В южной части Тихого океана морские пираты с помощью хакеров нападали на грузовые суда. Они получали данные со взломанной хакерами системы управления флотом одного из судоходных концернов, проникали на борт кораблей и без особого труда забирали необходимый им груз. В результате нападений, с судов компании было похищено ювелирных изделий с бриллиантами на миллионы долларов. Об этом рассказал руководитель следственной группы американской компании Verizon Крис Новак агентству BuzzFeed News.
Новак рассказал, что в начале 2015 года он ему позвонил представитель крупного ближневосточного судоходного концерна. Он рассказал, что за последние несколько месяцев пираты напали на 6 кораблей его компании. В результате ограблений были похищены ценные грузы.
Представитель концерна предположил, что пираты заранее знали о том, какой груз перевозят суда. На крупных грузовых кораблях грабители находили ценности за 90 минут, тогда как обычно на поиск необходимого груза среди десятков тысяч морских контейнеров уходят часы или даже дни.
В один из таких случаев, когда экипажи кораблей вышли из комнат безопасности, в которых прячутся во время нападений на судно, они обнаружили, что большая часть груза (автомобили и комплектующие), остались нетронутые. При этом пираты вскрыли только те контейнеры, в которых находились ювелирные изделия с бриллиантами. Это могло означать, что у грабителей был доступ к судовым документам, в которых указано точное местонахождение самого ценного груза на судне.
Сначала в компании подумали, что в ограблениях пиратам помогает кто-то из сотрудников, но после проверок были установлены факты взлома системных данных посторонними особами.
Поэтому представители корпорации обратились в компанию Verizon (Баскин-Ридж, Нью-Джерси), которая специализируется на расследованиях утечки корпоративных данных.
В результате изучения компьютерной сети корпорации, работники Verizon (команда РИСК) обнаружили, что хакеры имели свободный доступ к информации судоходной компании.
“Нам стало очевидным, что для хакера не было проблемой подключиться к сети судоходной корпорации через интернет. Поняв это, мы установили специальное сетевое устройство, анализирующее весь трафик, связанный с системой управления флотом компании”, – сказал Новак. По его словам, таким образом, они хотели обнаружить нарушителя, который мог бы получить доступ к ценным данным системы.
В течение 28 часов специалисты Verizon обнаружили, что через систему корпорации не только происходил обмен данными, но и в саму систему было установлено вредоносное ПО, которое позволило просматривать, запрашивать и загружать необходимые файлы из системы. Новак отметил, что его команда выяснила, что некоторые запрашиваемые хакерами документы непосредственно относились к ограбленным кораблям.
Команда РИСК обнаружила, что в функции системы управления флотом судоходной компании входит отслеживание местонахождения судов в режиме реального времени через систему GPS навигации. Вот почему хакеры знали, по какому курсу двигаются суда и где они находятся.
И как оказалось, в ходе расследования, хакеры продолжали скачивать документы. Поэтому специалисты Verizon смогли спрогнозировать, какое следующее судно планируют захватить. Они отключили работу системы GPS навигации, а судоходная компания изменила курс корабля. Нападения не произошло.
Кроме отключения GPS оповещений, работники Verizon уничтожили вредоносное ПО, удалили раскрытые учетные записи с серверов и добавили брандмауэр для предотвращения повторного заражения системы.
Новак заявил, что хакеры прячутся за европейским прокси-сервером. Подключив несколько контактов в правоохранительных органах, руководитель расследования пришел к выводу, что для получения конфиденциальной информации грузовой компании, пираты, скорее всего, наняли хакеров.
После завершения расследования, нападения на корабли прекратились. Но траффик так и не остановился. Новак снова и снова отмечал запросы того же европейского IP-адреса, который пытался попасть внутрь системы грузовой компании. Это дало следователям понять, что, несмотря на разоблачение одной группы пиратов, ситуации подобно этой будут происходить снова и снова.