#CyberMagazyn: Jak „hakowano” cyberprzestępców?
Autor. Freepik.com
Cyberprzestępcy popełniają błędy, które finalnie skutkują pociągnięciem ich do odpowiedzialności karnej lub zmuszają do czasowego zaprzestania nielegalnej działalności. Atakowanie przedsiębiorstw czy administracji publicznej nie gwarantuje automatycznie odporności na działania służb czy innych grup. Jak „hakowano” cyberprzestępców?
Zdarza się, że cyberprzestępcy korzystają z podatnych serwerów czy nie dbają o swoją higienę cyfrową (jakkolwiek zabawnie to nie brzmi). Nie umyka to zachodnim służbom, które czasami wykazują się poczuciem humoru na przejętych stronach.
Co ważne, skutkiem działania organizacji walczących z cyberprzestępczością często są aresztowania czy… kradzież kluczy pozwalających na odszyfrowanie danych po ataku ransomware.
„Niezniszczalny” Lockbit – czy na pewno?
Witryny LockBita były dwukrotnie przejmowane przez zachodnie służby w 2024 roku. W „Operacji Cronos” uczestniczyło również Centralne Biuro Zwalczania Cyberprzestępczości. Podczas październikowego przejęcia strony brytyjskie NCA opublikowało kilka zabawnych komunikatów, np. medal z napisem „Za zajęcie trzeciego miejsce w konkursie hakerskim Wagnera”. Ekran ładowania strony, zawierający obracające się kryptowaluty, podmieniono na flagi UE, USA i Wielkiej Brytanii.
Autor. Strona LockBita przejęta przez NCA
Po pewnym czasie LockBit ponownie zaczął działać. 7 maja br. na stronie cyberprzestępców ukazał się komunikat: „Don’t do crime CRIME IS BAD xoxo from Prague”, co można tłumaczyć jako „Nie róbcie przestępstw PRZESTĘPSTWA SĄ ZŁE buziaki z Pragi”, wraz z archiwum zawierającym zrzut bazy danych. W plikach znajdowało się m.in. 60 tys. unikalnych adresów Bitcoin czy lista administratorów i partnerów/współpracowników (ang. affilaites).
Autor. Panel administracyjny LockBit / BleepingComputer / Opracowanie własne
Jak do tego doszło? Wiem i nie wiem
Rodzi się jednak pytanie o to, jak do tego wszystkiego doszło. Podczas pierwszego przejęcia strony w lutym 2024 powodem miała być podatność w PHP (CVE-2023-3824), skutkująca tzw. buffer overflow (przepełnienie bufora), co umożliwiło zdalne wykonanie kodu (RCE). Oczywiście, są to twierdzenia zaatakowanej grupy – nie można im ufać „na słowo”. Warto dodać, że podatność została uznana za krytyczną według CVSS 3.1 (9.8/10).
Ciekawy artykuł poświęcony tamtym zdarzeniom przygotował Sekurak. Możemy się dzięki niemu dowiedzieć, że służbom udało się przejąć m.in. dekryptor do zaszyfrowanych danych, kod źródłowy ransomware czy zapisy czatów z ofiarami.
Jeśli chodzi o majowy defacement (zmianę zawartości) strony Lockbita, wiemy tylko tyle, że podobny komunikat pojawił się na stronie grupy Everest w kwietniu br. LockBitSupp przekazał na Telegramie, że „odkrył lukę w kodzie źródłowym strony”.
Przejęcie konta na Telegramie
15 maja br. cyberprzestępca o pseudonimie „pryx” poinformował o przejęciu jego konta na Telegramie. Nie jest zaskoczeniem, że podejrzewa o to zachodnie służby. Poprosił osoby, które się z nim kontaktowały o „wyczyszczenie” czatów (usunięcie wiadomości).
I have confirmed that my telegram account has been compromised, I suspect by law enforcement, sadly there is no way to recover it before 3 weeks.
— pryx (@holypryx) May 15, 2025
Do not get in touch with @pryxfed, and make sure to clear all dms with me if u have any! pic.twitter.com/XnnuCAcp07
FBI kazało się „odinstalować” botnetowi
W 2023 roku FBI wraz z Departamentem Sprawiedliwości USA i zagranicznymi partnerami zlikwidowali botnet Qakbot, który zainfekował 700 tys. komputerów, w tym ponad 200 tys. w USA. Amerykańskie służby w kreatywny sposób doprowadziły do zwalczenia botnetu. Na stronie FBI możemy przeczytać:
Aby unieszkodliwić botnet, FBI przekierowało ruch Qakbot na serwery kontrolowane przez Biuro, które instruowały zainfekowane komputery, aby pobrały plik deinstalatora. Ten deinstalator — stworzony do usunięcia złośliwego oprogramowania Qakbot — odłączył zainfekowane komputery od botnetu i uniemożliwił instalowanie dodatkowego malware'u.
FBI
„Hakerzy zhakowani”
W marcu 2025 r. informowaliśmy o przejęciu kontroli nad infrastrukturą grupy BlackLock. Badaczom udało się wykraść dane z wykorzystaniem tzw. local file inclusion (LFI), pozwalającego m.in. na zapoznanie się z zawartością plików znajdujących się lokalnie na serwerze.
„W efekcie, ekspertom cyberbezpieczeństwa udało się nie tylko przejąć kontrolę nad infrastrukturą BlackLock, ale też pozyskać szczegółową chronologię publikacji danych, dane logowania do ośmiu kont na hostingu MEGA służących do udostępniania wykradzionych plików, a nawet informację o wykorzystaniu tego samego hasła na kilku kontach” – opisał Paweł Makowiec na naszym portalu.
Podsumowanie
Cyberprzestępcy nie są domyślnie odporni na zagrożenia w cyberprzestrzeni. Niektórzy jednak nie dbają w należytym stopniu o swoją anonimowość – dobrym przykładem jest sprawa administratora AlphaBay z 2017 roku, gdzie światło dzienne ujrzał jego adres e-mail w domenie hotmail.com.
Jeżeli chcemy zadbać o swoje bezpieczeństwo, warto korzystać z unikalnych haseł, stosować dwuetapowe uwierzytelnianie oraz zastrzec numer PESEL.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].
Operacje Wojska Polskiego. Żołnierze do zadań dużej wagi
Materiał sponsorowany