Брайан Лири подтвердил, что его служба приступила к расследованию, но подробности не привел.
Затем стало известно, что от кибернападения в тот же период пострадали покупатели сети дорогих магазинов одежды Neiman Marcus. Представитель этой компании Карен Кац не подтвердила связь с нападением на Target, a выразила «глубокое сожаление», добавив, что «мы всегда за то, чтобы вам у нас было безопасно». Пресс-секретарь Neiman Marcus Джинджер Ридер заявила, что им еще не приходилось выслушивать жалобы на ненадежные пароли кредитных карт.
Помимо Target и Neiman Marcus, от вредоносного вируса в предновогодний период с «черной пятницы» 28 ноября, на которую приходится пик шопинга, пострадали еще минимум шесть торговых компаний, которые принимают оплату кредитными картами в Интернете. Слухи становились все настойчивее, и мнения аналитиков сводились к тому, что искусных хакеров в наш просвещенный век развелось чуть ли не больше, чем потребителей их ремесла.
Аналитики полагали, что поиск покупателей краденых данных займет не дни, а недели, если не месяцы, и хотя суммы потерь в результате предновогоднего компьютерного нападения не назывались, число пострадавших или «уязвимых» владельцев кредитных карт выросло с 40 до 70, а затем до 110 миллионов.
Шло время, прояснялись подробности, и в новом году появился вполне ожидаемый «русский след». 16 января The Wall Street Journal со ссылкой на доклад, составленный федеральными и следователями частной компании iSight Partners, написала, что «атака на Target в пик рождественского шопинга была частью согласованных действий опытных хакеров». Со ссылкой на «бывшего федерального служащего» газета уточнила, что компьютерный код, с помощью которого мошенники считывали данные кредитных карт Target в аппаратах магазинов этой компании, появлялся на черном рынке Интернета с прошлой весны и сообщения о нем были частично написаны по-русски. Оба сообщения, резюмировала газета, «предполагают, что это нападение может быть связано с организованной преступностью бывшего Советского Союза».
Доклад был разослан финансовым и торговым компаниям, и в нем разъяснялось, как именно была поражена компьютерная сеть Target. Там же сообщалось, что вредоносный вирус, который хакеры вводили в оперативную память аппаратов для приема платежей по кредитным картам, нельзя установить доступным антивирусом.
18 января «русский след» уточнился с двух сторон - разоблачителем и разоблаченным. Руководитель калифорнийской компании кибербезопасности IntelCrawler Андрей Комаров сообщил, что автором вредоносного вируса «КАРТОХА» оказался 17-летний Сергей Тараспов (Sergey Taraspov), проживающий в российском Санкт-Петербурге, а ранее - в Нижнем Новгороде.
Компания IntelCrawler находится в городке Sherman Oaks и позиционирует себя как «многоуровневый накопитель данных, который собирает информацию с трех миллиардов сообщений IPv4 (четвертой версии Интернет-протокола) и двухсот миллионов доменов». Эти данные сканируются и исследуются аналитиками компании, и в результате может быть установлено нахождение клавиатуры или компьютера, с которых отсылались вредоносные сообщения. Как удалось установить с помощью анализа этого «многоуровневого накопления данных», в марте 2013 года питерский умник Сережа Тараспов (а возможно, Тарасов?) написал программу перехвата данных о банковских картах в торговых сетях и назвал ее «KAPTOXA», что читается и русскими, и латинскими буквами.
Позже Тараспов переделал название своего картофельного кибервируса на более убедительное английское ««DUMP MEMORY GRABBER by Ree» - «ГРАБИТЕЛЬ ПАМЯТИ» от Ree - псевдонима Тараспова в Интернете. На жаргоне компьютерщиков «dump» - содержимое рабочей памяти процесса, ядра или всей операционной системы в определённый момент времени.
Сам Ree c помощью своей программы память не грабил, а предлагал это желающим за 2 тыс. долларов или на условиях дележа полученной прибыли пополам. Вместе с цветной фотографией Сергея Тараспова (с ретушированными глазами и лбом) IntelCrawler приложила к своему отчету принтерные распечатки комментариев Ree к программному коду его «КАРТОХИ», частично написанные по-русски.
Это были такие слова и фразы, как «админка», «сам трой», «после запуска придет файл readmе», «понял щас раздам», а также «ну троян грабит дампы из памяти, а верифоны подключаются к компу и дамп уже идет косой» и «карты получаем - продаем или с нала тебе %?».
В итоге Тараспов назвал свою вирусную программу BlackPOS и успел продать ее шести десяткам киберпреступников, в основном из стран Восточной Европы. Покупатели, по словам Комарова, взламывали компьютеры без особого труда, так как торговые компании «до сих пор используют достаточно простые пароли на серверах удаленного доступа», а обработка цифровых платежей защищена недостаточно.
Компания Андрея Комарова выявила эту программу в марте и сообщила о ней ведущей компании кибербезопасности Symantec и другим таким фирмам. Должного внимания там не обратили, хотя Комаров сообщал о попытках нападений «КАРТОХИ» на торговые терминалы в США, Австралии и Канаде. В интервью агентству Reuters Комаров сказал, что помог правоохранителям расследовать предыдущие кибернападения программы BlackPOS на торговые компании BlackPOS в Калифорнии и Нью-Йорке.
Связь питерского подростка и даже зрелых покупателей его «картофельной» программы с «организованной преступностью бывшего Советского Союза» можно, конечно, отнести на счет журналистско-политических домыслов на поводу у традиции. Интернет сделал массу светлых дел, но его черное дело - в предельно легком доступе к киберпреступлениям всех желающих незаконно разбогатеть.
Можно, конечно, гордиться тем, что почти любое громкое дело этой категории исходит от головастых русскоязычных граждан и выполняется руками менее одаренной публики, но ведь и Эндрю Комаров - русскоязычный гражданин. Правда, гражданин США. Как пели Штепсель и Тарапунька, вот такие дела насчет картошки.
