Evilginx: $100 миллионов убытков и атаки на страны. Инструмент для "красных" нашел применение на стороне зла

leer en español

Evilginx Куба Гретцкий Scattered Spider Void Blizzard MGM Resorts Google фишинг кибербезопасность
Evilginx: $100 миллионов убытков и атаки на страны. Инструмент для "красных" нашел применение на стороне зла
Evilginx Куба Гретцкий Scattered Spider Void Blizzard MGM Resorts Google фишинг кибербезопасность

Разработка одного IT-энтузиаста стала кошмаром для глобальной кибербезопасности.

image

Куба Гретцки изначально хотел сделать интернет безопаснее, но его разработка обернулась обратным эффектом. В 2017 году польский программист создал инструмент Evilginx — программу, которая должна была помочь Red Team командам изучать методы фишинга и понимать, как злоумышленники крадут учётные данные. Идея была проста: показать, насколько легко обойти даже многофакторную аутентификацию, чтобы компании укрепили свои системы прежде, чем этим воспользуются настоящие атакующие. Однако, едва исходный код появился в открытом доступе, он быстро вышел из-под контроля.

Evilginx представлял собой прозрачный прокси-сервер, перехватывающий сетевой трафик между пользователем и целевым сайтом. Через него можно было получить токен активной сессии — тот самый параметр, который позволяет обойти проверку с кодом подтверждения. В результате любой, кто управлял таким прокси, мог войти в чужой аккаунт, даже если жертва использовала двухфакторную защиту. Для Гретцки это был образовательный проект, но для преступников — готовый инструмент атаки.

Со временем программа стала оружием. К 2023 году её активно использовали группировки, включая Scattered Spider — ту самую, что взломала MGM Resorts, из-за чего в казино перестали работать ключ-карты и игровые автоматы. Ущерб компании превысил 100 миллионов долларов. Аналитики также обнаружили применение Evilginx в атаках против неправительственных организаций и подрядчиков, связанных с обороной Украины.

Понимая масштабы проблемы, Гретцки выпустил урезанную публичную версию Evilginx на GitHub, из которой убрал наиболее опасные функции и добавил скрытые цифровые метки, по которым исследователи могут определить использование программы в сети. Полная модификация, получившая название Evilginx Pro, теперь продаётся только проверенным компаниям, а сам разработчик вручную проверяет каждого покупателя. Тем не менее, бесплатный вариант остаётся доступным, и сам автор признаёт, что чувствует противоречие между желанием помочь сообществу и осознанием, что его код применяют злоумышленники.

Парадоксально, но именно из-за Evilginx индустрия усилила защиту. После публикации исходников инженеры Google связались с Гретцки, чтобы обсудить улучшение механизмов авторизации. Он убеждён, что открытость подобных инструментов позволяет лучше понимать реальные риски, ведь скрытые угрозы всё равно найдут способ проявиться. Для него безопасность — это не ответственность одного человека, а цепочка, где важен каждый элемент — от разработчика до пользователя, нажимающего на ссылку.

Evilginx остаётся живым примером того, как грань между исследованием и злоупотреблением может исчезнуть, а добрые намерения — обернуться источником новых рисков. Семь лет спустя проект по-прежнему балансирует между инновацией и угрозой, напоминая, что любое знание в сети может оказаться в чужих руках.