Промени размера
Аа Аа Аа Аа Аа

Компютърни игри ли са причината обвиненият за хакерската атака срещу НАП да бъде хванат?

29 юли 2019, 07:30 часа • 7387 прочитания

Историята за професионалното израстване на Кристиян Бойков, който се прочу като основен обвиняем за безпрецедентната хакерска атака срещу НАП, намира място на страниците на в. "24 часа". Тя е разказана под формата на литературно произведение - с множество лирични описания и твърдения.

Един от основните щрихи е как Кристиян постъпва на работа в TAD Group - след като се проучва още като ученик с успешна атака срещу сайта на МОН, за която съобщава в телевизионен ефир, тъй като никой в образователното министерство не обръща необходимото внимание. Според вестника, лично собственикът на TAD Group Иван Тодоров, който е описан като много опитен в развитието на франчайзи - всъщност TAD Group е американска компания, го наема.

Съгласно материала, Бойков веднага почва да общува във форум, създаден от компанията - xaker.bg. В началото само чете, но по-късно и пише. Пише отпуснато, хвали се, че е успял да пробие паролите на разследваща полицайка.

"Имах възможността да "бодна" keylogger флашчица на една разследваща компютъра, който беше XP... П....а отиде до другия офис да вземе един документ". С тази програма може да разбере всички пароли на жената.

В публикацията се твърди и, че Kpuccc, както се подписва младежът, решава да разкаже във форума "Как да свием ЕГН-та" и за други свои подвизи.

"Идеята, която ми хрумна, е, че ако знаем рождената дата на дадено лице, със съвсем малки усилия може да намерим негово ЕГН, като генерираме ЕГН-то на всички "потенциални" хора, които са се родили на същия ден, и започнем да ги въвеждаме ръчно в някой от регистрите и видим дали съответства на лицето, което търсим. Имаме две опции: Търговски регистър и Здравноосигурителен регистър на НАП. За да генерирате ЕГН-тата, може да използвате кода, който пресъздава алгоритъма, или да използвате вече компилиран... В някои от следващите теми мога да ви покажа как може да си поиграете с на някой човек живота благодарение на това, което ви показах днес".

Твърди се и, че Иван Тодоров опитал да наеме човек с подобрен профил на Кристиян, но той му отказал, защото бил видял как TAD Group два пъти хаква един от най-големите доставчици на мейл услуги в България. При първата е използван методът крос-сайт скриптинг (XSS). При него се вкарва JavaScript код директно в приложението, без той да бъде валидиран. Когато жертвата отвори съответната страница, кодът дава възможност на атакуващия да се сдобие с чувствителни бисквитки и други данни. Така са изтекли и данните на хората. От TAD Group уведомили хакнатата компания. Тя не ги наела, а сама отстранила проблема. Така спряла възможността за още такива течове, но изтеглените данни можело да бъдат ползвани.

Дали с тях, или не, но от TAD Group пак ударили компанията. Този път използвали уязвимостта на сайта към Man-In-The-Middle (“Човек по средата”) атаки. При нея хакерът може да прехване трафика на жертвата и дори да подмени съдържанието на разменено писмо. Така например може да смени банковата сметка преди плащане. Подобни атаки често са насочени срещу по-големия бизнес. 2 фирми от топ 100 у нас олекнаха с над 1 млн. евро при такива удари. И за това хакване от TAD Group са уведомили едната компания, но едва впоследствие. Действията си компанията представила като част от започнатата кампания за подпомагане на бизнеса да подсигури базите си данни и личната информация на потребителите си, преди те да са се превърнали в хакерска мишена.

Какво прави Кристиян по това време - има “домашни”. Поне така се разбира от служебния му компютър. Когато не е зает с тях обаче, играе компютърни игри. И това го проваля, твърди в. "24 часа".

Когато данните от НАП изтичат на 15 юли всички смятат, че ударът е направен през операционната система Linux. Ударена е услугата за възстановяване на ДДС от чужбина. Ползвана е SQL инжекция, за да се вземат базите данни. SQL инжекциите обикновено са 1 ред код, написан на SQL (бел. ред. - компютърен език за структурирани запитвания). Въпросният код се пуска в някое празно поле за дадена заявка (дори търсачка върши работа). Това я чупи и тя показва колоните и редовете на дадена база данни. А когато имаш имената на тези колони, лесно ги добавяш в нова SQL инжекция и това ти изплюва цялата база с тези идентификатори.

След два дни отдел "Киберсигурност" на ГДБОП намира улики в един файл. Следата е в документа DEC73_DETAILS. В него има повече от 300 000 записа за доходите на различни хора. Самите данни изглеждат така: DESKTOP-NSTGGRP/ Kpuccc,,11.05.2019 11:49, file:///C:/Users/ Kpuccc/AppData/ Roaming/LibreOffice/4. Kpuccc е името на компютъра на Бойков. Има подозрения, че файлът е отворен с Windows, а за атаката е ползван Linux. Да, но данните показват само през каква операционна система е прочетен документът, а не как е добит, твърди в. "24 часа". И добавя, че това станало, защото Кристиян играел компютърни игри под Windows и заради това използвал тази операционна система, за да отвори файла.

Бойков е заловен, иззети са 3 компютъра. Те са криптирани, но защитата на единия бързо бива разбита. Там разследващите откриват, че Бойков е имал достъп до файловете много преди да бъдат разпространени. Три дни преди пращането на данните до медиите на служебния компютър на Бойков са правени търсения с ЕГН-тата на премиера Бойко Борисов, главния прокурор Сотир Цацаров и депутата Делян Пеевски. Данните били запазвани във файл, кръстен "Търсене за бивол". Преди това Кристиян е издирвал информация и за адвокатска кантора "Авиора консулт", която е свързвана с адвокат Александър Ангелов, който пък отдавна е свързван с Пеевски. Тя също е в папката "Търсене за бивол". После търсел и евродепутата Емил Радев, а резултатите споделял с неустановено лице. На 11 юли младежът създал папката "Математика за домашно", в която имало 106 бази данни. 57 от тях били разпространени от Бойков, смята държавното обвинение. В мейла, изпратен до медиите на 15 юли, хакерът споменава, че има още документи. В "Броене за домашно" пък имало база данни, идентични с тези на НАП, както и много други специфични наименования на таблиците от тях, които той още не бил обработил. Имало и броя на записите във всяка от таблиците. Лично е сменил датите с 10 ноември 1989 година.

В компютъра на Кристиян обаче имало данни от банки, застрахователни и други фирми, които нямат договор с TAD Group. Затова следва акция в цялата TAD Group в България. Иззети са множество служебни компютри. А от този на Кристиян продължават да изскачат интересни неща. Много голям е течът на лична информация от няколко застрахователни дружества, казва в. "24 часа". Медията твърди, че в данните има номера на лични карти, имена, ЕГН и дори застрахователната история. В нея влизат например платени щети след причинена катастрофа. За щастие, при банковите данни течът е по-незначителен. Данните не са били изпращани, е показала експертиза. Затова се предполага, че целта била да се използват за киберрекет. Версията на разследващите е, че от TAD Group са хаквали компании, които не са им клиенти. След това са им казвали и целта е била да бъдат наети.

Засега за хакването на НАП са обвинени Кристиян и търговският директор на фирмата Георги Янков. Те са подведени под отговорност за тероризъм - пуснали данните с цел да всеят паника. Двамата са на свобода срещу гаранции от по 20 000 лв. Създателят на TAD Group в България Иван Тодоров още е в чужбина, но също ще бъде обвинен - като подбудител. Той е пуснат за издирване в Шенгенската информационна система, има и издадена Европейска заповед за арест.

Ивайло Ачев
Ивайло Ачев Отговорен редактор
Новините днес