В июле 2015 года хакерская группа Impact Team взломала сайт знакомств для женатых мужчин и женщин AshleyMadison.com, а в августе выложила в свободный доступ базу данных на более чем 30 млн пользователей этого сайта с адресами электронной почты, хэшированными паролями и другой конфиденциальной информацией. Известный журналист и компьютерный сыщик Брайан Кребс (Brian Krebs) провел собственное расследование этого инцидента.
Всё началось ночью 20 июля 2015 года, через несколько часов после того, как Брайан Кребс опубликовал эксклюзивный материал о взломе сайта знакомств AshleyMadison.com. Журналист уже готовился отойти ко сну, как внезапно заметил твит некоего Тадеуша Зу (Thadeus Zu) со ссылкой на тот самый дамп с данными, которые Брайан Кребс на условиях конфиденциальности получил от Impact Team совсем недавно и которые никому не показывал.
В архиве был и проприетарный программный код AshleyMadison.com.
Это чрезвычайно удивило сыщика, потому что он не нашел ни одного сайта, который публиковал подобную информацию. Брайан начал изучать предыдущие твиты Тадеуша Зу и обнаружил некоторые интересные сообщения. Но вскоре события завертелись с такой скоростью, что он на некоторое время забыл про тот подозрительный твит.
Несколько дней назад полиция Торонто объявила многотысячное вознаграждение за информацию о взломщиках, и Кребс вспомнил о своём расследовании. Он скачал весь пятилетний архив твитов Зу и проанализировал его. Стало ясно, что это опытный хакер, который поначалу публиковал информацию о простых взломах маршрутизаторов и беспроводных камер, дефейсе сайтов, а затем переключился на более сложные атаки.
Внимание журналиста привлекли пара твитов. В 2012 году он угрожает взломать сайт группы компьютерных специалистов CERT Nederlands, упоминая при этом песню "Thunderstruck" группы AC/DC.
CERT Nederlands | KPN Blacklist Next time, it will be Thunderstruck. #ACDC #schoolboyriff #hackaday pic.twitter.com/x4SxcJWv
— Thadeus Zu (@deuszu) 4 августа 2012
Днем ранее он упомянул группу AC/DC в другом твите.
Parliament of Australia http://t.co/nWEcs5mM Oi!Oi!Oi!...T.N.T Dynamite! Listen to ACDC here.
— Thadeus Zu (@deuszu) 3 августа 2012
Это важный факт, потому что сотрудники канадской компании Avid Life Media, которой принадлежит сайт Ashley Madison, узнали о взломе 12 июля 2015 года. В этот день они пришли на работу, включили компьютеры — и увидели на экранах сообщение с угрозами под саундтрек... правильно, песни "Thunderstruck" группы AC/DC.
Брайану Кребсу удалось найти еще одно косвенную улику. 19 июля 2015 года в 9:40 утра тот разместил твит странного содержания об установке «серверов репликации» и «начале шоу». Это случилось примерно за двенадцать часов до того, как с Брайаном Кребсом впервые связались представители Impact Team.
Settle down, amigo. We are setting up a replication server so we can get that show started. pic.twitter.com/J9gbVf7Vie
— Thadeus Zu (@deuszu) 19 июля 2015
Обратите внимание на вкладки в браузере на скриншоте. Мы видим ту же самую "Thunderstruck" группы AC/DC.
Кто же такой этот Тадеуш Зу? Его профиль на Facebook указывает на Гавайские острова.
Однако некоторые его твиты дают основание считать, что он все-таки обитает в Канаде.
По другим наблюдениям, он может быть в Австралии, потому что в твиттере он читает много австралийских источников информации, а также использует австралийское выражение "Oz girl".
Тадеуш Зу в нескольких твитах отрицал свою причастность к взлому Ashley Madison, но неоднократно упоминал местоимение «мы» при обсуждении действий и мотивов хакерской группы Impact Team.
Брайан Кребс не уверен, что Тадеуш Зу причастен к взлому. Но ясно одно: даже если он не причастен, то почти наверняка знает виновных.
