Урывак з кнігі «Уварванне. Кароткая гісторыя рускіх хакераў»
У маі гэтага года ў выдавецтве Individuum журналіста Данііла Тураўскага «Уварванне. Кароткая гісторыя рускіх хакераў». У ёй сабраны гісторыі з цёмнага боку расійскай IT-індустрыі - аб рабятах, якія пакахаўшы кампутары, навучыліся не проста праграмаваць, а рабаваць людзей. Кніга развіваецца, як і сама з'ява - ад падлеткавых хуліганстваў і форумных тусовак да сілавых аперацый і міжнародных скандалаў.
Матэрыялы Данііл збіраў некалькі гадоў, некаторыя гісторыі , за пераказ артыкулаў Данііла Эндру Крамер з New York Times у 2017 годзе атрымаў Пулітцэраўскую прэмію.
Але хакерства - як і любая злачыннасць - занадта зачыненая тэма. Сапраўдныя гісторыі перадаюцца толькі з вуснаў у вусны паміж сваімі. І кніга пакідае ўражанне вар'яцка якая распальвае цікаўнасць непаўнаты — як быццам пра кожнага яе героя можна скласці трохтомнік таго «як было насамрэч».
З дазволу выдавецтва, мы публікуем невялікі ўрывак аб групоўцы Lurk, якая рабавала расейскія банкі ў 2015-16 гадах.
Улетку 2015 года расійскі Цэнтральны банк стварыў Fincert - цэнтр маніторынгу і рэагавання на кампутарныя інцыдэнты ў крэдытна-фінансавай сферы. Праз яго банкі абменьваюцца інфармацыяй аб камп'ютарных атаках, аналізуюць іх і атрымліваюць рэкамендацыі па абароне ад спецслужбаў. Такіх нападаў шмат: Ашчадбанк у чэрвені 2016-га страты эканомікі Расіі ад кіберзлачыннасці ў 600 мільярдаў рублёў - тады ж у банка з'явілася даччыная кампанія «Бізон», якая займаецца інфармацыйнай бяспекай прадпрыемства.
У першым аб выніках працы Fincert (з кастрычніка 2015-га па сакавік 2016 года) распавядаецца аб 21 мэтавай атацы на інфраструктуру банкаў; па выніках гэтых падзей было ўзбуджана 12 крымінальных спраў. Вялікая частка гэтых нападаў была справай рук адной групоўкі, якая атрымала назву Lurk у гонар аднайменнага віруса, распрацаванага хакерамі: з яго дапамогай у камерцыйных прадпрыемстваў і банкаў выкрадалі грошы.
Удзельнікаў групоўкі паліцыя і спецыялісты па кібербяспецы шукалі з 2011 года. Доўгі час пошукі былі беспаспяховымі - да 2016-га групоўка выкрала ў расійскіх банкаў каля трох мільярдаў рублёў, больш, чым любыя іншыя хакеры.
Вірус Lurk адрозніваўся ад тых, якія следчыя сустракалі раней. Калі праграму запускалі ў лабараторыі для тэсту, яна нічога не рабіла (таму яе і назвалі Lurk-ад ангельскага «затаіцца»). Пазней , Што Lurk уладкованы як модульная сістэма: праграма паступова загружае дадатковыя блокі з розным функцыяналам – ад перахопу ўводзімых на клавіятуры знакаў, лагінаў і пароляў да магчымасці запісваць відэаструмень з экрана заражанага кампутара.
Каб распаўсюдзіць вірус, групоўка ўзломвала сайты, якія наведвалі супрацоўнікі банкаў: ад інтэрнэт-СМІ (напрыклад, РІА "Навіны" і "Газета.ру") да бухгалтарскіх форумаў. Хакеры выкарыстоўвалі ўразлівасць у сістэме абмену рэкламнымі банэрамі і праз іх распаўсюджвалі шкоднасную праграму. На некаторых пляцоўках хакеры ставілі спасылку на вірус ненадоўга: на форуме аднаго з часопісаў для бухгалтараў яна з'яўлялася ў буднія дні ў абедзенны час на дзве гадзіны, але і за гэты час Lurk знаходзіў некалькі падыходных ахвяр.
Пстрыкнуўшы на банэр, карыстач пападаў на старонку з эксплойтамі, пасля чаго на атакаваным кампутары пачынаўся збор інфармацыі - галоўнай выявай хакераў цікавіла праграма для дыстанцыйнага банкаўскага абслугоўвання. Рэквізіты ў плацежных даручэннях банкаў падмяняліся на патрэбныя, і несанкцыянаваныя пераводы адпраўлялі на рахункі кампаній, звязаных з групоўкай. Паводле слоў Сяргея Галаванава з "Лабараторыі Касперскага", звычайна ў такіх выпадках групоўкі карыстаюцца кампаніямі-аднадзёнкамі, "якім усё роўна, што пераводзіць і пераводзіць у наяўнасць": атрыманыя грошы там пераводзяць у наяўныя грошы, раскладваюць па сумках і пакідаюць закладкі ў гарадскіх парках, дзе іх забіраюць хакеры. . Сябры групоўкі старанна хавалі свае дзеянні: шыфравалі ўсю паўсядзённую перапіску, рэгістравалі дамены на фальшывых карыстальнікаў. «Зламыснікі карыстаюцца трайным VPN, „Торам“, сакрэтнымі чатамі, але праблема ў тым, што нават адладжаны механізм дае збой, — тлумачыць Галаванаў. - Тое VPN адваліцца, то сакрэтны чат аказваецца не такім сакрэтным, то адзін замест таго, каб патэлефанаваць праз Telegram, патэлефанаваў проста з тэлефона. Гэта чалавечы фактар. І калі ў цябе збіраецца гадамі база даных, трэба шукаць такія выпадковасці. Пасля гэтага праваахоўнікі могуць звяртацца да правайдэраў, каб даведацца, хто хадзіў на нейкі IP-адрас і ў які час. І тады выстройваецца справа».
Затрыманне хакераў з Lurk як баявік. Супрацоўнікі МНС зрэзалі замкі ў загарадных дамах і кватэрах хакераў у розных частках Екацярынбурга, пасля чаго супрацоўнікі ФСБ з крыкамі ўрываліся ўнутр, хапалі хакераў і кідалі на падлогу, абшуквалі памяшканні. Пасля гэтага падазраваных пасадзілі ў аўтобус, прывезлі ў аэрапорт, правялі па ўзлётна-пасадачнай паласе і завялі ў грузавы самалёт, які вылецеў у Маскву.
У гаражах, прыналежных хакерам, знайшлі аўтамабілі дарагія мадэлі Audi, кадылак, мэрсэдэсаў . Таксама выявілі гадзіннік, інкруставаны 272 дыяментамі. упрыгожванні на 12 мільёнаў рублёў і зброю. Агулам паліцыянты правялі каля 80 ператрусаў у 15 рэгіёнах і затрымалі каля 50 чалавек.
Арыштаваны былі, у прыватнасці, усе тэхнічныя спецыялісты групоўкі. Руслан Стаянаў, супрацоўнік «Лабараторыі Касперскага», які займаўся расследаваннем злачынстваў Lurk разам са спецслужбамі, расказваў, што многіх з іх кіраўніцтва шукала на звычайных сайтах па падборы персаналу для выдаленай працы. Пра тое, што праца будзе нелегальнай, у аб'явах нічога не гаварылася, а заробак у Lurk прапаноўвалі вышэй за рынкавы, прычым працаваць можна было з дому.
«Кожную раніцу, акрамя выходных, у розных частках Расіі і Украіны асобныя асобы садзіліся за кампутары і пачыналі працаваць, - апісваў Стаянаў. — Праграмісты дакручвалі функцыі чарговай версіі [віруса], тэсціроўшчыкі яе правяралі, потым адказны за ботнет загружаў усё на камандны сервер, пасля чаго адбывалася аўтаматычнае абнаўленне на кампутарах-ботах».
Разгляд справы групоўкі ў судзе пачаўся яшчэ восенню 2017 года і працягваўся ў пачатку 2019 года — з-за аб'ёму справы, у якой каля шасцісот тамоў. Адвакат хакераў, які хавае сваё імя, , Што ніхто з падазраваных не пойдзе на здзелку са следствам, але некаторыя прызналі частку абвінавачанняў. «Нашы кліенты сапраўды выконвалі працы па распрацоўцы розных частак віруса Lurk, але многія проста не былі дасведчаныя аб тым, што гэта траянская праграма, – тлумачыў ён. - Хтосьці рабіў частку алгарытмаў, якія маглі з поспехам працаваць і ў пошукавых сістэмах ».
Справу аднаго з хакераў групоўкі вывелі ў асобную вытворчасць, і ён атрымаў 5 гадоў, у тым ліку за ўзлом сеткі аэрапорта Екацярынбурга.
У апошнія дзесяцігоддзі ў Расіі спецслужбам удалося разграміць большасць буйных хакерскіх груповак, якія парушылі галоўнае правіла — "Не працаваць па ru": Carberp (выкралі каля паўтара мільярда рублёў з рахункаў расійскіх банкаў), Anunak (выкралі больш за мільярд рублёў з рахункаў расійскіх банкаў), Paunch (стваралі платформы для нападаў, праз якія праходзілі да паловы заражэнняў па ўсім свеце) і гэтак далей. Даходы такіх груповак супастаўныя з заробкамі гандляроў зброяй, а складаюцца ў іх дзясяткі людзей апроч саміх хакераў - ахоўнікі, кіроўцы, абнашчыкі, уладальнікі сайтаў, на якіх з'яўляюцца новыя эксплойты, і гэтак далей.
Крыніца: habr.com