Odlomak iz knjige „Invazija. Kratka istorija ruskih hakera"
U maju ove godine u izdavačkoj kući Individuum novinar Daniil Turovsky “Invazija. Kratka istorija ruskih hakera." Sadrži priče sa mračne strane ruske IT industrije - o momcima koji su, zaljubivši se u kompjutere, naučili ne samo da programiraju, već da pljačkaju ljude. Knjiga se razvija, kao i sam fenomen - od tinejdžerskog huliganizma i forumskih partija do operacija za provođenje zakona i međunarodnih skandala.
Daniel je nekoliko godina prikupljao materijale, neke priče , za svoje prepričavanje Danielovih članaka, Andrew Kramer iz New York Timesa dobio je Pulitzerovu nagradu 2017.
Ali hakiranje, kao i svaki zločin, previše je zatvorena tema. Prave priče se prenose samo usmenom predajom između ljudi. I knjiga ostavlja utisak ludo neobične nedovršenosti – kao da bi svaki njen junak mogao biti sastavljen u trotomnu knjigu „kako je zaista bilo“.
Uz dozvolu izdavača, objavljujemo kratak izvod o grupi Lurk, koja je opljačkala ruske banke 2015-16.
Ruska centralna banka je u ljeto 2015. godine stvorila Fincert, centar za praćenje i reagovanje na kompjuterske incidente u kreditnom i finansijskom sektoru. Preko njega banke razmjenjuju informacije o kompjuterskim napadima, analiziraju ih i dobijaju preporuke o zaštiti od obavještajnih agencija. Mnogo je takvih napada: Sberbank u junu 2016 gubici ruske privrede od sajber kriminala iznosili su 600 milijardi rubalja - u isto vrijeme banka je kupila podružnicu Bizon koja se bavi informatičkom bezbednošću preduzeća.
U prvom rezultati rada Fincerta (od oktobra 2015. do marta 2016.) opisuju 21 ciljani napad na infrastrukturu banke; Kao rezultat ovih događaja, pokrenuto je 12 krivičnih predmeta. Većina ovih napada djelo je jedne grupe, koja je nazvana Lurk u čast istoimenog virusa koji su razvili hakeri: uz njegovu pomoć ukraden je novac iz komercijalnih preduzeća i banaka.
Policija i stručnjaci za sajber bezbjednost tragaju za članovima grupe od 2011. godine. Dugo vremena potraga je bila neuspješna - do 2016. grupa je ukrala oko tri milijarde rubalja iz ruskih banaka, više nego bilo koji drugi haker.
Virus Lurk bio je drugačiji od onih s kojima su se istražitelji ranije susreli. Kada je program pokrenut u laboratoriji radi testiranja, nije radio ništa (zato se i zvao Lurk - od engleskog "sakriti"). Kasnije da je Lurk dizajniran kao modularni sistem: program postepeno učitava dodatne blokove sa različitim funkcionalnostima - od presretanja znakova unesenih na tastaturi, prijava i lozinki do mogućnosti snimanja video toka sa ekrana zaraženog računara.
Kako bi širila virus, grupa je hakovala web stranice koje posjećuju zaposleni u bankama: od onlajn medija (na primjer, RIA Novosti i Gazeta.ru) do računovodstvenih foruma. Hakeri su iskoristili ranjivost u sistemu za razmjenu reklamnih banera i preko njih distribuirali zlonamjerni softver. Na nekim sajtovima hakeri su samo nakratko postavili link do virusa: na forumu jednog od računovodstvenih časopisa, on se pojavljivao radnim danima u vreme ručka po dva sata, ali čak i za to vreme Lurk je pronašao nekoliko odgovarajućih žrtava.
Klikom na baner korisnik je prebačen na stranicu sa eksploatacijom, nakon čega su se na napadnutom računaru počele prikupljati informacije – hakere je uglavnom zanimao program za daljinsko bankarstvo. Podaci u bankovnim nalozima za plaćanje zamijenjeni su potrebnim, a neovlašteni transferi su poslani na račune kompanija povezanih s grupom. Prema Sergeju Golovanovu iz Kaspersky Lab-a, obično u takvim slučajevima grupe koriste fiktivne kompanije, „što je isto kao i prenošenje i unovčavanje“: primljeni novac se tamo unovči, stavi u vreće i ostavi u obeleživačima u gradskim parkovima, gde hakeri uzimaju njih. Članovi grupe marljivo su skrivali svoje postupke: šifrirali su svu dnevnu prepisku i registrirali domene kod lažnih korisnika. „Napadači koriste trostruki VPN, Tor, tajne razgovore, ali problem je što čak i mehanizam koji dobro funkcioniše“, objašnjava Golovanov. - Ili padne VPN, onda se tajni chat ispostavi da nije toliko tajan, pa se jedan, umjesto da zove preko Telegrama, zove jednostavno sa telefona. Ovo je ljudski faktor. A kada godinama gomilate bazu podataka, morate tražiti takve nezgode. Nakon toga, organi za provođenje zakona mogu kontaktirati provajdere kako bi saznali ko je posjetio tu i takvu IP adresu i u koje vrijeme. A onda je slučaj izgrađen.”
Pritvaranje hakera iz Lurka kao akcioni film. Zaposleni u Ministarstvu za vanredne situacije odsjekli su brave u seoskim kućama i stanovima hakera u različitim dijelovima Jekaterinburga, nakon čega su službenici FSB-a urlali, zgrabili hakere i bacili ih na pod, te pretražili prostorije. Nakon toga, osumnjičeni su ubačeni u autobus, odvezeni na aerodrom, prošetali uz pistu i odvedeni u teretni avion, koji je poleteo za Moskvu.
U hakerskim garažama pronađeni su automobili - skupi modeli Audija, Kadilaka i Mercedesa. Pronađen je i sat optočen sa 272 dijamanta. nakit od 12 miliona rubalja i oružje. Policija je ukupno izvršila oko 80 pretresa u 15 regija i privela oko 50 osoba.
Konkretno, uhapšeni su svi tehnički stručnjaci grupe. Ruslan Stojanov, zaposlenik Kaspersky Lab-a koji je zajedno sa obavještajnim službama bio uključen u istragu zločina Lurka, rekao je da je menadžment mnoge od njih tražio na redovnim sajtovima za regrutaciju osoblja za rad na daljinu. U oglasima se ništa ne govori o tome da će posao biti na crno, a plata u Lurku je ponuđena iznad tržišne, a moglo se raditi i od kuće.
„Svako jutro, osim vikenda, u različitim delovima Rusije i Ukrajine, pojedinci su seli za svoje kompjutere i počeli da rade“, opisao je Stojanov. “Programeri su podesili funkcije sljedeće verzije [virusa], testeri su je provjerili, zatim je osoba odgovorna za botnet sve učitala na komandni server, nakon čega je došlo do automatskog ažuriranja na bot računarima.”
Razmatranje predmeta grupe na sudu počelo je u jesen 2017. i nastavljeno početkom 2019. godine - zbog obima predmeta koji sadrži oko šest stotina tomova. Hakerski advokat krije svoje ime da se niko od osumnjičenih neće nagoditi sa istragom, ali su neki priznali dio optužbi. “Naši klijenti su radili na razvoju različitih dijelova virusa Lurk, ali mnogi jednostavno nisu bili svjesni da je u pitanju trojanac,” objasnio je. “Neko je napravio dio algoritama koji bi mogli uspješno raditi u pretraživačima.”
Slučaj jednog od hakera grupe doveden je u poseban postupak, a dobio je 5 godina, uključujući i hakovanje mreže aerodroma Jekaterinburg.
Posljednjih decenija u Rusiji specijalne službe uspjele su poraziti većinu velikih hakerskih grupa koje su prekršile glavno pravilo - "Ne radi na ru": Carberp (ukrao oko milijardu i pol rubalja sa računa ruskih banaka), Anunak (ukrao više od milijardu rubalja sa računa ruskih banaka), Paunch (stvorili su platforme za napade kroz koje je prolazilo do polovine zaraza širom svijeta) i tako dalje. Prihodi ovakvih grupa su uporedivi sa zaradom trgovaca oružjem, a čine ih i desetine ljudi pored samih hakera - zaštitara, vozača, blagajnika, vlasnika sajtova na kojima se pojavljuju novi eksploati itd.
izvor: www.habr.com