مقتطف من كتاب "الغزو. تاريخ موجز للقراصنة الروس"
في مايو من هذا العام في دار النشر Individuum الصحفي دانييل توروفسكي “الغزو. تاريخ موجز للقراصنة الروس." يحتوي على قصص من الجانب المظلم لصناعة تكنولوجيا المعلومات الروسية - عن رجال وقعوا في حب أجهزة الكمبيوتر، ولم يتعلموا البرمجة فحسب، بل تعلموا سرقة الناس. يتطور الكتاب، مثل الظاهرة نفسها - من أعمال الشغب في سن المراهقة وأحزاب المنتدى إلى عمليات إنفاذ القانون والفضائح الدولية.
قام دانيال بجمع المواد لعدة سنوات وبعض القصص ، بسبب إعادة روايته لمقالات دانيال، حصل أندرو كرامر من صحيفة نيويورك تايمز على جائزة بوليتزر في عام 2017.
لكن القرصنة، مثل أي جريمة، موضوع مغلق للغاية. القصص الحقيقية لا تنتقل إلا عن طريق الكلام الشفهي بين الناس. ويترك الكتاب انطباعًا بعدم الاكتمال الغريب إلى حد الجنون - كما لو كان من الممكن تجميع كل بطل من أبطاله في كتاب من ثلاثة مجلدات عن "كيف كان الأمر حقًا".
بإذن الناشر، ننشر مقتطفًا قصيرًا عن مجموعة Lurk، التي سرقت البنوك الروسية في 2015-16.
في صيف عام 2015، أنشأ البنك المركزي الروسي مركز Fincert، وهو مركز لرصد حوادث الكمبيوتر في قطاع الائتمان والقطاع المالي والاستجابة لها. ومن خلاله، تتبادل البنوك المعلومات حول الهجمات الحاسوبية، وتحللها وتتلقى توصيات بشأن الحماية من وكالات الاستخبارات. هناك العديد من هذه الهجمات: سبيربنك في يونيو 2016 بلغت خسائر الاقتصاد الروسي من الجرائم الإلكترونية 600 مليار روبل - وفي الوقت نفسه استحوذ البنك على شركة فرعية Bizon، التي تتعامل مع أمن المعلومات في المؤسسة.
في الأولى وتصف نتائج عمل Fincert (من أكتوبر 2015 إلى مارس 2016) 21 هجومًا مستهدفًا على البنية التحتية المصرفية؛ ونتيجة لهذه الأحداث، تم رفع 12 قضية جنائية. كانت معظم هذه الهجمات من عمل مجموعة واحدة، سميت Lurk تكريماً للفيروس الذي يحمل نفس الاسم، والذي طوره المتسللون: وبمساعدتها، تمت سرقة الأموال من المؤسسات التجارية والبنوك.
يبحث المتخصصون في الشرطة والأمن السيبراني عن أعضاء المجموعة منذ عام 2011. لفترة طويلة، لم ينجح البحث - بحلول عام 2016، سرقت المجموعة حوالي ثلاثة مليارات روبل من البنوك الروسية، أكثر من أي قراصنة آخرين.
كان فيروس Lurk مختلفًا عما واجهه المحققون من قبل. عندما تم تشغيل البرنامج في المختبر للاختبار، لم يفعل شيئًا (ولهذا السبب أطلق عليه اسم Lurk - من اللغة الإنجليزية "لإخفاء"). لاحقاً تم تصميم Lurk كنظام معياري: يقوم البرنامج تدريجيًا بتحميل كتل إضافية بوظائف متنوعة - بدءًا من اعتراض الأحرف التي تم إدخالها على لوحة المفاتيح وتسجيلات الدخول وكلمات المرور إلى القدرة على تسجيل دفق فيديو من شاشة جهاز كمبيوتر مصاب.
لنشر الفيروس، اخترقت المجموعة المواقع الإلكترونية التي يزورها موظفو البنك: من الوسائط عبر الإنترنت (على سبيل المثال، RIA Novosti وGazeta.ru) إلى المنتديات المحاسبية. واستغل المتسللون ثغرة أمنية في نظام تبادل اللافتات الإعلانية وقاموا بتوزيع البرمجيات الخبيثة من خلالها. في بعض المواقع، نشر المتسللون رابطًا للفيروس لفترة وجيزة فقط: في منتدى إحدى مجلات المحاسبة، ظهر في أيام الأسبوع في وقت الغداء لمدة ساعتين، ولكن حتى خلال هذا الوقت، وجد Lurk العديد من الضحايا المناسبين.
من خلال النقر على اللافتة، يتم نقل المستخدم إلى صفحة تحتوي على عمليات استغلال، وبعد ذلك بدأ جمع المعلومات على الكمبيوتر الذي تمت مهاجمته - وكان المتسللون مهتمين بشكل أساسي ببرنامج للخدمات المصرفية عن بعد. وتم استبدال التفاصيل الموجودة في أوامر الدفع المصرفية بالتفاصيل المطلوبة، وإرسال التحويلات غير المصرح بها إلى حسابات الشركات المرتبطة بالمجموعة. وفقًا لسيرجي جولوفانوف من كاسبرسكي لاب، عادةً في مثل هذه الحالات، تستخدم المجموعات شركات وهمية، "وهي مثل التحويل والصرف": يتم صرف الأموال المستلمة هناك، ووضعها في أكياس وترك إشارات مرجعية في حدائق المدينة، حيث يأخذ المتسللون هم . قام أعضاء المجموعة بإخفاء أفعالهم بعناية: فقد قاموا بتشفير جميع المراسلات اليومية والمجالات المسجلة مع مستخدمين مزيفين. يوضح جولوفانوف: "يستخدم المهاجمون ثلاث شبكات VPN وTor والمحادثات السرية، لكن المشكلة هي أنه حتى الآلية التي تعمل بشكل جيد تفشل". - إما أن تنقطع شبكة VPN، ثم يتبين أن الدردشة السرية ليست سرية للغاية، ثم يتم الاتصال بها ببساطة من الهاتف بدلاً من الاتصال عبر Telegram. هذا هو العامل البشري. وعندما تقوم بتجميع قاعدة بيانات لسنوات، فأنت بحاجة إلى البحث عن مثل هذه الحوادث. بعد ذلك، يمكن لسلطات إنفاذ القانون الاتصال بمقدمي الخدمة لمعرفة من زار عنوان IP كذا وكذا وفي أي وقت. وبعد ذلك يتم بناء القضية."
اعتقال المتسللين من Lurk مثل فيلم الحركة. قام موظفو وزارة حالات الطوارئ بقطع أقفال المنازل الريفية وشقق المتسللين في أجزاء مختلفة من يكاترينبرج، وبعد ذلك انفجر ضباط FSB بالصراخ، وأمسكوا المتسللين وألقوا بهم على الأرض، وقاموا بتفتيش المبنى. وبعد ذلك، تم وضع المشتبه بهم على متن حافلة، ونقلهم إلى المطار، ومشى على طول المدرج، ثم نقلوا إلى طائرة شحن أقلعت إلى موسكو.
تم العثور على سيارات في مرائب تابعة للقراصنة - موديلات أودي وكاديلاك ومرسيدس باهظة الثمن. كما تم اكتشاف ساعة مرصعة بـ 272 ماسة. مجوهرات بقيمة 12 مليون روبل وأسلحة. وفي المجمل، أجرت الشرطة نحو 80 عملية تفتيش في 15 منطقة واعتقلت نحو 50 شخصا.
وعلى وجه الخصوص، تم القبض على جميع المتخصصين الفنيين في المجموعة. قال رسلان ستويانوف، الموظف في شركة Kaspersky Lab الذي شارك في التحقيق في جرائم Lurk مع أجهزة المخابرات، إن الإدارة بحثت عن العديد منهم في مواقع منتظمة لتجنيد موظفين للعمل عن بعد. ولم تذكر الإعلانات شيئًا عن أن العمل سيكون غير قانوني، كما أن الراتب في Lurk معروض أعلى من السوق، كما أنه من الممكن العمل من المنزل.
وقال ستويانوف: "كل صباح، باستثناء عطلات نهاية الأسبوع، في أجزاء مختلفة من روسيا وأوكرانيا، كان الأفراد يجلسون أمام أجهزة الكمبيوتر الخاصة بهم ويبدأون العمل". "قام المبرمجون بتعديل وظائف الإصدار التالي [من الفيروس]، وقام المختبرون بفحصه، ثم قام الشخص المسؤول عن شبكة الروبوتات بتحميل كل شيء إلى خادم الأوامر، وبعد ذلك تم إجراء التحديثات التلقائية على أجهزة كمبيوتر الروبوت."
بدأ النظر في قضية المجموعة في المحكمة في خريف عام 2017 واستمر في بداية عام 2019 - نظرًا لحجم القضية التي تحتوي على حوالي ستمائة مجلد. محامي القراصنة يخفي اسمه ولم يتوصل أي من المشتبه بهم إلى اتفاق مع التحقيق، لكن بعضهم اعترف بجزء من التهم. وأوضح قائلاً: "لقد عمل عملاؤنا بالفعل على تطوير أجزاء مختلفة من فيروس Lurk، لكن الكثير منهم ببساطة لم يكونوا على علم بأنه حصان طروادة". "لقد قام شخص ما بتصنيع جزء من الخوارزميات التي يمكن أن تعمل بنجاح في محركات البحث."
تم رفع قضية أحد قراصنة المجموعة إلى إجراءات منفصلة، وحُكم عليه بالسجن لمدة 5 سنوات، بما في ذلك اختراق شبكة مطار يكاترينبرج.
في العقود الأخيرة في روسيا، تمكنت الخدمات الخاصة من هزيمة غالبية مجموعات القرصنة الكبيرة التي انتهكت القاعدة الرئيسية - "لا تعمل على رو": كاربيرب (سرق حوالي مليار ونصف مليار روبل من حسابات البنوك الروسية)، Anunak (سرق أكثر من مليار روبل من حسابات البنوك الروسية)، Paunch (أنشأوا منصات للهجمات التي مرت من خلالها ما يصل إلى نصف الإصابات في جميع أنحاء العالم) وما إلى ذلك. إن دخل هذه المجموعات يمكن مقارنته بأرباح تجار الأسلحة، وهي تتألف من عشرات الأشخاص بالإضافة إلى المتسللين أنفسهم - حراس الأمن، والسائقين، والصرافين، وأصحاب المواقع التي تظهر فيها عمليات استغلال جديدة، وما إلى ذلك.
المصدر: www.habr.com