На этой неделе в Ивано-Франковске служба безопасности Украины задержала хакера, известного под псевдонимом Sanix (настоящее имя задержанного не раскрывается). По информации правоохранителей, в начале 2019 года именно об этом человеке писали The Guardian, Forbes и Newsweek, и ему посвятил сюжет телеканал Italia 1, ведь Sanix выставил на продажу огромную базу данных: 773 млн адресов электронной почты и 21 млн уникальных паролей.

Речь идет о нашумевшем в 2019 году сборнике данных, известном как «Collection #1» («Коллекция №1»). Дамп объемом 87 Гб содержал более 12 000 отдельных файлов, в которых можно было обнаружить 2 692 818 238 отдельных записей. В эту подборку вошли 772 904 991 уникальный email-адрес и 21 222 975 уникальных паролей.

Хотя тогда СМИ поспешили окрестить этот дамп «крупнейшей коллекцией утечек на все времена», на самом деле публикацию дампа вряд ли можно было назвать из ряда вон выходящим событием. Дело в том, что по большей части «Коллекция №1» представляла собой «сборник» старых утечек данных, и новой информации в этой подборке было не так уж много.

Так, ИБ-специалист и  создатель агрегатора утечек Have I Been Pwned (HIBP) ­Трой Хант обнаружил, что лишь 141 млн (около 18%) email-адресов из этого сборника не фигурировали на HIBP ранее и не были частью других известных брешей. Половина от 21 млн уникальных паролей тоже уже давно числилась, как «утекшие».

Напомню, что помимо «Коллекции №1» в начале 2019 года в сеть также были выложены еще несколько частей того же «сборника». В общей сложности подборка насчитывала около 3,5 млрд записей, то есть комбинаций данных email-адрес и пароль, юзернейм и пароль, номер телефона и пароль, и так далее.

Еще тогда, в 2019 году, известный ИБ-журналист Брайан Кребс (Brian Krebs) писал о том, что сумел вычислить как минимум двух распространителей дампа: это были хакеры Sanixer (он же Sanix) и Clorox. В начале января 2019 года последний выложил часть сборника на форумах Raid Forums. При этом Кребс и эксперты компании Recorded Future отмечали, что вряд ли кто-то из этих хакеров имел какое-либо отношение к исходным утечкам данных, из которых состояла гигантская подборка.

По сути, Sanix был лишь брокером данных: он собирал информацию, «утекшую» из различных  источников, и агрегировал эти данные в огромные сводные списки имен пользователей и паролей. Затем он распространял эти подборки среди других злоумышленников, включая спамеров, взломщиков паролей, операторов ботнетов и так далее.

Как уже было сказано выше, эти «коллекции» несколько лет распространялись среди злоумышленников в частном порядке. По информации компании IntSights, некоторые из подборок просочились в открытый интернет, когда между несколькими брокерами данных возник конфликт, одной из сторон которого выступал Azatej — человек, стоящий за сайтом Infinity Black, где торговали ворованными учетными данными.

Именно Azatej одним из первых слил «Коллекцию №1» в широкий доступ, что привлекло к себе внимание СМИ и породило немало громких заголовков, хотя дампы, по сути, представляли собой обычную смесь из старых ворованных данных. Стоит отметить, что Azatej был арестован в Польше ранее в этом месяце, в рамках операции Европола, направленной на закрытие Infinity Black.

Но вернемся к аресту Sanix. В пресс-релизе СБУ сообщается, что при обыске на компьютере задержанного нашли «по меньшей мере семь [баз данных], общий объем которых достигал почти терабайта». Эти сборники содержали персональные и финансовые данные жителей ЕС и Северной Америки.

Также были найдены: базы данных с логинами и паролями от ящиков электронной почты, PIN-коды к банковским картам, а также учетные данные для криптовалютных кошельков, счетов PayPal и ботнетов, использовавшихся для DDoS-атак. В общей сложности во время обыска у Sanix было изъято около 2 Тб данных, 3000 долларов и 190 000 украинских гривен.

Теги: CSS