Като много неща в сенчестия свят на киберпрестъпленията, заплахата от вътрешен човек е нещо, за което малцина имат опит.

Още по-малко хора искат да говорят за това.

Но аз получих уникален и тревожен опит за това как хакери могат да използват вътрешни хора. Наскоро самият аз бях обект на предложение от престъпна група, разказва репортер на Би Би Си.

"Ако се интересувате, можем да ви предложим 15% от всяко плащане на откуп, ако ни дадете достъп до вашия компютър."

Това беше съобщението, което получих изневиделица от някой си Синдикат, който ми писа през юли в криптираната чат апликация Signal.

Нямах представа кой е този човек, но веднага разбрах за какво става дума.

Предлагаха ми част от потенциално голяма сума пари, ако помогна на киберпрестъпниците да получат достъп до системите на Би Би Си чрез лаптопа ми.

Те щяха да крадат данни или да инсталират зловреден софтуер и да изнудват работодателя ми за откуп, а аз тайно щях да получа дял.

Бях чувал истории за такива неща.

Всъщност, само няколко дни преди нежеланото съобщение, новини от Бразилия съобщиха, че IT служител там е арестуван за продажба на своите входни данни на хакери, което според полицията е довело до загуба на 100 милиона долара за потърпевшата банка.

Реших да играя по сценария на Синдикат след като се посъветвах с високопоставен редактор от Би Би Си. Бях любопитен да видя как престъпниците правят такива сенчести сделки със служители предатели в момент, когато кибератаките по света стават все по-въздействащи и нарушаващи ежедневието.

Казах на Син, който беше сменил името си по средата на разговора, че съм заинтересован, но искам да знам как работи схемата.

Те обясниха, че ако им дам входните си данни и код за сигурност, ще хакнат Би Би Си и след това ще изнудват корпорацията за откуп в биткойни. Аз щях да получа дял от тази сума.

Увеличиха офертата си.

"Не сме сигурни колко плаща Би Би Си, но какво ще кажеш за 25% от крайната сума, докато ние вземаме 1% от целия приход на Би Би Си? Никога няма да се наложи да работиш отново."

Син изчисли, че техният екип може да поиска откуп в десетки милиони, ако проникне успешно в корпорацията.

Би Би Си не е съобщила дали би платила на хакерите, но съветът на Националната криминална агенция е да не се плаща.

Въпреки това, хакерите продължиха с предложението си.

Син каза, че ще получа милиони.

"Ще изтрием този чат, за да не бъдеш открит никога", настоя той.

Хакерът твърдеше, че са имали много успехи при сключването на сделки с вътрешни хора в предишни атаки. Съобщиха имената на две компании, които бяха хакнати тази година като примери за осъществени сделки – британска здравна компания и американски доставчик на спешни услуги.

"Ще се изненадаш колко много служители биха ни предоставили достъп", каза Син.

Той обясни, че е "мениджър по контактите" за киберпрестъпната група Медуза. Твърдеше, че е западняк и единственият англоговорящ в бандата.

Медуза е операция ransomware-as-a-service. Всеки криминален партньор може да се регистрира в нейната платформа и да я използва, за да хаква организации.

Според изследователски доклад на компанията за киберсигурност CheckPoint администраторите на Медуза оперират от Русия или някоя от съюзническите ѝ държави.

"Групата избягва да насочва действията си към организации в Русия и Общността на независимите държави, а (действията ѝ са предимно) във форуми в рускоговорящата тъмна мрежа."

Син с гордост ми изпрати линк към публично предупреждение от САЩ за Медуза от март. Американските кибервласти заявиха, че през четирите години, в които групата е активна, е хакнала "повече от 300 жертви".

Син настояваше, че са сериозни за сделката да продадат тайно ключовете към "кралството" на корпорацията ми в замяна на солидно възнаграждение. Все пак никога не знаеш с кого говориш, затова помолих Син да го докаже.

"Може да сте деца, които си правят майтап, или някой, който се опитва да ме примами", предположих аз.

Те отговориха с линк към адреса на Медуза в тъмната мрежа и ме поканиха да се свържа с тях чрез Tox – защитена услуга за съобщения, любима на киберпрестъпниците.

Син беше много нетърпелив и засили натиска върху мен за отговор. Изпрати ми линк към страницата за набиране на хора на Медуза в изключителен форум за киберпрестъпления, призовавайки ме да започна процеса за осигуряване на депозит от 0.5 биткойна (около 55 000 долара).

Това фактически беше тяхната гаранция, че ще получа минимум тази сума, след като им предоставя моите входни данни.

"Не се преструваме и не се шегуваме – не се интересуваме от медийно внимание, само от пари, и един от главните ни мениджъри ме помоли да се свържа с теб."

Очевидно са ме избрали, защото са предположили, че съм технически грамотен и разполагам с високо ниво на достъп до IT системите на Би Би Си (което не е вярно). Все още не съм сигурен дали Син знаеше, че съм кореспондент, а не служител по киберсигурност или IT.

Зададоха ми много въпроси за IT мрежата на Би Би Си, на които дори да знаех отговорите, нямаше да съобщя. После изпратиха сложна смесица от компютърен код и ме помолиха да го изпълня като команда на служебния си лаптоп и да им съобщя какво показва. Искаха да знаят какъв вътрешен IT достъп имам, за да започнат да планират следващите си стъпки, след като влязат.

Към този момент вече бях говорил със Син в продължение на три дни и реших, че съм стигнал достатъчно далеч и имам нужда от допълнителни съвети от експертите по информационна сигурност. Беше неделя сутрин, така че планирах да говоря с екипа на следващия ден сутринта.

Затова се опитвах да печеля време. Но Син се раздразни.

"Кога можеш да го направиш? Не съм търпелив човек", каза хакерът. "Предполагам, че не искаш да живееш на плажа в Бахамите?", притисна ме той.

Дадоха ми краен срок – полунощ в понеделник. След това търпението им свърши. Телефонът ми започна да издава звуци за известия от двуфакторна автентикация. Изскачащите прозорци бяха от приложението за сигурно влизане на Би Би Си, като ме караха да потвърдя, че аз се опитвам да вляза в своя акаунт.

Докато държах телефона си, екранът се пълнеше с ново известие на всяка минута. Знаех какво е това - хакерска техника, известна като MFA бомбардиране. Нападателите заливат жертвата с тези изскачащи прозорци, като се опитват да нулират парола или да влязат от необичайно устройство. В крайна сметка жертвата приема, било по грешка, било за да спре изскачащите прозорци. Това е известният начин, по който Uber беше хакнат през 2022.

Да си от другата страна беше обезпокояващо. Престъпниците бяха извадили сравнително професионалния разговор от безопасността на чат приложението към началния екран на телефона ми. Чувствах се като че ли тропат силно на входната ми врата. Бях объркан от смяната на тактиката, но твърде предпазлив, за да отворя чатовете си с тях, за да не натисна случайно "приемам". Това щеше да даде незабавен достъп на хакерите до моите акаунти.

Сигурността нямаше да отчете това като злонамерено, тъй като щеше да изглежда като нормална заявка за влизане или нулиране на парола от мен. След това хакерите можеха да започнат да търсят достъп до чувствителни или важни системи на Би Би Си.

Като репортер, а не IT служител, нямам високо ниво на достъп до системите, но това все пак беше притеснително и правеше телефона ми неизползваем.

Обадих се на екипа по информационна сигурност на Би Би Си и като предпазна мярка се договорихме да ме изключат напълно от системите на корпорацията. Без имейли, без интранет, без вътрешни инструменти, без привилегии.

Странно спокойно съобщение от хакерите дойде по-късно същата вечер.

"Екипът се извинява. Тествахме вашата страница за вход в Би Би Си и много се извиняваме, ако сме ви причинили неудобство."

Обясних, че сега съм изключен и бях раздразнен. Син настоя, че сделката все още е в сила, ако я искам. Но след като не отговорих няколко дни, те изтриха профила си в Signal и изчезнаха.

В крайна сметка ми беше възстановен достъпът до системата, макар и с допълнителни защити на акаунта ми. И с придобития опит. Това е плашеща представа за постоянно развиващите се тактики на киберпрестъпниците и осветлява цяла област на риск за организациите, която не бях осъзнавал напълно, докато сам не се сблъсках с нея.