Dyfyniad o'r llyfr “Invasion. Hanes Byr Hacwyr Rwsiaidd"
Ym mis Mai eleni yn y tŷ cyhoeddi Individuum
Bu Daniel yn casglu defnyddiau am nifer o flynyddoedd, rhai straeon
Ond mae hacio, fel unrhyw drosedd, yn bwnc rhy gaeedig. Mae straeon go iawn yn cael eu trosglwyddo ar lafar yn unig rhwng pobl. Ac mae’r llyfr yn gadael yr argraff o anghyflawnder gwallgof o chwilfrydig - fel pe bai pob un o’i arwyr yn gallu cael eu crynhoi mewn llyfr tair cyfrol o “sut yr oedd hi mewn gwirionedd.”
Gyda chaniatâd y cyhoeddwr, rydym yn cyhoeddi dyfyniad byr am grŵp Lurk, a ysbeiliodd banciau Rwsia yn 2015-16.
Yn ystod haf 2015, creodd Banc Canolog Rwsia Fincert, canolfan ar gyfer monitro ac ymateb i ddigwyddiadau cyfrifiadurol yn y sector credyd ac ariannol. Trwyddo, mae banciau'n cyfnewid gwybodaeth am ymosodiadau cyfrifiadurol, yn eu dadansoddi ac yn derbyn argymhellion ar amddiffyniad gan asiantaethau cudd-wybodaeth. Mae yna lawer o ymosodiadau o'r fath: Sberbank ym mis Mehefin 2016
Yn y cyntaf
Mae'r heddlu ac arbenigwyr seiberddiogelwch wedi bod yn chwilio am aelodau o'r grŵp ers 2011. Am gyfnod hir, bu'r chwiliad yn aflwyddiannus - erbyn 2016, fe wnaeth y grŵp ddwyn tua thri biliwn o rubles o fanciau Rwsia, yn fwy nag unrhyw hacwyr eraill.
Roedd firws Lurk yn wahanol i'r rhai yr oedd ymchwilwyr wedi dod ar eu traws o'r blaen. Pan gafodd y rhaglen ei rhedeg yn y labordy ar gyfer profi, ni wnaeth unrhyw beth (dyna pam y cafodd ei alw'n Lurk - o'r Saesneg "to hide"). Yn ddiweddarach
Er mwyn lledaenu'r firws, darniodd y grŵp wefannau y mae gweithwyr banc yn ymweld â nhw: o gyfryngau ar-lein (er enghraifft, RIA Novosti a Gazeta.ru) i fforymau cyfrifyddu. Manteisiodd hacwyr ar fregusrwydd yn y system ar gyfer cyfnewid baneri hysbysebu a dosbarthu malware trwyddynt. Ar rai safleoedd, dim ond yn fyr y postiodd hacwyr ddolen i'r firws: ar fforwm un o'r cylchgronau cyfrifo, ymddangosodd yn ystod yr wythnos amser cinio am ddwy awr, ond hyd yn oed yn ystod yr amser hwn, canfu Lurk nifer o ddioddefwyr addas.
Trwy glicio ar y faner, aethpwyd â'r defnyddiwr i dudalen gyda campau, ac ar ôl hynny dechreuwyd casglu gwybodaeth ar y cyfrifiadur yr ymosodwyd arno - roedd gan yr hacwyr ddiddordeb yn bennaf mewn rhaglen ar gyfer bancio o bell. Disodlwyd y manylion mewn gorchmynion talu banc gan y rhai gofynnol, ac anfonwyd trosglwyddiadau anawdurdodedig i gyfrifon cwmnïau sy'n gysylltiedig â'r grŵp. Yn ôl Sergei Golovanov o Kaspersky Lab, fel arfer mewn achosion o'r fath, mae grwpiau'n defnyddio cwmnïau cregyn, "sydd yr un fath â throsglwyddo ac arian parod": mae'r arian a dderbynnir yn cael ei gyfnewid yno, ei roi mewn bagiau a gadael nodau tudalen mewn parciau dinas, lle mae hacwyr yn cymryd nhw. Cuddiodd aelodau'r grŵp eu gweithredoedd yn ddiwyd: fe wnaethant amgryptio'r holl ohebiaeth ddyddiol a pharthau cofrestredig gyda defnyddwyr ffug. “Mae ymosodwyr yn defnyddio VPN triphlyg, Tor, sgyrsiau cyfrinachol, ond y broblem yw bod hyd yn oed mecanwaith sy’n gweithredu’n dda yn methu,” esboniodd Golovanov. - Naill ai mae'r VPN yn cwympo i ffwrdd, yna mae'r sgwrs gyfrinachol yn troi allan i fod ddim mor gyfrinachol, yna un, yn lle galw trwy Telegram, a elwir yn syml o'r ffôn. Dyma'r ffactor dynol. A phan fyddwch wedi bod yn cronni cronfa ddata ers blynyddoedd, mae angen ichi chwilio am ddamweiniau o'r fath. Ar ôl hyn, gall gorfodi'r gyfraith gysylltu â darparwyr i ddarganfod pwy ymwelodd â chyfeiriad IP o'r fath a chyfeiriad IP o'r fath ac ar ba amser. Ac yna mae'r achos yn cael ei adeiladu. ”
Cadw hacwyr o Lurk
Cafwyd hyd i geir mewn garejys a oedd yn eiddo i hacwyr - modelau drud Audi, Cadillac, a Mercedes. Darganfuwyd hefyd oriawr gyda 272 o ddiamwntau ynddi.
Yn benodol, arestiwyd holl arbenigwyr technegol y grŵp. Dywedodd Ruslan Stoyanov, un o weithwyr Kaspersky Lab a fu’n ymwneud ag ymchwilio i droseddau Lurk ynghyd â’r gwasanaethau cudd-wybodaeth, fod y rheolwyr yn chwilio am lawer ohonynt ar safleoedd rheolaidd ar gyfer recriwtio personél ar gyfer gwaith o bell. Nid oedd yr hysbysebion yn dweud dim am y ffaith y byddai’r gwaith yn anghyfreithlon, a’r cyflog yn Lurk yn cael ei gynnig uwchlaw’r farchnad un, ac roedd modd gweithio o gartref.
“Bob bore, ac eithrio penwythnosau, mewn gwahanol rannau o Rwsia a’r Wcrain, eisteddodd unigolion i lawr wrth eu cyfrifiaduron a dechrau gweithio,” disgrifiodd Stoyanov. “Fe wnaeth rhaglenwyr newid swyddogaethau’r fersiwn nesaf [o’r firws], fe wnaeth profwyr ei wirio, yna uwchlwythodd y person sy’n gyfrifol am y botnet bopeth i’r gweinydd gorchymyn, ac ar ôl hynny cynhaliwyd diweddariadau awtomatig ar y cyfrifiaduron bot.”
Dechreuwyd ystyried achos y grŵp yn y llys yng nghwymp 2017 a pharhaodd ar ddechrau 2019 - oherwydd maint yr achos, sy'n cynnwys tua chwe chant o gyfrolau. Haciwr cyfreithiwr yn cuddio ei enw
Daethpwyd ag achos un o hacwyr y grŵp i achos ar wahân, a derbyniodd 5 mlynedd, gan gynnwys am hacio rhwydwaith maes awyr Yekaterinburg.
Yn ystod y degawdau diwethaf yn Rwsia, llwyddodd y gwasanaethau arbennig i drechu mwyafrif y grwpiau hacwyr mawr a oedd yn torri'r prif reol - "Peidiwch â gweithio ar ru": Carberp (dwyn tua biliwn a hanner o rubles o gyfrifon banciau Rwsia), Anunak (dwyn mwy na biliwn o rubles o gyfrifon banciau Rwsia), Paunch (maent yn creu llwyfannau ar gyfer ymosodiadau y mae hyd at hanner yr heintiau ledled y byd yn mynd trwyddynt) ac yn y blaen. Mae incwm grwpiau o'r fath yn debyg i enillion gwerthwyr arfau, ac maent yn cynnwys dwsinau o bobl yn ogystal â'r hacwyr eu hunain - gwarchodwyr diogelwch, gyrwyr, arianwyr, perchnogion safleoedd lle mae campau newydd yn ymddangos, ac ati.
Ffynhonnell: hab.com