Auszug aus dem Buch „Invasion. Eine kurze Geschichte russischer Hacker“
Im Mai dieses Jahres im Verlag Individuum Journalist Daniil Turovsky „Invasion. Eine kurze Geschichte russischer Hacker. Es enthält Geschichten von der dunklen Seite der russischen IT-Branche – über Männer, die sich in Computer verliebt haben und nicht nur gelernt haben, zu programmieren, sondern auch Menschen auszurauben. Das Buch entwickelt sich wie das Phänomen selbst – von jugendlichem Rowdytum und Forenparteien bis hin zu Strafverfolgungseinsätzen und internationalen Skandalen.
Daniel sammelte mehrere Jahre lang Materialien, einige Geschichten Für seine Nacherzählungen von Daniels Artikeln erhielt Andrew Kramer von der New York Times 2017 einen Pulitzer-Preis.
Aber Hacking ist, wie jedes Verbrechen, ein zu geschlossenes Thema. Echte Geschichten werden nur mündlich weitergegeben. Und das Buch hinterlässt den Eindruck einer wahnsinnig merkwürdigen Unvollständigkeit – als ließe sich jeder seiner Helden in einem dreibändigen Buch zusammenfassen, „wie es wirklich war“.
Mit Genehmigung des Herausgebers veröffentlichen wir einen kurzen Auszug über die Lurk-Gruppe, die 2015–16 russische Banken ausgeraubt hat.
Im Sommer 2015 gründete die russische Zentralbank Fincert, ein Zentrum zur Überwachung und Reaktion auf Computervorfälle im Kredit- und Finanzsektor. Dadurch tauschen Banken Informationen über Computerangriffe aus, analysieren diese und erhalten Schutzempfehlungen von Geheimdiensten. Es gibt viele solcher Angriffe: Sberbank im Juni 2016 Die Verluste der russischen Wirtschaft durch Cyberkriminalität beliefen sich auf 600 Milliarden Rubel – gleichzeitig erwarb die Bank eine Tochtergesellschaft, Bizon, die sich mit der Informationssicherheit des Unternehmens befasst.
In der ersten die Ergebnisse der Arbeit von Fincert (von Oktober 2015 bis März 2016) beschreiben 21 gezielte Angriffe auf die Bankinfrastruktur; Als Folge dieser Ereignisse wurden 12 Strafverfahren eingeleitet. Die meisten dieser Angriffe waren das Werk einer Gruppe, die zu Ehren des gleichnamigen, von Hackern entwickelten Virus Lurk genannt wurde: Mit ihrer Hilfe wurde Geld von Handelsunternehmen und Banken gestohlen.
Polizei und Cybersicherheitsspezialisten suchen seit 2011 nach Mitgliedern der Gruppe. Die Suche blieb lange Zeit erfolglos – bis 2016 stahl die Gruppe rund drei Milliarden Rubel von russischen Banken, mehr als jeder andere Hacker.
Der Lurk-Virus unterschied sich von den Viren, denen die Forscher zuvor begegnet waren. Als das Programm zum Testen im Labor ausgeführt wurde, tat es nichts (deshalb wurde es Lurk genannt – aus dem Englischen „verstecken“). Später dass Lurk als modulares System konzipiert ist: Das Programm lädt nach und nach zusätzliche Blöcke mit verschiedenen Funktionen – vom Abfangen von über die Tastatur eingegebenen Zeichen, Logins und Passwörtern bis hin zur Möglichkeit, einen Videostream vom Bildschirm eines infizierten Computers aufzuzeichnen.
Um den Virus zu verbreiten, hackte sich die Gruppe in Websites, die von Bankmitarbeitern besucht wurden: von Online-Medien (z. B. RIA Novosti und Gazeta.ru) bis hin zu Buchhaltungsforen. Hacker nutzten eine Schwachstelle im System aus, um Werbebanner auszutauschen und über diese Schadsoftware zu verbreiten. Auf einigen Seiten posteten Hacker nur kurzzeitig einen Link zum Virus: Im Forum eines der Buchhaltungsmagazine tauchte er wochentags zur Mittagszeit zwei Stunden lang auf, doch selbst in dieser Zeit fand Lurk mehrere geeignete Opfer.
Durch Klicken auf das Banner wurde der Benutzer auf eine Seite mit Exploits weitergeleitet, woraufhin mit dem Sammeln von Informationen auf dem angegriffenen Computer begonnen wurde – die Hacker waren hauptsächlich an einem Programm für Remote-Banking interessiert. Angaben in Bankzahlungsaufträgen wurden durch die erforderlichen ersetzt und nicht autorisierte Überweisungen auf Konten von mit der Gruppe verbundenen Unternehmen gesendet. Laut Sergei Golovanov von Kaspersky Lab nutzen Gruppen in solchen Fällen normalerweise Briefkastenfirmen, „die dasselbe sind wie Überweisen und Auszahlen“: Das erhaltene Geld wird dort eingelöst, in Taschen gesteckt und Lesezeichen in Stadtparks hinterlassen, wo Hacker es mitnehmen ihnen . Mitglieder der Gruppe verheimlichten sorgfältig ihre Aktionen: Sie verschlüsselten die gesamte tägliche Korrespondenz und registrierten Domains mit gefälschten Benutzern. „Angreifer nutzen Triple-VPN, Tor und geheime Chats, aber das Problem ist, dass selbst ein gut funktionierender Mechanismus versagt“, erklärt Golovanov. - Entweder fällt das VPN aus, dann stellt sich heraus, dass der geheime Chat nicht so geheim ist, dann ruft man, anstatt über Telegram anzurufen, einfach vom Telefon aus an. Das ist der menschliche Faktor. Und wenn Sie jahrelang eine Datenbank angelegt haben, müssen Sie nach solchen Unfällen suchen. Danach können Strafverfolgungsbehörden Kontakt zu den Anbietern aufnehmen, um herauszufinden, wer zu welchem Zeitpunkt diese oder jene IP-Adresse besucht hat. Und dann wird das Gehäuse gebaut.“
Festnahme von Hackern aus Lurk wie ein Actionfilm. Mitarbeiter des Ministeriums für Notsituationen schnitten die Schlösser in Landhäusern und Wohnungen von Hackern in verschiedenen Teilen Jekaterinburgs auf, woraufhin FSB-Beamte schreiend ausbrachen, die Hacker packten, auf den Boden warfen und das Gelände durchsuchten. Danach wurden die Verdächtigen in einen Bus gesetzt, zum Flughafen gebracht, über die Landebahn gelaufen und in ein Frachtflugzeug gebracht, das nach Moskau startete.
In Garagen von Hackern wurden Autos gefunden – teure Audi-, Cadillac- und Mercedes-Modelle. Außerdem wurde eine mit 272 Diamanten besetzte Uhr entdeckt. Schmuck im Wert von 12 Millionen Rubel und Waffen. Insgesamt führte die Polizei etwa 80 Durchsuchungen in 15 Regionen durch und nahm etwa 50 Personen fest.
Insbesondere wurden alle technischen Spezialisten der Gruppe festgenommen. Ruslan Stoyanov, ein Mitarbeiter von Kaspersky Lab, der zusammen mit den Geheimdiensten an der Untersuchung von Lurk-Verbrechen beteiligt war, sagte, dass das Management viele von ihnen auf regulären Websites suchte, um Personal für Remote-Arbeit zu rekrutieren. In den Anzeigen stand nichts darüber, dass die Arbeit illegal sei, das Gehalt bei Lurk lag über dem Marktpreis und es war möglich, von zu Hause aus zu arbeiten.
„Jeden Morgen, außer am Wochenende, setzten sich in verschiedenen Teilen Russlands und der Ukraine Einzelpersonen an ihre Computer und begannen zu arbeiten“, beschrieb Stoyanov. „Programmierer haben die Funktionen der nächsten Version [des Virus] optimiert, Tester haben sie überprüft, dann hat der Verantwortliche des Botnetzes alles auf den Befehlsserver hochgeladen, woraufhin automatische Updates auf den Bot-Computern stattgefunden haben.“
Die gerichtliche Auseinandersetzung mit dem Fall der Gruppe begann im Herbst 2017 und wurde Anfang 2019 fortgesetzt – aufgrund des Umfangs des Falles, der etwa sechshundert Bände umfasst. Hacker-Anwalt verbirgt seinen Namen dass sich keiner der Verdächtigen auf die Ermittlungen einlassen würde, aber einige gaben einen Teil der Anklage zu. „Unsere Kunden haben an der Entwicklung verschiedener Teile des Lurk-Virus gearbeitet, aber viele wussten einfach nicht, dass es sich um einen Trojaner handelte“, erklärte er. „Jemand hat einen Teil der Algorithmen entwickelt, die in Suchmaschinen erfolgreich funktionieren könnten.“
Der Fall eines der Hacker der Gruppe wurde in ein separates Verfahren gebracht und er erhielt fünf Jahre Haft, unter anderem wegen Hacking des Netzwerks des Flughafens Jekaterinburg.
In den letzten Jahrzehnten ist es den Sonderdiensten in Russland gelungen, die Mehrheit der großen Hackergruppen zu besiegen, die gegen die Hauptregel „Arbeiten Sie nicht auf RU“ verstoßen haben: Carberp (hat etwa eineinhalb Milliarden Rubel von den Konten russischer Banken gestohlen), Anunak (stahl mehr als eine Milliarde Rubel von den Konten russischer Banken), Paunch (sie schufen Plattformen für Angriffe, über die bis zur Hälfte aller Infektionen weltweit liefen) und so weiter. Das Einkommen solcher Gruppen ist vergleichbar mit dem Einkommen von Waffenhändlern, und sie bestehen neben den Hackern selbst aus Dutzenden von Personen – Sicherheitsleuten, Fahrern, Kassierern, Besitzern von Websites, auf denen neue Exploits auftauchen, und so weiter.
Source: habr.com