Хакерът Крис хванат заради страстта си към игрите
20 000 долара за едното име, наемане на младеж, пробил системата на образователното министерство, хакване на най-големия мейл доставчик у нас, без той да знае, търсене на кадри в LinkedIn, бодване на флашка на разследваща полицайка и източване на бази данни от НАП. Това са само част от "подвизите", сътворени от TAD Group. Фирмата е на 3 години и макар ударът срещу приходната агенция да я направи известна по всички грешни причини, историята на компанията и преди това е осеяна с приключения в тъмните дебри на интернет.
 
Тя е основана от варненеца Иван Тодоров. Той няма практически опит в киберсигурността, макар и да е с подобна специалност - "Компютърни технологии, мрежи и администрация". Има и множество сертификати за киберсигурност и менажиране на проекти. Варненецът обаче е бизнесмен. Има нюх и притежава над 30 компании. Силата му е във франчайзинга - той е представител на верига ресторанти за сандвичи за цяла Източна Европа.
 
Може би затова решава да комбинира образованието си с натрупания опит във франчайзинга. Проучва пазара за киберсигурност и открива TAD Group. Компанията е нова - основана е през 2014 г. в Нюпорт Бийч, САЩ. Моделът е уникален - таксата е 20 хил. долара, с възможност за 100% възстановяване
на вложената сума след девет месеца, когато заложените задачи са постигнати. Целта на американците е възвърнатата инвестиция да бъде вложена в маркетинг и разпознаваемост на марката. Старо куче в занаята, Тодоров се хвърля на шпагат с двата крака напред като защитник, който знае, че няма видео повторения.
 
Годината е 2016-а. Компанията предлага тестове и обучения по информационна сигурност, разследване на инциденти, консултантски услуги, помощ по GDPR изискванията към организациите и анализ на мобилните приложения, както и системи за управление на медийно съдържание. Сред клиентите личат имена на национална телевизия, мобилен оператор, верига бензиностанции и интернет доставчик. Поне така би я описал не особено талантлив пиар.
 
Ако пък се съберете със скучния счетоводител, ще ви уведоми, че за 2018 г. компанията има приходи от 214 хил. лв. Това е над четирикратно увеличение спрямо 2017 г., когато са били 49 хил. лв. Печалбата е минимална - 8 хил. лв. Заетите и през двете пълни години на работа в България са шестима служители.
 
Ние обаче не сме пиари, нито скучни счетоводители, а журналисти. Задаваме въпроси, за да ви разкажем историята зад скучните данни. А при TAD Group данни да искаш - от тези на НАП до наемането на хора. Едва година след като е взел франчайзинга, Иван Тодоров гледа телевизия. Попада на репортаж за младеж, още ученик, който успял да хакне Министерството на образованието
и науката. Вместо да си напише оценки обаче, Кристиян Бойков от Пловдив уведомил институцията. Тя не му отвърнала, а той не се отказал - отишъл в телевизията. Компютърният специалист сам потърсил предаването, след като подал информацията в МОН, но повече от месец никой не се свързал с него. След като се разбира за пробива, от МОН го канят да участва в изграждането на системата.
 
Това обаче не е единствената покана за Кристиян. Иван е впечатлен и лично го вика в TAD Group. Симпатията е взаимна и младежът е нает. Пловдивчанинът се вписва добре. Веднага почва да общува във форум, създаден от компанията - xaker.bg. В началото само чете, но по-късно и пише. Пише отпуснато, хвали се, че е "боднал" разследваща полицайка. Не като в повечето мъжки фантазии с жени в униформи обаче. "Аз имах възможността да "бодна" keylogger флашчица на една разследваща компютъра, който беше XP... П....а отиде до другия офис да вземе един документ." С тази програма може да разбере всички пароли на жената.
 
Малко по-късно Kpuccc, както се подписва младежът, решава да разкаже във форума "Как да свием ЕГН-та" и за други свои подвизи.
 
"Идеята, която ми хрумна, е, че ако знаем рождената дата на дадено лице, със съвсем малки усилия може да намерим негов ЕГН, като генерираме ЕГН-то на всички "потенциални" хора, които са се родили на същия ден, и започнем да ги въвеждаме ръчно в някой от регистрите и видим дали съответства на лицето, което търсим. Имаме две опции: Търговски регистър и Здравноосигурителен регистър на НАП. За да генерирате ЕГН-тата, може да използвате кода, който пресъздава алгоритъма, или да използвате вече компилиран... В някои от следващите теми мога да ви покажа как може да си поиграете с на някой човек живота благодарение на това, което ви показах днес".
 
Дали уменията му са били на най-доброто ниво, не е ясно. Един от контрагентите на фирмата обаче се отказва от тях. "Заради некадърност", казва важен човек в компанията, която е водещият телеком у нас. "Не са ни изнудвали, нито хаквали, преди да ги наемем. Сами разбирате, че ако беше така, нямаше да посмеем да ги изгоним", обяснява мъжът, чиято визитка е внушителна.
 
Впечатлен от Бойков, Тодоров продължава да търси кадри. Обръща се към LinkedIn. "Здравей. Извинявам се за безпокойството. Тъй като в момента сме в етап на набиране на кадри, реших, че може да имате интерес за работа в TAD Group. От профила ви става ясно, че имате опит като пенетрейшън тестър (пробиване на сайтове б.а.)", пише Тодоров.
 
Потърсеният обаче е непоколебим. Отблъсква атаката като Джорджо Киелини срещу "Барселона", без да се впечатли и за секунда от опитите за трикови отигравания на Лео Меси, Суарез и Неймар. В случая - последвалите комплименти от Тодоров. Месецът е март.
 
Той вече е видял как през януари и февруари TAD Group два пъти хаква един от
най-големите доставчици на мейл услуги у нас. Без негово знание. При първата е използван методът крос-сайт скриптинг (XSS). При него се вкарва JavaScript код директно в приложението, без той да бъде валидиран. Когато жертвата отвори съответната страница, кодът дава възможност на атакуващия да се сдобие с чувствителни бисквитки и други данни. Така са изтекли и данните на хората. От TAD Group уведомили хакнатата компания. Тя не ги наела, а сама отстранила проблема. Така спряла възможността за още такива течове, но изтеглените данни можело да бъдат ползвани.
 
Дали с тях, или не, но от TAD Group пак ударили компанията. Този път използвали уязвимостта на сайта към Man-In-The-Middle ("Човек по средата") атаки. При нея хакерът може да прехване трафика на жертвата и дори да подмени съдържанието на разменено писмо. Така например може да смени банковата сметка преди плащане. Подобни атаки често са насочени срещу по-големия бизнес.
 
2 фирми от топ 100 у нас олекнаха с над 1 млн. евро при такива удари. И за това хакване от TAD Group са уведомили едната компания, но едва впоследствие. Действията си компанията представила като част от започнатата кампания за подпомагане на бизнеса да подсигури базите си данни и личната информация на потребителите си, преди те да са се превърнали в хакерска мишена.
 
Какво прави Кристиян по това време - има "домашни". Поне така се разбира от служебния му компютър. Когато не е зает с тях обаче, играе компютърни игри.
Именно това ще му изиграе лоша шега и ще потъне като италианския "Интер" (Милано) още в средата на сезона.
 
Когато данните от НАП изтичат на 15 юли всички смятат, че ударът е направен през операционната система Linux. Ударена е услугата за възстановяване на ДДС от чужбина. Ползвана е SQL инжекция, за да се вземат базите данни. SQL инжекциите обикновено са 1 ред код, написан на SQL (компютърен език за структурирани запитвания - б.а.).
 
Въпросният код се пуска в някое празно поле за дадена заявка (дори търсачка върши работа). Това я чупи и тя показва колоните и редовете на дадена база данни. А когато имаш имената на тези колони, лесно ги добавяш в нова SQL инжекция и това ти изплюва цялата база с тези идентификатори.
 
Едва след два дни отдел "Киберсигурност" на ГДБОП показва, че не се лови на руската връзка в мейлите, а търси улики. Намира ги в един файл. Следата е в документа DEC73_DETAILS. В него има повече от 300 000 записа за доходите на различни хора. Самите данни изглеждат така: DESKTOP-NSTGGRP/ Kpuccc,,11.05.2019 11:49, file:///C:/Users/ Kpuccc/AppData/ Roaming/LibreOffice/4.
 
Kpuccc е името на компютъра на Бойков. Надигат се гласовете, че файлът е отворен с Windows, а хакерите ползват Linux. Да, но данните показват само през каква операционна система е прочетен документът. А не как е добит. В свободното си време пък Кристиян не гледа надолу в класирането, за да види къде са "Интер", а играе игри. За тях трябва Windows.
 
Той е заловен, иззети са 3 компютъра. Те са криптирани, но защитата на
единия бързо е преодоляна. Там разследващите откриват, че той е имал достъп до файловете много преди да бъдат разпространени. Три дни преди пращането на данните до медиите на служебния компютър на Бойков са правени търсения с ЕГН-тата на премиера Бойко Борисов, главния прокурор Сотир Цацаров и депутата Делян Пеевски. Данните били сейфани във файл, кръстен "Търсене за бивол".
 
Преди това Кристиян е издирвал информация и за адвокатска кантора "Авиора консулт", която е свързвана с адвокат Александър Ангелов. Тя също е в папката "Търсене за бивол". После търсел и евродепутата Емил Радев, а резултатите споделял с неустановено лице. На 11 юли младежът създал папката "Математика за домашно", в която имало 106 база данни. 57 от тях били разпространени от Бойков. В мейла, изпратен до медиите на 15 юли, младежът споменава, че има още документи. В "Броене за домашно" пък имало база данни, идентични с тези на НАП, както и много други специфични наименования на таблиците от тях, които той още не бил обработил. Имало и броя на записите във всяка от таблиците.
 
Лично е сменил датите с 10 ноември 1989 г. Шокът обаче е от това какво друго има там. Данни от банки, застрахователни и други фирми, които нямат
договор с TAD Group. Затова следва акция в цялата TAD Group в България. Иззети са множество служебни компютри.
 
А от този на Кристиян продължават да изскачат интересни неща. Много голям е течът на лична информация от няколко застрахователни дружества, научи "24 часа". В данните има номера на лични карти, имена, ЕГН и дори застрахователната история. В нея влизат например платени щети след причинена катастрофа. За щастие, при банковите данни течът е по-незначителен. Данните не са били изпращани, е показала експертиза. Затова се предполага, че целта била да се използват за киберрекет. Терминът е сравнително нов, а в България навлезе преди дни, когато зам. главният прокурор Иван Гешев обяви, че дейността на TAD Group, в която работи Кристиян, е била именно такава.
 
Версията на разследващите е, че от TAD Group са хаквали компании, които не са им клиенти. След това са им казвали и целта е била да бъдат наети. Засега за хакването на НАП са обвинени Кристиян и търговският директор на фирмата Георги Янков. Те са подведени под отговорност за тероризъм - пуснали данните с цел да всеят паника. Двамата са на свобода срещу гаранции от по 20 000 лв. Шефът на TAD Group Иван Тодоров пък е в чужбина, но също ще бъде обвинен. Той е пуснат за издирване в Шенгенската информационна система, има и издадена Европейска заповед за арест. Тодоров е в Канада на събрание за един от другите си бизнеси. Готов е да се предаде.
 
Междувременно всичките му служители напуснаха. А мнозина се питат дали от TAD - САЩ, ще му върнат парите и това ли беше пиарът, който търсеха?
 
Коментари от FACEBOOK
Коментари от правен свят
   Започни с:  Първите  |  Последните  
Няма коментари към новината.
ТВОЯТ КОМЕНТАР
Име
Коментар
Снимка 1
Снимка 2
Снимка 3
Снимка 4
Снимка 5
Снимка 6
Въведете буквите и цифрите от кода в дясно