Урывак з кнігі «Уварванне. Кароткая гісторыя рускіх хакераў»
У маі гэтага года ў выдавецтве Individuum
Матэрыялы Данііл збіраў некалькі гадоў, некаторыя гісторыі
Але хакерства - як і любая злачыннасць - занадта зачыненая тэма. Сапраўдныя гісторыі перадаюцца толькі з вуснаў у вусны паміж сваімі. І кніга пакідае ўражанне вар'яцка якая распальвае цікаўнасць непаўнаты — як быццам пра кожнага яе героя можна скласці трохтомнік таго «як было насамрэч».
З дазволу выдавецтва, мы публікуем невялікі ўрывак аб групоўцы Lurk, якая рабавала расейскія банкі ў 2015-16 гадах.
Улетку 2015 года расійскі Цэнтральны банк стварыў Fincert - цэнтр маніторынгу і рэагавання на кампутарныя інцыдэнты ў крэдытна-фінансавай сферы. Праз яго банкі абменьваюцца інфармацыяй аб камп'ютарных атаках, аналізуюць іх і атрымліваюць рэкамендацыі па абароне ад спецслужбаў. Такіх нападаў шмат: Ашчадбанк у чэрвені 2016-га
У першым
Удзельнікаў групоўкі паліцыя і спецыялісты па кібербяспецы шукалі з 2011 года. Доўгі час пошукі былі беспаспяховымі - да 2016-га групоўка выкрала ў расійскіх банкаў каля трох мільярдаў рублёў, больш, чым любыя іншыя хакеры.
Вірус Lurk адрозніваўся ад тых, якія следчыя сустракалі раней. Калі праграму запускалі ў лабараторыі для тэсту, яна нічога не рабіла (таму яе і назвалі Lurk-ад ангельскага «затаіцца»). Пазней
Каб распаўсюдзіць вірус, групоўка ўзломвала сайты, якія наведвалі супрацоўнікі банкаў: ад інтэрнэт-СМІ (напрыклад, РІА "Навіны" і "Газета.ру") да бухгалтарскіх форумаў. Хакеры выкарыстоўвалі ўразлівасць у сістэме абмену рэкламнымі банэрамі і праз іх распаўсюджвалі шкоднасную праграму. На некаторых пляцоўках хакеры ставілі спасылку на вірус ненадоўга: на форуме аднаго з часопісаў для бухгалтараў яна з'яўлялася ў буднія дні ў абедзенны час на дзве гадзіны, але і за гэты час Lurk знаходзіў некалькі падыходных ахвяр.
Пстрыкнуўшы на банэр, карыстач пападаў на старонку з эксплойтамі, пасля чаго на атакаваным кампутары пачынаўся збор інфармацыі - галоўнай выявай хакераў цікавіла праграма для дыстанцыйнага банкаўскага абслугоўвання. Рэквізіты ў плацежных даручэннях банкаў падмяняліся на патрэбныя, і несанкцыянаваныя пераводы адпраўлялі на рахункі кампаній, звязаных з групоўкай. Паводле слоў Сяргея Галаванава з "Лабараторыі Касперскага", звычайна ў такіх выпадках групоўкі карыстаюцца кампаніямі-аднадзёнкамі, "якім усё роўна, што пераводзіць і пераводзіць у наяўнасць": атрыманыя грошы там пераводзяць у наяўныя грошы, раскладваюць па сумках і пакідаюць закладкі ў гарадскіх парках, дзе іх забіраюць хакеры. . Сябры групоўкі старанна хавалі свае дзеянні: шыфравалі ўсю паўсядзённую перапіску, рэгістравалі дамены на фальшывых карыстальнікаў. «Зламыснікі карыстаюцца трайным VPN, „Торам“, сакрэтнымі чатамі, але праблема ў тым, што нават адладжаны механізм дае збой, — тлумачыць Галаванаў. - Тое VPN адваліцца, то сакрэтны чат аказваецца не такім сакрэтным, то адзін замест таго, каб патэлефанаваць праз Telegram, патэлефанаваў проста з тэлефона. Гэта чалавечы фактар. І калі ў цябе збіраецца гадамі база даных, трэба шукаць такія выпадковасці. Пасля гэтага праваахоўнікі могуць звяртацца да правайдэраў, каб даведацца, хто хадзіў на нейкі IP-адрас і ў які час. І тады выстройваецца справа».
Затрыманне хакераў з Lurk
У гаражах, прыналежных хакерам, знайшлі аўтамабілі дарагія мадэлі Audi, кадылак, мэрсэдэсаў . Таксама выявілі гадзіннік, інкруставаны 272 дыяментамі.
Арыштаваны былі, у прыватнасці, усе тэхнічныя спецыялісты групоўкі. Руслан Стаянаў, супрацоўнік «Лабараторыі Касперскага», які займаўся расследаваннем злачынстваў Lurk разам са спецслужбамі, расказваў, што многіх з іх кіраўніцтва шукала на звычайных сайтах па падборы персаналу для выдаленай працы. Пра тое, што праца будзе нелегальнай, у аб'явах нічога не гаварылася, а заробак у Lurk прапаноўвалі вышэй за рынкавы, прычым працаваць можна было з дому.
«Кожную раніцу, акрамя выходных, у розных частках Расіі і Украіны асобныя асобы садзіліся за кампутары і пачыналі працаваць, - апісваў Стаянаў. — Праграмісты дакручвалі функцыі чарговай версіі [віруса], тэсціроўшчыкі яе правяралі, потым адказны за ботнет загружаў усё на камандны сервер, пасля чаго адбывалася аўтаматычнае абнаўленне на кампутарах-ботах».
Разгляд справы групоўкі ў судзе пачаўся яшчэ восенню 2017 года і працягваўся ў пачатку 2019 года — з-за аб'ёму справы, у якой каля шасцісот тамоў. Адвакат хакераў, які хавае сваё імя,
Справу аднаго з хакераў групоўкі вывелі ў асобную вытворчасць, і ён атрымаў 5 гадоў, у тым ліку за ўзлом сеткі аэрапорта Екацярынбурга.
У апошнія дзесяцігоддзі ў Расіі спецслужбам удалося разграміць большасць буйных хакерскіх груповак, якія парушылі галоўнае правіла — "Не працаваць па ru": Carberp (выкралі каля паўтара мільярда рублёў з рахункаў расійскіх банкаў), Anunak (выкралі больш за мільярд рублёў з рахункаў расійскіх банкаў), Paunch (стваралі платформы для нападаў, праз якія праходзілі да паловы заражэнняў па ўсім свеце) і гэтак далей. Даходы такіх груповак супастаўныя з заробкамі гандляроў зброяй, а складаюцца ў іх дзясяткі людзей апроч саміх хакераў - ахоўнікі, кіроўцы, абнашчыкі, уладальнікі сайтаў, на якіх з'яўляюцца новыя эксплойты, і гэтак далей.
Крыніца: habr.com