Fragment del llibre “Invasió. Una breu història dels hackers russos"
El maig d'enguany a l'editorial Individuum
Daniel va recollir materials durant diversos anys, algunes històries
Però la pirateria, com qualsevol crim, és un tema massa tancat. Les històries reals es transmeten només de boca en boca entre persones. I el llibre deixa la impressió d'una incompletitud increïblement curiosa, com si cadascun dels seus herois es pogués recopilar en un llibre de tres volums de "com va ser realment".
Amb el permís de l'editor, estem publicant un breu fragment sobre el grup Lurk, que va robar bancs russos el 2015-16.
L'estiu de 2015, el Banc Central de Rússia va crear Fincert, un centre de seguiment i resposta a incidències informàtiques en el sector financer i creditici. A través d'ell, els bancs intercanvien informació sobre atacs informàtics, els analitzen i reben recomanacions de protecció de les agències d'intel·ligència. Hi ha molts atacs d'aquest tipus: Sberbank el juny de 2016
En el primer
Els especialistes en policia i ciberseguretat busquen membres del grup des del 2011. Durant molt de temps, la recerca no va tenir èxit: el 2016, el grup va robar uns tres mil milions de rubles dels bancs russos, més que qualsevol altre pirata informàtic.
El virus Lurk era diferent dels que havien trobat els investigadors abans. Quan el programa es va executar al laboratori per fer proves, no va fer res (per això es va anomenar Lurk, de l'anglès "to hide"). Més tard
Per propagar el virus, el grup ha piratejat llocs web visitats pels empleats del banc: des de mitjans en línia (per exemple, RIA Novosti i Gazeta.ru) fins a fòrums de comptabilitat. Els pirates informàtics van explotar una vulnerabilitat del sistema per intercanviar banners publicitaris i distribuir programari maliciós a través d'ells. En alguns llocs, els pirates informàtics van publicar un enllaç al virus només breument: al fòrum d'una de les revistes de comptabilitat, va aparèixer els dies laborables a l'hora de dinar durant dues hores, però fins i tot durant aquest temps, Lurk va trobar diverses víctimes adequades.
En fer clic al bàner, l'usuari va ser portat a una pàgina amb exploits, després de la qual cosa es va començar a recopilar informació a l'ordinador atacat: els pirates informàtics estaven interessats principalment en un programa per a la banca remota. Es van substituir les dades de les ordres de pagament bancàries per les requerides i es van enviar transferències no autoritzades als comptes de les empreses associades al grup. Segons Sergei Golovanov de Kaspersky Lab, normalment en aquests casos, els grups utilitzen companyies ficticis, "que són el mateix que transferir i cobrar": els diners rebuts s'efectuen allà, es posen en bosses i deixen punts d'interès als parcs de la ciutat, on els pirates informàtics s'hi enduen. ells. Els membres del grup van amagar amb diligència les seves accions: van xifrar tota la correspondència diària i van registrar dominis amb usuaris falsos. "Els atacants utilitzen triple VPN, Tor, xats secrets, però el problema és que fins i tot un mecanisme que funciona bé falla", explica Golovanov. - O la VPN cau, aleshores el xat secret resulta que no és tan secret, després un, en lloc de trucar a través de Telegram, truca simplement des del telèfon. Aquest és el factor humà. I quan fa anys que acumuleu una base de dades, heu de buscar aquests accidents. Després d'això, les forces de l'ordre poden contactar amb els proveïdors per esbrinar qui ha visitat tal o tal adreça IP i a quina hora. I després es construeix el cas".
Detenció de pirates informàtics de Lurk
Es van trobar cotxes en garatges de pirates informàtics: models cars Audi, Cadillac i Mercedes. També es va descobrir un rellotge incrustat amb 272 diamants.
En concret, tots els tècnics especialistes del grup van ser detinguts. Ruslan Stoyanov, un empleat de Kaspersky Lab que va participar en la investigació dels crims de Lurk juntament amb els serveis d'intel·ligència, va dir que la direcció va buscar molts d'ells en llocs habituals per reclutar personal per al treball remot. Els anuncis no deien res sobre el fet que el treball seria il·legal, i el sou a Lurk s'oferia per sobre del de mercat, i era possible treballar des de casa.
"Tots els matins, excepte els caps de setmana, a diferents parts de Rússia i Ucraïna, les persones s'asseien als seus ordinadors i van començar a treballar", va descriure Stoyanov. "Els programadors van ajustar les funcions de la següent versió [del virus], els provadors la van comprovar, després la persona responsable de la botnet ho va penjar tot al servidor d'ordres, després de la qual cosa es van produir actualitzacions automàtiques als ordinadors del bot".
La consideració del cas del grup als jutjats va començar a la tardor del 2017 i va continuar a principis del 2019, a causa del volum del cas, que conté uns sis-cents volums. Advocat pirata informàtic que amaga el seu nom
El cas d'un dels pirates informàtics del grup es va presentar a un procediment separat i va rebre 5 anys, inclòs per piratejar la xarxa de l'aeroport de Iekaterinburg.
En les últimes dècades a Rússia, els serveis especials van aconseguir derrotar la majoria dels grans grups de pirates informàtics que van violar la regla principal: "No treballeu a ru": Carberp (va robar uns mil milions i mig de rubles dels comptes dels bancs russos), Anunak (va robar més de mil milions de rubles dels comptes dels bancs russos), Paunch (van crear plataformes per a atacs per les quals passaven fins a la meitat de les infeccions a tot el món), etc. Els ingressos d'aquests grups són comparables als ingressos dels traficants d'armes, i estan formats per desenes de persones a més dels mateixos pirates informàtics: guàrdies de seguretat, conductors, caixers, propietaris de llocs on apareixen noves explotacions, etc.
Font: www.habr.com