Úryvek z knihy „Invaze. Stručná historie ruských hackerů"
V květnu tohoto roku v nakladatelství Individuum novinář Daniil Turovský „Invaze. Stručná historie ruských hackerů." Obsahuje příběhy z temné stránky ruského IT průmyslu - o chlapech, kteří se zamilovali do počítačů a naučili se nejen programovat, ale také okrádat lidi. Kniha se vyvíjí, stejně jako fenomén samotný – od chuligánství a fór pro teenagery až po operace činné v trestním řízení a mezinárodní skandály.
Daniel sbíral materiály několik let, nějaké příběhy , za převyprávění Danielových článků získal Andrew Kramer z New York Times v roce 2017 Pulitzerovu cenu.
Ale hackování, jako každý zločin, je příliš uzavřené téma. Skutečné příběhy se předávají pouze ústním podáním mezi lidmi. A kniha zanechává dojem šíleně kuriózní neúplnosti – jako by se každý její hrdina dal sestavit do třídílné knihy „jak to doopravdy bylo“.
Se svolením vydavatele zveřejňujeme krátký úryvek o skupině Lurk, která v letech 2015-16 vykrádala ruské banky.
V létě 2015 vytvořila ruská centrální banka Fincert, centrum pro sledování a reakci na počítačové incidenty v úvěrovém a finančním sektoru. Prostřednictvím něj si banky vyměňují informace o počítačových útocích, analyzují je a dostávají doporučení k ochraně od zpravodajských agentur. Existuje mnoho takových útoků: Sberbank v červnu 2016 ztráty ruské ekonomiky z kybernetické kriminality dosáhly 600 miliard rublů - ve stejné době banka získala dceřinou společnost Bizon, která se zabývá informační bezpečností podniku.
V první výsledky práce Fincertu (od října 2015 do března 2016) popisují 21 cílených útoků na bankovní infrastrukturu; V důsledku těchto událostí bylo zahájeno 12 trestních řízení. Většina těchto útoků byla dílem jedné skupiny, která byla pojmenována Lurk na počest stejnojmenného viru vyvinutého hackery: s jeho pomocí byly ukradeny peníze z komerčních podniků a bank.
Po členech skupiny pátrali od roku 2011 policisté a specialisté na kybernetickou bezpečnost. Pátrání bylo dlouhou dobu neúspěšné – do roku 2016 skupina ukradla z ruských bank asi tři miliardy rublů, více než kterýkoli jiný hackeři.
Virus Lurk se lišil od těch, s nimiž se vyšetřovatelé setkali předtím. Když byl program spuštěn v laboratoři na testování, neudělal nic (proto se mu říkalo Lurk - z anglického "to hide"). Později že Lurk je navržen jako modulární systém: program postupně načítá další bloky s různou funkčností – od zachycení znaků zadaných na klávesnici, přihlašovacích údajů a hesel až po možnost nahrávat video stream z obrazovky infikovaného počítače.
K šíření viru se skupina nabourala na webové stránky navštěvované zaměstnanci bank: od online médií (například RIA Novosti a Gazeta.ru) až po účetní fóra. Hackeři zneužili zranitelnost v systému pro výměnu reklamních bannerů a šířili přes ně malware. Na některých stránkách hackeři zveřejnili odkaz na virus jen krátce: na fóru jednoho z účetních časopisů se objevil ve všední dny v poledne na dvě hodiny, ale i během této doby našel Lurk několik vhodných obětí.
Kliknutím na banner se uživatel dostal na stránku s exploity, načež se začaly na napadeném počítači shromažďovat informace – hackery zajímal především program pro vzdálené bankovnictví. Údaje v bankovních platebních příkazech byly nahrazeny požadovanými a byly zasílány neautorizované převody na účty společností sdružených ve skupině. Podle Sergeje Golovanova z Kaspersky Lab obvykle v takových případech skupiny využívají fiktivní společnosti, „které jsou stejné jako převody a vyplácení peněz“: přijaté peníze se tam proplácejí, dávají do tašek a nechávají záložky v městských parcích, kam hackeři berou jim . Členové skupiny své činy pilně skrývali: šifrovali veškerou každodenní korespondenci a registrovali domény s falešnými uživateli. „Útočníci používají trojité VPN, Tor, tajné chaty, ale problém je v tom, že i dobře fungující mechanismus selže,“ vysvětluje Golovanov. - Buď vypadne VPN, pak se ukáže, že tajný chat není tak tajný, pak člověk místo volání přes Telegram zavolá jednoduše z telefonu. To je lidský faktor. A když už roky hromadíte databázi, musíte takové nehody hledat. Poté mohou orgány činné v trestním řízení kontaktovat poskytovatele, aby zjistili, kdo a v jakém čase navštívil takovou a takovou IP adresu. A pak je případ postaven."
Zadržení hackerů z Lurk jako z akčního filmu. Zaměstnanci ministerstva pro mimořádné situace odřízli zámky ve venkovských domech a bytech hackerů v různých částech Jekatěrinburgu, načež důstojníci FSB vtrhli do křiku, popadli hackery, hodili je na podlahu a prohledali prostory. Poté byli podezřelí nasazeni do autobusu, odvezeni na letiště, prošli se po ranveji a nastoupili do nákladního letadla, které odstartovalo do Moskvy.
Auta byla nalezena v garážích hackerů - drahé modely Audi, Cadillac a Mercedes. Byly také objeveny hodinky pokryté 272 diamanty. šperky v hodnotě 12 milionů rublů a zbraně. Celkem policisté provedli asi 80 prohlídek v 15 krajích a zadrželi asi 50 lidí.
Zejména byli zatčeni všichni techničtí specialisté skupiny. Ruslan Stoyanov, zaměstnanec Kaspersky Lab, který se podílel na vyšetřování zločinů Lurk spolu se zpravodajskými službami, uvedl, že vedení hledalo mnoho z nich na běžných stránkách pro nábor personálu pro práci na dálku. Inzeráty neříkaly nic o tom, že by práce byla nelegální a mzda u Lurka byla nabízena nad tržní a bylo možné pracovat z domova.
„Každé ráno, kromě víkendů, v různých částech Ruska a Ukrajiny jednotlivci sedli ke svým počítačům a začali pracovat,“ popsal Stojanov. "Programátoři vyladili funkce další verze [viru], testeři to zkontrolovali, pak osoba odpovědná za botnet vše nahrála na příkazový server, načež proběhly automatické aktualizace na počítačích botů."
Projednávání případu skupiny u soudu začalo na podzim roku 2017 a pokračovalo na začátku roku 2019 – kvůli objemu případu, který obsahuje asi šest set svazků. Hacker právník skrývá své jméno že žádný z podezřelých by se s vyšetřováním nezabýval, ale někteří část obvinění přiznali. „Naši klienti pracovali na vývoji různých částí viru Lurk, ale mnozí si jednoduše neuvědomovali, že jde o trojského koně,“ vysvětlil. "Někdo vytvořil část algoritmů, které by mohly úspěšně fungovat ve vyhledávačích."
Případ jednoho z hackerů skupiny byl předložen k samostatnému řízení a dostal 5 let, včetně hackování sítě letiště Jekatěrinburg.
V posledních desetiletích se speciálním službám v Rusku podařilo porazit většinu velkých hackerských skupin, které porušily hlavní pravidlo - „Nepracujte na ru“: Carberp (ukradl asi jeden a půl miliardy rublů z účtů ruských bank), Anunak (ukradl více než miliardu rublů z účtů ruských bank), Paunch (vytvořili platformy pro útoky, kterými prošla až polovina infekcí celosvětově) a tak dále. Příjmy takových skupin jsou srovnatelné s výdělky obchodníků se zbraněmi a kromě samotných hackerů je tvoří desítky lidí – ochranka, řidiči, pokladní, majitelé stránek, kde se objevují nové exploity a tak dále.
Zdroj: www.habr.com