Auszug aus dem Buch „Invasion. Eine kurze Geschichte russischer Hacker“
Im Mai dieses Jahres im Verlag Individuum
Daniel sammelte mehrere Jahre lang Materialien, einige Geschichten
Aber Hacking ist, wie jedes Verbrechen, ein zu geschlossenes Thema. Echte Geschichten werden nur mündlich weitergegeben. Und das Buch hinterlässt den Eindruck einer wahnsinnig merkwürdigen Unvollständigkeit – als ließe sich jeder seiner Helden in einem dreibändigen Buch zusammenfassen, „wie es wirklich war“.
Mit Genehmigung des Herausgebers veröffentlichen wir einen kurzen Auszug über die Lurk-Gruppe, die 2015–16 russische Banken ausgeraubt hat.
Im Sommer 2015 gründete die russische Zentralbank Fincert, ein Zentrum zur Überwachung und Reaktion auf Computervorfälle im Kredit- und Finanzsektor. Dadurch tauschen Banken Informationen über Computerangriffe aus, analysieren diese und erhalten Schutzempfehlungen von Geheimdiensten. Es gibt viele solcher Angriffe: Sberbank im Juni 2016
In der ersten
Polizei und Cybersicherheitsspezialisten suchen seit 2011 nach Mitgliedern der Gruppe. Die Suche blieb lange Zeit erfolglos – bis 2016 stahl die Gruppe rund drei Milliarden Rubel von russischen Banken, mehr als jeder andere Hacker.
Der Lurk-Virus unterschied sich von den Viren, denen die Forscher zuvor begegnet waren. Als das Programm zum Testen im Labor ausgeführt wurde, tat es nichts (deshalb wurde es Lurk genannt – aus dem Englischen „verstecken“). Später
Um den Virus zu verbreiten, hackte sich die Gruppe in Websites, die von Bankmitarbeitern besucht wurden: von Online-Medien (z. B. RIA Novosti und Gazeta.ru) bis hin zu Buchhaltungsforen. Hacker nutzten eine Schwachstelle im System aus, um Werbebanner auszutauschen und über diese Schadsoftware zu verbreiten. Auf einigen Seiten posteten Hacker nur kurzzeitig einen Link zum Virus: Im Forum eines der Buchhaltungsmagazine tauchte er wochentags zur Mittagszeit zwei Stunden lang auf, doch selbst in dieser Zeit fand Lurk mehrere geeignete Opfer.
Durch Klicken auf das Banner wurde der Benutzer auf eine Seite mit Exploits weitergeleitet, woraufhin mit dem Sammeln von Informationen auf dem angegriffenen Computer begonnen wurde – die Hacker waren hauptsächlich an einem Programm für Remote-Banking interessiert. Angaben in Bankzahlungsaufträgen wurden durch die erforderlichen ersetzt und nicht autorisierte Überweisungen auf Konten von mit der Gruppe verbundenen Unternehmen gesendet. Laut Sergei Golovanov von Kaspersky Lab nutzen Gruppen in solchen Fällen normalerweise Briefkastenfirmen, „die dasselbe sind wie Überweisen und Auszahlen“: Das erhaltene Geld wird dort eingelöst, in Taschen gesteckt und Lesezeichen in Stadtparks hinterlassen, wo Hacker es mitnehmen ihnen . Mitglieder der Gruppe verheimlichten sorgfältig ihre Aktionen: Sie verschlüsselten die gesamte tägliche Korrespondenz und registrierten Domains mit gefälschten Benutzern. „Angreifer nutzen Triple-VPN, Tor und geheime Chats, aber das Problem ist, dass selbst ein gut funktionierender Mechanismus versagt“, erklärt Golovanov. - Entweder fällt das VPN aus, dann stellt sich heraus, dass der geheime Chat nicht so geheim ist, dann ruft man, anstatt über Telegram anzurufen, einfach vom Telefon aus an. Das ist der menschliche Faktor. Und wenn Sie jahrelang eine Datenbank angelegt haben, müssen Sie nach solchen Unfällen suchen. Danach können Strafverfolgungsbehörden Kontakt zu den Anbietern aufnehmen, um herauszufinden, wer zu welchem Zeitpunkt diese oder jene IP-Adresse besucht hat. Und dann wird das Gehäuse gebaut.“
Festnahme von Hackern aus Lurk
In Garagen von Hackern wurden Autos gefunden – teure Audi-, Cadillac- und Mercedes-Modelle. Außerdem wurde eine mit 272 Diamanten besetzte Uhr entdeckt.
Insbesondere wurden alle technischen Spezialisten der Gruppe festgenommen. Ruslan Stoyanov, ein Mitarbeiter von Kaspersky Lab, der zusammen mit den Geheimdiensten an der Untersuchung von Lurk-Verbrechen beteiligt war, sagte, dass das Management viele von ihnen auf regulären Websites suchte, um Personal für Remote-Arbeit zu rekrutieren. In den Anzeigen stand nichts darüber, dass die Arbeit illegal sei, das Gehalt bei Lurk lag über dem Marktpreis und es war möglich, von zu Hause aus zu arbeiten.
„Jeden Morgen, außer am Wochenende, setzten sich in verschiedenen Teilen Russlands und der Ukraine Einzelpersonen an ihre Computer und begannen zu arbeiten“, beschrieb Stoyanov. „Programmierer haben die Funktionen der nächsten Version [des Virus] optimiert, Tester haben sie überprüft, dann hat der Verantwortliche des Botnetzes alles auf den Befehlsserver hochgeladen, woraufhin automatische Updates auf den Bot-Computern stattgefunden haben.“
Die gerichtliche Auseinandersetzung mit dem Fall der Gruppe begann im Herbst 2017 und wurde Anfang 2019 fortgesetzt – aufgrund des Umfangs des Falles, der etwa sechshundert Bände umfasst. Hacker-Anwalt verbirgt seinen Namen
Der Fall eines der Hacker der Gruppe wurde in ein separates Verfahren gebracht und er erhielt fünf Jahre Haft, unter anderem wegen Hacking des Netzwerks des Flughafens Jekaterinburg.
In den letzten Jahrzehnten ist es den Sonderdiensten in Russland gelungen, die Mehrheit der großen Hackergruppen zu besiegen, die gegen die Hauptregel „Arbeiten Sie nicht auf RU“ verstoßen haben: Carberp (hat etwa eineinhalb Milliarden Rubel von den Konten russischer Banken gestohlen), Anunak (stahl mehr als eine Milliarde Rubel von den Konten russischer Banken), Paunch (sie schufen Plattformen für Angriffe, über die bis zur Hälfte aller Infektionen weltweit liefen) und so weiter. Das Einkommen solcher Gruppen ist vergleichbar mit dem Einkommen von Waffenhändlern, und sie bestehen neben den Hackern selbst aus Dutzenden von Personen – Sicherheitsleuten, Fahrern, Kassierern, Besitzern von Websites, auf denen neue Exploits auftauchen, und so weiter.
Source: habr.com