“İşğal” kitabından çıxarış. Rus hakerlərinin qısa tarixi”
Bu ilin may ayında Individuum nəşriyyatında jurnalist Daniil Turovski “İşğal. Rus hakerlərinin qısa tarixi”. Bu, Rusiya İT sənayesinin qaranlıq tərəfindən hekayələri ehtiva edir - kompüterlərə aşiq olan, yalnız proqramlaşdırmağı deyil, insanları soymağı öyrənən uşaqlar haqqında. Kitab fenomenin özü kimi - yeniyetmələrin xuliqanlığından və forum partiyalarından tutmuş hüquq-mühafizə orqanlarının əməliyyatlarına və beynəlxalq qalmaqallara qədər inkişaf edir.
Daniel bir neçə il material topladı, bəzi hekayələr , Danielin məqalələrini təkrar izah etdiyinə görə New York Times-dan Endryu Kramer 2017-ci ildə Pulitzer mükafatı aldı.
Lakin hakerlik, hər hansı bir cinayət kimi, çox qapalı bir mövzudur. Əsl hekayələr insanlar arasında ancaq ağızdan-ağıza ötürülür. Və kitab inanılmaz dərəcədə maraqlı bir natamamlıq təəssüratını yaradır - sanki onun hər bir qəhrəmanını "həqiqətən necə idi" adlı üç cildlik bir kitabda toplamaq olar.
Nəşrin icazəsi ilə 2015-16-cı illərdə Rusiya banklarını qarət edən “Lurk” qrupu haqqında qısa fraqment dərc edirik.
2015-ci ilin yayında Rusiya Mərkəzi Bankı kredit və maliyyə sektorunda kompüter insidentlərinin monitorinqi və cavab tədbirləri üçün Fincert mərkəzi yaratdı. Onun vasitəsilə banklar kompüter hücumları haqqında məlumat mübadiləsi aparır, onları təhlil edir və kəşfiyyat orqanlarından müdafiə ilə bağlı tövsiyələr alırlar. Belə hücumlar çoxdur: 2016-cı ilin iyun ayında Sberbank Rusiya iqtisadiyyatının kibercinayətkarlıqdan itkiləri 600 milyard rubl təşkil etdi - eyni zamanda bank müəssisənin informasiya təhlükəsizliyi ilə məşğul olan Bizon törəmə şirkəti əldə etdi.
Birincisində Fincert-in işinin nəticələri (2015-ci ilin oktyabrından 2016-cı ilin martına qədər) bank infrastrukturuna 21 məqsədyönlü hücumu təsvir edir; Bu hadisələr nəticəsində 12 cinayət işi başlanıb. Bu hücumların əksəriyyəti hakerlər tərəfindən hazırlanmış eyniadlı virusun şərəfinə Lurk adlandırılan bir qrupun işi idi: onun köməyi ilə kommersiya müəssisələrindən və banklardan pul oğurlanırdı.
Polis və kibertəhlükəsizlik mütəxəssisləri 2011-ci ildən qrup üzvlərini axtarır. Uzun müddət axtarış uğursuz oldu - 2016-cı ilə qədər qrup Rusiya banklarından digər hakerlərdən daha çox üç milyard rubl oğurladı.
Lurk virusu əvvəllər rastlaşdıqları tədqiqatçılardan fərqli idi. Proqram sınaq üçün laboratoriyada işə salındıqda, heç bir şey etmədi (buna görə də onu Lurk adlandırdılar - ingilis dilindən "gizlətmək"). Daha sonra ki, Lurk modul sistem kimi nəzərdə tutulmuşdur: proqram tədricən müxtəlif funksionallığı olan əlavə blokları yükləyir - klaviaturada daxil edilmiş simvolların, loginlərin və parolların tutulmasından tutmuş yoluxmuş kompüterin ekranından video axını yazmaq imkanına qədər.
Virusu yaymaq üçün qrup bank işçilərinin daxil olduğu saytları sındırıb: onlayn mediadan (məsələn, RİA Novosti və Gazeta.ru) mühasibat forumlarına qədər. Hakerlər sistemdəki boşluqdan reklam bannerlərinin mübadiləsi üçün istifadə ediblər və onlar vasitəsilə zərərli proqramlar yayıblar. Bəzi saytlarda hakerlər virusa yalnız qısa bir keçid yerləşdirdilər: mühasibat jurnallarından birinin forumunda o, həftə içi günlər nahar vaxtı iki saat görünürdü, lakin hətta bu müddət ərzində Lurk bir neçə uyğun qurban tapdı.
Bannerə klikləməklə istifadəçi istismarların olduğu səhifəyə aparılıb, bundan sonra hücuma məruz qalan kompüterdə məlumatlar toplanmağa başlayıb – hakerləri əsasən distant bankçılıq proqramı maraqlandırıb. Bank ödəniş tapşırıqlarındakı rekvizitlər tələb olunanlarla əvəz edilib, qrupa bağlı şirkətlərin hesablarına icazəsiz köçürmələr göndərilib. Kaspersky Lab-dan Sergey Qolovanovun sözlərinə görə, adətən belə hallarda qruplar “köçürmə və nağdlaşdırma ilə eyni olan” qabıq şirkətlərdən istifadə edirlər: alınan pullar orada nağdlaşdırılır, çantalara qoyulur və hakerlərin ələ keçirdikləri şəhər parklarında əlfəcinlər qoyurlar. onları. Qrup üzvləri öz hərəkətlərini səylə gizlədiblər: onlar bütün gündəlik yazışmaları şifrələyib və saxta istifadəçilərlə domenləri qeydiyyatdan keçiriblər. "Hücumçular üçlü VPN, Tor, gizli söhbətlərdən istifadə edirlər, lakin problem ondadır ki, hətta yaxşı işləyən mexanizm də uğursuz olur" deyə Qolovanov izah edir. - Ya VPN sönür, sonra gizli söhbət o qədər də gizli deyil, sonra biri Telegram vasitəsilə zəng etmək əvəzinə, sadəcə telefondan zəng edir. Bu insan faktorudur. İllərdir məlumat bazası toplayanda isə belə qəzaları axtarmaq lazımdır. Bundan sonra hüquq-mühafizə orqanları filan İP ünvana kimin və nə vaxt baş çəkdiyini öyrənmək üçün provayderlərlə əlaqə saxlaya bilər. Və sonra iş qurulur."
Lurkdan olan hakerlərin saxlanması hərəkət filmi kimi. Fövqəladə Hallar Nazirliyinin əməkdaşları Yekaterinburqun müxtəlif yerlərində hakerlərin bağ evlərinin və mənzillərinin qıfıllarını kəsiblər, bundan sonra FSB əməkdaşları qışqıraraq hakerləri tutub yerə yıxıb və binalarda axtarış aparıblar. Bundan sonra şübhəlilər avtobusa mindirilib, hava limanına aparılıb, uçuş-enmə zolağı ilə gəzərək Moskvaya uçan yük təyyarəsinə mindirilib.
Hakerlərə məxsus qarajlarda avtomobillər - bahalı Audi, Cadillac, Mercedes modelləri tapılıb. 272 brilyantla bəzədilmiş saat da aşkar edilib. 12 milyon rubl dəyərində zinət əşyaları və silahlar. Ümumilikdə polis 80 rayonda 15-ə yaxın axtarış aparıb və 50-yə yaxın şəxsi saxlayıb.
O cümlədən, qrupun bütün texniki mütəxəssisləri həbs edilib. Kəşfiyyat xidmətləri ilə birlikdə “Lurk” cinayətlərinin təhqiqatında iştirak edən “Kaspersky Lab” şirkətinin əməkdaşı Ruslan Stoyanov bildirib ki, rəhbərlik uzaqdan işləmək üçün kadrların cəlb edilməsi üçün onların çoxunu adi saytlarda axtarır. Elanda işin qanunsuz olacağı, “Lurk”da maaşın bazar maaşından yuxarı təklif edildiyi, evdən işləməyin mümkün olduğu barədə heç nə deyilmir.
“Həftə sonları istisna olmaqla, hər səhər Rusiya və Ukraynanın müxtəlif yerlərində fərdlər öz kompüterlərinin başına oturub işləməyə başladılar”, - Stoyanov təsvir edib. "Proqramçılar [virusun] növbəti versiyasının funksiyalarını dəyişdirdilər, testçilər onu yoxladılar, sonra botnetə cavabdeh olan şəxs hər şeyi komanda serverinə yüklədi, bundan sonra bot kompüterlərində avtomatik yeniləmələr baş verdi."
Qrupun işinə məhkəmədə baxılması 2017-ci ilin payızında başlayıb və 2019-cu ilin əvvəlində davam edib - altı yüz cilddən ibarət işin həcminə görə. Haker vəkili adını gizlədir Şübhəlilərdən heç birinin istintaqla razılaşmayacağını ancaq bəziləri ittihamların bir hissəsini etiraf etdi. "Müştərilərimiz Lurk virusunun müxtəlif hissələrini inkişaf etdirməklə məşğul idilər, lakin bir çoxları bunun Trojan olduğunu bilmirdilər" dedi. "Kimsə axtarış sistemlərində uğurla işləyə biləcək alqoritmlərin bir hissəsini düzəltdi."
Qrupun hakerlərindən birinin işi ayrıca icraata götürülüb və o, Yekaterinburq hava limanının şəbəkəsini sındırdığı üçün 5 il müddətinə azadlıqdan məhrum edilib.
Rusiyada son onilliklərdə xüsusi xidmətlər əsas qaydanı pozan böyük haker qruplarının əksəriyyətini məğlub edə bildilər - "Ru-da işləməyin": Carberp (Rusiya banklarının hesablarından təxminən bir yarım milyard rubl oğurladı), Anunak (Rusiya banklarının hesablarından bir milyard rubldan çox pul oğurladılar), Paunch (dünyada infeksiyaların yarısına qədərinin keçdiyi hücumlar üçün platformalar yaratdılar) və s. Belə qrupların gəlirləri silah alverçilərinin qazancı ilə müqayisə oluna bilər və onlar hakerlərin özündən başqa onlarla adamdan ibarətdir - mühafizəçilər, sürücülər, kassirlər, yeni istismarların göründüyü saytların sahibləri və s.
Mənbə: www.habr.com