Uddrag fra bogen “Invasion. En kort historie om russiske hackere"
I maj i år i forlaget Individuum
Daniel samlede materialer i flere år, nogle historier
Men hacking er ligesom enhver forbrydelse et for lukket emne. Virkelige historier videregives kun fra mund til mund mellem mennesker. Og bogen efterlader indtrykket af en sindssygt mærkelig ufuldstændighed - som om hver af dens helte kunne samles i en trebindsbog om "hvordan det virkelig var."
Med tilladelse fra forlaget udgiver vi et kort uddrag om Lurk-gruppen, som røvede russiske banker i 2015-16.
I sommeren 2015 oprettede den russiske centralbank Fincert, et center til overvågning og reaktion på computerhændelser i kredit- og finanssektoren. Gennem det udveksler banker information om computerangreb, analyserer dem og modtager anbefalinger om beskyttelse fra efterretningstjenester. Der er mange sådanne angreb: Sberbank i juni 2016
I den første
Politi og cybersikkerhedsspecialister har ledt efter medlemmer af gruppen siden 2011. I lang tid var søgningen mislykket - i 2016 stjal gruppen omkring tre milliarder rubler fra russiske banker, mere end nogen anden hackere.
Lurk-virussen var anderledes end dem, efterforskere havde mødt før. Da programmet blev kørt i laboratoriet til test, gjorde det ingenting (det var derfor det blev kaldt Lurk - fra engelsk "to hide"). Senere
For at sprede virussen hackede gruppen ind på websteder besøgt af bankansatte: fra onlinemedier (for eksempel RIA Novosti og Gazeta.ru) til regnskabsfora. Hackere udnyttede en sårbarhed i systemet til at udveksle reklamebannere og distribuerede malware gennem dem. På nogle websteder postede hackere kun et kort kort et link til virussen: på forummet for et af regnskabsbladene dukkede det op på hverdage ved frokosttid i to timer, men selv i løbet af denne tid fandt Lurk flere egnede ofre.
Ved at klikke på banneret blev brugeren ført til en side med exploits, hvorefter der begyndte at blive indsamlet information på den angrebne computer – hackerne var hovedsageligt interesserede i et program til fjernbank. Detaljer i bankbetalingsordrer blev erstattet med de påkrævede, og uautoriserede overførsler blev sendt til konti hos virksomheder tilknyttet koncernen. Ifølge Sergei Golovanov fra Kaspersky Lab bruger grupper normalt i sådanne tilfælde shell-virksomheder, "som er det samme som at overføre og udbetale": de modtagne penge indløses der, puttes i poser og efterlades bogmærker i byparker, hvor hackere tager dem. Medlemmer af gruppen skjulte flittigt deres handlinger: de krypterede al daglig korrespondance og registrerede domæner med falske brugere. "Angribere bruger triple VPN, Tor, hemmelige chats, men problemet er, at selv en velfungerende mekanisme svigter," forklarer Golovanov. - Enten falder VPN'en af, så viser den hemmelige chat sig ikke at være så hemmelig, så ringede man i stedet for at ringe gennem Telegram blot fra telefonen. Dette er den menneskelige faktor. Og når du har akkumuleret en database i årevis, skal du kigge efter sådanne ulykker. Herefter kan retshåndhævende myndigheder kontakte udbydere for at finde ud af, hvem der har besøgt sådan en IP-adresse og på hvilket tidspunkt. Og så er sagen bygget op.”
Tilbageholdelse af hackere fra Lurk
Biler blev fundet i garager tilhørende hackere - dyre Audi-, Cadillac- og Mercedes-modeller. Et ur med 272 diamanter blev også opdaget.
Især alle de tekniske specialister i gruppen blev anholdt. Ruslan Stoyanov, en ansat i Kaspersky Lab, som var involveret i efterforskningen af Lurk-forbrydelser sammen med efterretningstjenesterne, sagde, at ledelsen ledte efter mange af dem på almindelige steder for at rekruttere personale til fjernarbejde. Annoncerne sagde ikke noget om, at arbejdet ville være ulovligt, og lønnen hos Lurk blev udbudt over markedsmarkedet, og det var muligt at arbejde hjemmefra.
"Hver morgen, undtagen weekender, i forskellige dele af Rusland og Ukraine satte personer sig ved deres computere og begyndte at arbejde," beskrev Stoyanov. "Programmører justerede funktionerne i den næste version [af virussen], testere tjekkede det, derefter uploadede den ansvarlige for botnettet alt til kommandoserveren, hvorefter automatiske opdateringer fandt sted på bot-computere."
Behandlingen af gruppens sag i retten startede i efteråret 2017 og fortsatte i starten af 2019 - grundet sagens omfang, der rummer omkring seks hundrede bind. Hacker-advokat skjuler sit navn
Sagen om en af gruppens hackere blev anlagt i en separat sag, og han modtog 5 år, herunder for at hacke netværket i Yekaterinburg-lufthavnen.
I de seneste årtier i Rusland lykkedes det de særlige tjenester at besejre størstedelen af store hackergrupper, der overtrådte hovedreglen - "Arbejd ikke på ru": Carberp (stjal omkring halvanden milliard rubler fra russiske bankers konti), Anunak (stjal mere end en milliard rubler fra russiske bankers konti), Paunch (de skabte platforme for angreb, hvorigennem op til halvdelen af infektioner verden over gik) og så videre. Indtægterne for sådanne grupper kan sammenlignes med våbenhandlernes indtjening, og de består af snesevis af mennesker ud over hackerne selv - sikkerhedsvagter, chauffører, kasserere, ejere af websteder, hvor nye udnyttelser dukker op, og så videre.
Kilde: www.habr.com