Fragment del llibre “Invasió. Una breu història dels hackers russos"
El maig d'enguany a l'editorial Individuum el periodista Daniil Turovsky “Invasió. Una breu història dels hackers russos". Conté històries del costat fosc de la indústria informàtica russa: sobre nois que, havent-se enamorat dels ordinadors, van aprendre no només a programar, sinó a robar la gent. El llibre es desenvolupa, com el fenomen en si mateix, des del gamberro d'adolescents i les festes de fòrum fins a les operacions d'aplicació de la llei i els escàndols internacionals.
Daniel va recollir materials durant diversos anys, algunes històries , pels seus relats dels articles de Daniel, Andrew Kramer del New York Times va rebre un premi Pulitzer el 2017.
Però la pirateria, com qualsevol crim, és un tema massa tancat. Les històries reals es transmeten només de boca en boca entre persones. I el llibre deixa la impressió d'una incompletitud increïblement curiosa, com si cadascun dels seus herois es pogués recopilar en un llibre de tres volums de "com va ser realment".
Amb el permís de l'editor, estem publicant un breu fragment sobre el grup Lurk, que va robar bancs russos el 2015-16.
L'estiu de 2015, el Banc Central de Rússia va crear Fincert, un centre de seguiment i resposta a incidències informàtiques en el sector financer i creditici. A través d'ell, els bancs intercanvien informació sobre atacs informàtics, els analitzen i reben recomanacions de protecció de les agències d'intel·ligència. Hi ha molts atacs d'aquest tipus: Sberbank el juny de 2016 Les pèrdues de l'economia russa per ciberdelinqüència van ascendir a 600 milions de rubles; al mateix temps, el banc va adquirir una filial, Bizon, que s'ocupa de la seguretat de la informació de l'empresa.
En el primer els resultats del treball de Fincert (d'octubre de 2015 a març de 2016) descriuen 21 atacs dirigits a la infraestructura bancària; Arran d'aquests fets es van iniciar 12 causes penals. La majoria d'aquests atacs van ser obra d'un grup, que es va anomenar Lurk en honor al virus del mateix nom, desenvolupat per pirates informàtics: amb la seva ajuda, es van robar diners a empreses comercials i bancs.
Els especialistes en policia i ciberseguretat busquen membres del grup des del 2011. Durant molt de temps, la recerca no va tenir èxit: el 2016, el grup va robar uns tres mil milions de rubles dels bancs russos, més que qualsevol altre pirata informàtic.
El virus Lurk era diferent dels que havien trobat els investigadors abans. Quan el programa es va executar al laboratori per fer proves, no va fer res (per això es va anomenar Lurk, de l'anglès "to hide"). Més tard que Lurk està dissenyat com un sistema modular: el programa carrega gradualment blocs addicionals amb diverses funcionalitats: des d'interceptar caràcters introduïts al teclat, inicis de sessió i contrasenyes fins a la possibilitat de gravar un flux de vídeo des de la pantalla d'un ordinador infectat.
Per propagar el virus, el grup ha piratejat llocs web visitats pels empleats del banc: des de mitjans en línia (per exemple, RIA Novosti i Gazeta.ru) fins a fòrums de comptabilitat. Els pirates informàtics van explotar una vulnerabilitat del sistema per intercanviar banners publicitaris i distribuir programari maliciós a través d'ells. En alguns llocs, els pirates informàtics van publicar un enllaç al virus només breument: al fòrum d'una de les revistes de comptabilitat, va aparèixer els dies laborables a l'hora de dinar durant dues hores, però fins i tot durant aquest temps, Lurk va trobar diverses víctimes adequades.
En fer clic al bàner, l'usuari va ser portat a una pàgina amb exploits, després de la qual cosa es va començar a recopilar informació a l'ordinador atacat: els pirates informàtics estaven interessats principalment en un programa per a la banca remota. Es van substituir les dades de les ordres de pagament bancàries per les requerides i es van enviar transferències no autoritzades als comptes de les empreses associades al grup. Segons Sergei Golovanov de Kaspersky Lab, normalment en aquests casos, els grups utilitzen companyies ficticis, "que són el mateix que transferir i cobrar": els diners rebuts s'efectuen allà, es posen en bosses i deixen punts d'interès als parcs de la ciutat, on els pirates informàtics s'hi enduen. ells. Els membres del grup van amagar amb diligència les seves accions: van xifrar tota la correspondència diària i van registrar dominis amb usuaris falsos. "Els atacants utilitzen triple VPN, Tor, xats secrets, però el problema és que fins i tot un mecanisme que funciona bé falla", explica Golovanov. - O la VPN cau, aleshores el xat secret resulta que no és tan secret, després un, en lloc de trucar a través de Telegram, truca simplement des del telèfon. Aquest és el factor humà. I quan fa anys que acumuleu una base de dades, heu de buscar aquests accidents. Després d'això, les forces de l'ordre poden contactar amb els proveïdors per esbrinar qui ha visitat tal o tal adreça IP i a quina hora. I després es construeix el cas".
Detenció de pirates informàtics de Lurk com una pel·lícula d'acció. Empleats del Ministeri de Situacions d'Emergència van tallar els panys de cases de camp i apartaments de pirates informàtics a diferents parts de Iekaterinburg, després dels quals els agents de l'FSB van esclatar a crits, van agafar els pirates informàtics i els van tirar a terra i van escorcollar el local. Després d'això, els sospitosos van ser pujats a un autobús, portats a l'aeroport, van caminar per la pista i van pujar a un avió de càrrega, que va enlairar cap a Moscou.
Es van trobar cotxes en garatges de pirates informàtics: models cars Audi, Cadillac i Mercedes. També es va descobrir un rellotge incrustat amb 272 diamants. joies per valor de 12 milions de rubles i armes. En total, la policia va fer uns 80 escorcolls a 15 regions i va detenir unes 50 persones.
En concret, tots els tècnics especialistes del grup van ser detinguts. Ruslan Stoyanov, un empleat de Kaspersky Lab que va participar en la investigació dels crims de Lurk juntament amb els serveis d'intel·ligència, va dir que la direcció va buscar molts d'ells en llocs habituals per reclutar personal per al treball remot. Els anuncis no deien res sobre el fet que el treball seria il·legal, i el sou a Lurk s'oferia per sobre del de mercat, i era possible treballar des de casa.
"Tots els matins, excepte els caps de setmana, a diferents parts de Rússia i Ucraïna, les persones s'asseien als seus ordinadors i van començar a treballar", va descriure Stoyanov. "Els programadors van ajustar les funcions de la següent versió [del virus], els provadors la van comprovar, després la persona responsable de la botnet ho va penjar tot al servidor d'ordres, després de la qual cosa es van produir actualitzacions automàtiques als ordinadors del bot".
La consideració del cas del grup als jutjats va començar a la tardor del 2017 i va continuar a principis del 2019, a causa del volum del cas, que conté uns sis-cents volums. Advocat pirata informàtic que amaga el seu nom que cap dels sospitosos faria un acord amb la investigació, però alguns van admetre part dels càrrecs. "Els nostres clients van fer feina desenvolupant diverses parts del virus Lurk, però molts simplement no eren conscients que es tractava d'un troià", va explicar. "Algú va formar part dels algorismes que podrien funcionar amb èxit als motors de cerca".
El cas d'un dels pirates informàtics del grup es va presentar a un procediment separat i va rebre 5 anys, inclòs per piratejar la xarxa de l'aeroport de Iekaterinburg.
En les últimes dècades a Rússia, els serveis especials van aconseguir derrotar la majoria dels grans grups de pirates informàtics que van violar la regla principal: "No treballeu a ru": Carberp (va robar uns mil milions i mig de rubles dels comptes dels bancs russos), Anunak (va robar més de mil milions de rubles dels comptes dels bancs russos), Paunch (van crear plataformes per a atacs per les quals passaven fins a la meitat de les infeccions a tot el món), etc. Els ingressos d'aquests grups són comparables als ingressos dels traficants d'armes, i estan formats per desenes de persones a més dels mateixos pirates informàtics: guàrdies de seguretat, conductors, caixers, propietaris de llocs on apareixen noves explotacions, etc.
Font: www.habr.com