Първите успехи в хакерството изострят апетита, особено на младите кибер-злодеи
(снимка: CC0 Public Domain)
Млади таланти често се изкушават от славата на хакерството. Поредна история на киберизнудване от тийнейджър срещу мрежите на телеком оператор и онлайн платформа може да коства на злосторника десетки години затвор.
Заедно със съучастниците си, младежът хакнал платформата PowerSchool и се опитал да изнуди жертвите с милиони долари, за да пази поверителните им данни в тайна. Сега той е изправен пред присъда от 17 години затвор.
Ученическа банда хакери
19-годишен студент от Уорчестър, Масачузетс, САЩ, призна участието си в мащабна кибератака срещу образователната платформа PowerSchool и последвали опити за изнудване за милиони долари на хора, чиито лични данни са попаднали в ръцете на нападателите. Броят на потенциалните жертви също се оценява на милиони.
Студентът, идентифициран в съдебните документи като Матю Д. Лейн, се призна за виновен в заговор за извършване на киберизнудване, неоторизиран достъп до защитени компютри и кражба на самоличност при утежнени обстоятелства.
Ако бъде осъден на максималното наказание, нарушителят ще трябва да излежи най-малко две години за кражба на самоличност и до пет години за всяко от другите обвинения, което прави общо до 17 години затвор.
Подсъдимият не е действал сам: според разследващите, той е имал поне един съучастник, живеещ в Илинойс. Неговото (или нейното) име липсва в съдебните документи.
Според разследващите, през 2022 г. Лейн и неговите съучастници са хакнали мрежите на телекомуникационна компания в Съединените щати и са откраднали поверителна информация за клиенти.
Освен това, те са получили достъп до идентификационните данни за платформата PowerSchool, принадлежащи на един от служителите на хакнатия телеком. Тази компания е предоставяла поддръжка на платформата по договор.
Акция за много пари
След неуспешен опит за изнудване на телекомуникационен оператор (компанията отказала да плати откуп от 200 000 долара), нападателите се насочват към самата PowerSchool.
През декември 2024 г. хакерите откраднали данни за ученици и персонал в образователни институции, използващи PowerSchool, като за целта разчитали на инструменти за поддръжка.
Извлечените бази данни съдържат лична информация за 62,4 милиона ученици и 9,5 милиона учители в 6505 училищни района в Съединените щати, Канада и други страни.
Тази база включва пълни имена, физически адреси, телефонни номера, пароли, данни за родители, номера на социални осигуровки, медицинска информация и данни за училищното представителство.
След това администрацията на PowerSchool получила искания за откуп в размер на приблизително 2,85 милиона долара. В случай на неплащане, нападателите заплашили да разпространят откраднатите данни „на целия свят”.
Платформата платила откупа. Това обаче не било достатъчно за нападателите и те решили да окажат натиск върху отделни образователни райони, като поискали пари, за да запазят данните на учениците в тайна. Административните структури са отговорни и за сигурността на данните на непълнолетните, така че изнудването им изглежда примамливо за хакерите.
Замайване от успеха
Очевидно подсъдимият се замаял от успеха и решил, че може да принуди жертвите да му дават каквото си поиска. И именно тук е сбъркал фатално, тъй като техническата му подготовка не съответствала на нивото му на наглост, в резултат та което бил идентифициран и изправен пред съда.
Показателно е, че Лейн и неговите съучастници се представяли за Shiny Hunters – APT група, за която се смята, че стои зад атаките срещу SnowFlake и AT&T. Някои от преките участници в тези атаки впоследствие бяха арестувани, но изглежда, че „Лъскавите ловци” са си намерили имитатори.
В допълнение към дългата присъда затвор, ако бъде осъден, Лейн ще трябва да предаде на властите всички активи, които е придобил чрез престъпна дейност.