Uddrag fra bogen “Invasion. En kort historie om russiske hackere"
I maj i år i forlaget Individuum journalist Daniil Turovsky “Invasion. En kort historie om russiske hackere." Den indeholder historier fra den mørke side af den russiske it-industri - om fyre, der efter at have forelsket sig i computere lærte ikke bare at programmere, men at røve folk. Bogen udvikler sig, ligesom selve fænomenet - fra teenage-hooliganisme og forumfester til retshåndhævelsesoperationer og internationale skandaler.
Daniel samlede materialer i flere år, nogle historier , for sine genfortællinger af Daniels artikler modtog Andrew Kramer fra New York Times en Pulitzer-pris i 2017.
Men hacking er ligesom enhver forbrydelse et for lukket emne. Virkelige historier videregives kun fra mund til mund mellem mennesker. Og bogen efterlader indtrykket af en sindssygt mærkelig ufuldstændighed - som om hver af dens helte kunne samles i en trebindsbog om "hvordan det virkelig var."
Med tilladelse fra forlaget udgiver vi et kort uddrag om Lurk-gruppen, som røvede russiske banker i 2015-16.
I sommeren 2015 oprettede den russiske centralbank Fincert, et center til overvågning og reaktion på computerhændelser i kredit- og finanssektoren. Gennem det udveksler banker information om computerangreb, analyserer dem og modtager anbefalinger om beskyttelse fra efterretningstjenester. Der er mange sådanne angreb: Sberbank i juni 2016 tab af den russiske økonomi fra cyberkriminalitet beløb sig til 600 milliarder rubler - samtidig købte banken et datterselskab, Bizon, som beskæftiger sig med virksomhedens informationssikkerhed.
I den første resultaterne af Fincerts arbejde (fra oktober 2015 til marts 2016) beskriver 21 målrettede angreb på bankinfrastruktur; Som følge af disse begivenheder blev der indledt 12 straffesager. De fleste af disse angreb var værket af en gruppe, som blev navngivet Lurk til ære for virussen af samme navn, udviklet af hackere: med dens hjælp blev penge stjålet fra kommercielle virksomheder og banker.
Politi og cybersikkerhedsspecialister har ledt efter medlemmer af gruppen siden 2011. I lang tid var søgningen mislykket - i 2016 stjal gruppen omkring tre milliarder rubler fra russiske banker, mere end nogen anden hackere.
Lurk-virussen var anderledes end dem, efterforskere havde mødt før. Da programmet blev kørt i laboratoriet til test, gjorde det ingenting (det var derfor det blev kaldt Lurk - fra engelsk "to hide"). Senere at Lurk er designet som et modulært system: Programmet indlæser gradvist yderligere blokke med forskellig funktionalitet – lige fra opsnapping af tegn indtastet på tastaturet, logins og adgangskoder til muligheden for at optage en videostream fra skærmen på en inficeret computer.
For at sprede virussen hackede gruppen ind på websteder besøgt af bankansatte: fra onlinemedier (for eksempel RIA Novosti og Gazeta.ru) til regnskabsfora. Hackere udnyttede en sårbarhed i systemet til at udveksle reklamebannere og distribuerede malware gennem dem. På nogle websteder postede hackere kun et kort kort et link til virussen: på forummet for et af regnskabsbladene dukkede det op på hverdage ved frokosttid i to timer, men selv i løbet af denne tid fandt Lurk flere egnede ofre.
Ved at klikke på banneret blev brugeren ført til en side med exploits, hvorefter der begyndte at blive indsamlet information på den angrebne computer – hackerne var hovedsageligt interesserede i et program til fjernbank. Detaljer i bankbetalingsordrer blev erstattet med de påkrævede, og uautoriserede overførsler blev sendt til konti hos virksomheder tilknyttet koncernen. Ifølge Sergei Golovanov fra Kaspersky Lab bruger grupper normalt i sådanne tilfælde shell-virksomheder, "som er det samme som at overføre og udbetale": de modtagne penge indløses der, puttes i poser og efterlades bogmærker i byparker, hvor hackere tager dem. Medlemmer af gruppen skjulte flittigt deres handlinger: de krypterede al daglig korrespondance og registrerede domæner med falske brugere. "Angribere bruger triple VPN, Tor, hemmelige chats, men problemet er, at selv en velfungerende mekanisme svigter," forklarer Golovanov. - Enten falder VPN'en af, så viser den hemmelige chat sig ikke at være så hemmelig, så ringede man i stedet for at ringe gennem Telegram blot fra telefonen. Dette er den menneskelige faktor. Og når du har akkumuleret en database i årevis, skal du kigge efter sådanne ulykker. Herefter kan retshåndhævende myndigheder kontakte udbydere for at finde ud af, hvem der har besøgt sådan en IP-adresse og på hvilket tidspunkt. Og så er sagen bygget op.”
Tilbageholdelse af hackere fra Lurk som en actionfilm. Ansatte i ministeriet for nødsituationer afbrød låsene i landejendomme og lejligheder til hackere i forskellige dele af Jekaterinburg, hvorefter FSB-betjente brød i skrigende, greb hackerne og smed dem på gulvet og gennemsøgte lokalerne. Herefter blev de mistænkte sat på en bus, kørt til lufthavnen, gik langs landingsbanen og ført ind i et fragtfly, som lettede mod Moskva.
Biler blev fundet i garager tilhørende hackere - dyre Audi-, Cadillac- og Mercedes-modeller. Et ur med 272 diamanter blev også opdaget. smykker til en værdi af 12 millioner rubler og våben. I alt gennemførte politiet omkring 80 ransagninger i 15 regioner og tilbageholdt omkring 50 personer.
Især alle de tekniske specialister i gruppen blev anholdt. Ruslan Stoyanov, en ansat i Kaspersky Lab, som var involveret i efterforskningen af Lurk-forbrydelser sammen med efterretningstjenesterne, sagde, at ledelsen ledte efter mange af dem på almindelige steder for at rekruttere personale til fjernarbejde. Annoncerne sagde ikke noget om, at arbejdet ville være ulovligt, og lønnen hos Lurk blev udbudt over markedsmarkedet, og det var muligt at arbejde hjemmefra.
"Hver morgen, undtagen weekender, i forskellige dele af Rusland og Ukraine satte personer sig ved deres computere og begyndte at arbejde," beskrev Stoyanov. "Programmører justerede funktionerne i den næste version [af virussen], testere tjekkede det, derefter uploadede den ansvarlige for botnettet alt til kommandoserveren, hvorefter automatiske opdateringer fandt sted på bot-computere."
Behandlingen af gruppens sag i retten startede i efteråret 2017 og fortsatte i starten af 2019 - grundet sagens omfang, der rummer omkring seks hundrede bind. Hacker-advokat skjuler sit navn at ingen af de mistænkte ville lave en aftale med efterforskningen, men nogle erkendte en del af anklagerne. "Vores kunder arbejdede med at udvikle forskellige dele af Lurk-virussen, men mange var simpelthen ikke klar over, at det var en trojaner," forklarede han. "Nogen gjorde en del af algoritmerne, der kunne fungere med succes i søgemaskiner."
Sagen om en af gruppens hackere blev anlagt i en separat sag, og han modtog 5 år, herunder for at hacke netværket i Yekaterinburg-lufthavnen.
I de seneste årtier i Rusland lykkedes det de særlige tjenester at besejre størstedelen af store hackergrupper, der overtrådte hovedreglen - "Arbejd ikke på ru": Carberp (stjal omkring halvanden milliard rubler fra russiske bankers konti), Anunak (stjal mere end en milliard rubler fra russiske bankers konti), Paunch (de skabte platforme for angreb, hvorigennem op til halvdelen af infektioner verden over gik) og så videre. Indtægterne for sådanne grupper kan sammenlignes med våbenhandlernes indtjening, og de består af snesevis af mennesker ud over hackerne selv - sikkerhedsvagter, chauffører, kasserere, ejere af websteder, hvor nye udnyttelser dukker op, og så videre.
Kilde: www.habr.com