64    Жизненный цикл атаки

В 2016 г. Yahoo сообщила, что хакерами еще в 2013 г. были украдены данные,
принадлежащие более чем миллиарду учетных записей пользователей. Ком-
пания заявила, что отдельным случаем, не связанным с  происшествием, яв-
ляется кража в 2014 г. пользовательских данных полумиллиона учетных запи-
сей. Yahoo­сообщила, что во время инцидента 2013 г. хакеры смогли получить
имена пользователей, адреса электронной почты, даты рождения, секретные
вопросы и ответы на них, а также хешированные пароли.
Хакеры предположительно использовали подделанные куки, которые по-
зволили им получить доступ к системам компании без пароля. В 2016 г. был
взломан LinkedIn и украдены пользовательские данные более 160 млн учетных
записей.
Вскоре хакеры выставили данные на продажу любым заинтересованным
покупателям. Сообщалось, что данные содержали электронную почту и  за-
шифрованные пароли учетных записей. Эти три инцидента показывают, на-
сколько серьезной становится атака после того, как злоумышленник дойдет до
этой стадии. Страдает репутация организации, ставшей жертвой хакеров, и ей
приходится платить огромные суммы денег в качестве штрафов за отсутствие
защиты пользовательских данных.
Время от времени злоумышленники делают нечто большее, чем просто уда-
ление данных. Они могут удалять или изменять файлы, которые хранятся на
взломанных компьютерах, системах и серверах. В марте 2017 г. хакеры потре-
бовали выкуп от компании «Apple» и пригрозили стереть данные, относящи-
еся к 300 млн телефонов iPhone, в учетных записях iCloud. Несмотря на то что
это было мошенничество, подобное доказывает, что такая ситуация возможна.
В этом случае такая крупная компания, как «Apple», оказалась в центре внима-
ния, когда хакеры пытались выманить у нее деньги. Возможно, что другая ком-
пания в спешке заплатит хакерам, чтобы предотвратить уничтожение данных
своих пользователей.
Все эти инциденты, с которыми столкнулись Apple, Ashley Madison, LinkedIn
и Yahoo, показывают значимость данного этапа. Хакеры, которым удается дой-
ти до этой стадии, фактически контролируют ситуацию.
Жертва может не знать, что данные уже украдены, пока хакеры некоторое
время хранят молчание. После этого атака переходит в новую фазу – тыловое
обеспечение.

Тыловое обеспечение
Тыловое обеспечение происходит, когда злоумышленники уже свободно пере-
мещаются по сети и копируют все данные, которые они считают ценными. Они
вступают в эту стадию, когда хотят остаться незамеченными. Существует воз-
можность завершить атаку на предыдущем этапе, когда данные уже украдены
и могут быть опубликованы или проданы. Тем не менее высоко мотивирован-
ные злоумышленники, которые хотят окончательно добить свою цель, пред-