Dyfyniad o'r llyfr “Invasion. Hanes Byr Hacwyr Rwsiaidd"
Ym mis Mai eleni yn y tŷ cyhoeddi Individuum newyddiadurwr Daniil Turovsky “Invasion. Hanes Byr Hacwyr Rwsiaidd." Mae'n cynnwys straeon o ochr dywyll diwydiant TG Rwsia - am fechgyn sydd, ar ôl cwympo mewn cariad â chyfrifiaduron, wedi dysgu nid yn unig i raglennu, ond i ddwyn pobl. Mae'r llyfr yn datblygu, fel y ffenomen ei hun - o hwliganiaeth yn eu harddegau a phartïon fforwm i weithrediadau gorfodi'r gyfraith a sgandalau rhyngwladol.
Bu Daniel yn casglu defnyddiau am nifer o flynyddoedd, rhai straeon , am ei ailadroddiadau o erthyglau Daniel, derbyniodd Andrew Kramer o'r New York Times Wobr Pulitzer yn 2017.
Ond mae hacio, fel unrhyw drosedd, yn bwnc rhy gaeedig. Mae straeon go iawn yn cael eu trosglwyddo ar lafar yn unig rhwng pobl. Ac mae’r llyfr yn gadael yr argraff o anghyflawnder gwallgof o chwilfrydig - fel pe bai pob un o’i arwyr yn gallu cael eu crynhoi mewn llyfr tair cyfrol o “sut yr oedd hi mewn gwirionedd.”
Gyda chaniatâd y cyhoeddwr, rydym yn cyhoeddi dyfyniad byr am grŵp Lurk, a ysbeiliodd banciau Rwsia yn 2015-16.
Yn ystod haf 2015, creodd Banc Canolog Rwsia Fincert, canolfan ar gyfer monitro ac ymateb i ddigwyddiadau cyfrifiadurol yn y sector credyd ac ariannol. Trwyddo, mae banciau'n cyfnewid gwybodaeth am ymosodiadau cyfrifiadurol, yn eu dadansoddi ac yn derbyn argymhellion ar amddiffyniad gan asiantaethau cudd-wybodaeth. Mae yna lawer o ymosodiadau o'r fath: Sberbank ym mis Mehefin 2016 colledion economi Rwsia o seiberdroseddu oedd 600 biliwn rubles - ar yr un pryd cafodd y banc is-gwmni, Bizon, sy'n delio â diogelwch gwybodaeth y fenter.
Yn y cyntaf mae canlyniadau gwaith Fincert (o fis Hydref 2015 i fis Mawrth 2016) yn disgrifio 21 o ymosodiadau wedi’u targedu ar seilwaith banciau; O ganlyniad i'r digwyddiadau hyn, cychwynnwyd 12 achos troseddol. Roedd y rhan fwyaf o'r ymosodiadau hyn yn waith un grŵp, a enwyd yn Lurk er anrhydedd i'r firws o'r un enw, a ddatblygwyd gan hacwyr: gyda'i help, cafodd arian ei ddwyn o fentrau masnachol a banciau.
Mae'r heddlu ac arbenigwyr seiberddiogelwch wedi bod yn chwilio am aelodau o'r grŵp ers 2011. Am gyfnod hir, bu'r chwiliad yn aflwyddiannus - erbyn 2016, fe wnaeth y grŵp ddwyn tua thri biliwn o rubles o fanciau Rwsia, yn fwy nag unrhyw hacwyr eraill.
Roedd firws Lurk yn wahanol i'r rhai yr oedd ymchwilwyr wedi dod ar eu traws o'r blaen. Pan gafodd y rhaglen ei rhedeg yn y labordy ar gyfer profi, ni wnaeth unrhyw beth (dyna pam y cafodd ei alw'n Lurk - o'r Saesneg "to hide"). Yn ddiweddarach bod Lurk wedi'i gynllunio fel system fodiwlaidd: mae'r rhaglen yn raddol yn llwytho blociau ychwanegol gyda swyddogaethau amrywiol - o ryng-gipio nodau a gofnodwyd ar y bysellfwrdd, mewngofnodi a chyfrineiriau i'r gallu i recordio ffrwd fideo o sgrin cyfrifiadur heintiedig.
Er mwyn lledaenu'r firws, darniodd y grŵp wefannau y mae gweithwyr banc yn ymweld â nhw: o gyfryngau ar-lein (er enghraifft, RIA Novosti a Gazeta.ru) i fforymau cyfrifyddu. Manteisiodd hacwyr ar fregusrwydd yn y system ar gyfer cyfnewid baneri hysbysebu a dosbarthu malware trwyddynt. Ar rai safleoedd, dim ond yn fyr y postiodd hacwyr ddolen i'r firws: ar fforwm un o'r cylchgronau cyfrifo, ymddangosodd yn ystod yr wythnos amser cinio am ddwy awr, ond hyd yn oed yn ystod yr amser hwn, canfu Lurk nifer o ddioddefwyr addas.
Trwy glicio ar y faner, aethpwyd â'r defnyddiwr i dudalen gyda campau, ac ar ôl hynny dechreuwyd casglu gwybodaeth ar y cyfrifiadur yr ymosodwyd arno - roedd gan yr hacwyr ddiddordeb yn bennaf mewn rhaglen ar gyfer bancio o bell. Disodlwyd y manylion mewn gorchmynion talu banc gan y rhai gofynnol, ac anfonwyd trosglwyddiadau anawdurdodedig i gyfrifon cwmnïau sy'n gysylltiedig â'r grŵp. Yn ôl Sergei Golovanov o Kaspersky Lab, fel arfer mewn achosion o'r fath, mae grwpiau'n defnyddio cwmnïau cregyn, "sydd yr un fath â throsglwyddo ac arian parod": mae'r arian a dderbynnir yn cael ei gyfnewid yno, ei roi mewn bagiau a gadael nodau tudalen mewn parciau dinas, lle mae hacwyr yn cymryd nhw. Cuddiodd aelodau'r grŵp eu gweithredoedd yn ddiwyd: fe wnaethant amgryptio'r holl ohebiaeth ddyddiol a pharthau cofrestredig gyda defnyddwyr ffug. “Mae ymosodwyr yn defnyddio VPN triphlyg, Tor, sgyrsiau cyfrinachol, ond y broblem yw bod hyd yn oed mecanwaith sy’n gweithredu’n dda yn methu,” esboniodd Golovanov. - Naill ai mae'r VPN yn cwympo i ffwrdd, yna mae'r sgwrs gyfrinachol yn troi allan i fod ddim mor gyfrinachol, yna un, yn lle galw trwy Telegram, a elwir yn syml o'r ffôn. Dyma'r ffactor dynol. A phan fyddwch wedi bod yn cronni cronfa ddata ers blynyddoedd, mae angen ichi chwilio am ddamweiniau o'r fath. Ar ôl hyn, gall gorfodi'r gyfraith gysylltu â darparwyr i ddarganfod pwy ymwelodd â chyfeiriad IP o'r fath a chyfeiriad IP o'r fath ac ar ba amser. Ac yna mae'r achos yn cael ei adeiladu. ”
Cadw hacwyr o Lurk fel ffilm actol. Torrodd gweithwyr y Weinyddiaeth Sefyllfaoedd Brys y cloeon mewn plastai gwledig a fflatiau hacwyr mewn gwahanol rannau o Yekaterinburg, ac ar ôl hynny fe ffrwydrodd swyddogion yr FSB yn sgrechian, cydio yn yr hacwyr a'u taflu ar y llawr, a chwilio'r adeilad. Ar ôl hyn, cafodd y rhai a ddrwgdybir eu rhoi ar fws, eu cludo i'r maes awyr, cerdded ar hyd y rhedfa a'u cludo ar awyren cargo, a aeth i Moscow.
Cafwyd hyd i geir mewn garejys a oedd yn eiddo i hacwyr - modelau drud Audi, Cadillac, a Mercedes. Darganfuwyd hefyd oriawr gyda 272 o ddiamwntau ynddi. gemwaith gwerth 12 miliwn rubles ac arfau. Cynhaliodd yr heddlu tua 80 o chwiliadau mewn 15 rhanbarth a chadw tua 50 o bobl.
Yn benodol, arestiwyd holl arbenigwyr technegol y grŵp. Dywedodd Ruslan Stoyanov, un o weithwyr Kaspersky Lab a fu’n ymwneud ag ymchwilio i droseddau Lurk ynghyd â’r gwasanaethau cudd-wybodaeth, fod y rheolwyr yn chwilio am lawer ohonynt ar safleoedd rheolaidd ar gyfer recriwtio personél ar gyfer gwaith o bell. Nid oedd yr hysbysebion yn dweud dim am y ffaith y byddai’r gwaith yn anghyfreithlon, a’r cyflog yn Lurk yn cael ei gynnig uwchlaw’r farchnad un, ac roedd modd gweithio o gartref.
“Bob bore, ac eithrio penwythnosau, mewn gwahanol rannau o Rwsia a’r Wcrain, eisteddodd unigolion i lawr wrth eu cyfrifiaduron a dechrau gweithio,” disgrifiodd Stoyanov. “Fe wnaeth rhaglenwyr newid swyddogaethau’r fersiwn nesaf [o’r firws], fe wnaeth profwyr ei wirio, yna uwchlwythodd y person sy’n gyfrifol am y botnet bopeth i’r gweinydd gorchymyn, ac ar ôl hynny cynhaliwyd diweddariadau awtomatig ar y cyfrifiaduron bot.”
Dechreuwyd ystyried achos y grŵp yn y llys yng nghwymp 2017 a pharhaodd ar ddechrau 2019 - oherwydd maint yr achos, sy'n cynnwys tua chwe chant o gyfrolau. Haciwr cyfreithiwr yn cuddio ei enw na fyddai'r un o'r rhai a ddrwgdybir yn dod i gytundeb â'r ymchwiliad, ond cyfaddefodd rhai rhan o'r cyhuddiadau. “Gwnaeth ein cleientiaid waith yn datblygu gwahanol rannau o firws Lurk, ond nid oedd llawer yn ymwybodol mai pren Troea ydoedd,” esboniodd. “Fe wnaeth rhywun ran o’r algorithmau a allai weithio’n llwyddiannus mewn peiriannau chwilio.”
Daethpwyd ag achos un o hacwyr y grŵp i achos ar wahân, a derbyniodd 5 mlynedd, gan gynnwys am hacio rhwydwaith maes awyr Yekaterinburg.
Yn ystod y degawdau diwethaf yn Rwsia, llwyddodd y gwasanaethau arbennig i drechu mwyafrif y grwpiau hacwyr mawr a oedd yn torri'r prif reol - "Peidiwch â gweithio ar ru": Carberp (dwyn tua biliwn a hanner o rubles o gyfrifon banciau Rwsia), Anunak (dwyn mwy na biliwn o rubles o gyfrifon banciau Rwsia), Paunch (maent yn creu llwyfannau ar gyfer ymosodiadau y mae hyd at hanner yr heintiau ledled y byd yn mynd trwyddynt) ac yn y blaen. Mae incwm grwpiau o'r fath yn debyg i enillion gwerthwyr arfau, ac maent yn cynnwys dwsinau o bobl yn ogystal â'r hacwyr eu hunain - gwarchodwyr diogelwch, gyrwyr, arianwyr, perchnogion safleoedd lle mae campau newydd yn ymddangos, ac ati.
Ffynhonnell: hab.com