Απόσπασμα από το βιβλίο «Εισβολή. Μια σύντομη ιστορία των Ρώσων χάκερ»
Τον Μάιο του τρέχοντος έτους στον εκδοτικό οίκο Individuum δημοσιογράφος Daniil Turovsky «Εισβολή. Μια σύντομη ιστορία των Ρώσων χάκερ». Περιέχει ιστορίες από τη σκοτεινή πλευρά της ρωσικής βιομηχανίας πληροφορικής - για παιδιά που, έχοντας ερωτευτεί τους υπολογιστές, έμαθαν όχι απλώς να προγραμματίζουν, αλλά να ληστεύουν τους ανθρώπους. Το βιβλίο εξελίσσεται, όπως και το ίδιο το φαινόμενο - από τον εφηβικό χουλιγκανισμό και τα πάρτι στο φόρουμ μέχρι τις επιχειρήσεις επιβολής του νόμου και τα διεθνή σκάνδαλα.
Ο Ντάνιελ μάζευε υλικά για αρκετά χρόνια, μερικές ιστορίες , για τις επαναλήψεις των άρθρων του Daniel, ο Andrew Kramer των New York Times έλαβε το βραβείο Πούλιτζερ το 2017.
Αλλά το hacking, όπως κάθε έγκλημα, είναι πολύ κλειστό θέμα. Οι πραγματικές ιστορίες μεταδίδονται μόνο από στόμα σε στόμα μεταξύ των ανθρώπων. Και το βιβλίο αφήνει την εντύπωση μιας τρελά περίεργης ατελείας - λες και κάθε ήρωάς του θα μπορούσε να συγκεντρωθεί σε ένα βιβλίο τριών τόμων για το «πώς ήταν πραγματικά».
Με την άδεια του εκδότη δημοσιεύουμε ένα μικρό απόσπασμα για τον όμιλο Lurk, ο οποίος λήστεψε τις ρωσικές τράπεζες το 2015-16.
Το καλοκαίρι του 2015, η Ρωσική Κεντρική Τράπεζα δημιούργησε το Fincert, ένα κέντρο παρακολούθησης και αντιμετώπισης περιστατικών ηλεκτρονικών υπολογιστών στον πιστωτικό και χρηματοπιστωτικό τομέα. Μέσω αυτού, οι τράπεζες ανταλλάσσουν πληροφορίες σχετικά με επιθέσεις υπολογιστών, τις αναλύουν και λαμβάνουν συστάσεις προστασίας από υπηρεσίες πληροφοριών. Υπάρχουν πολλές τέτοιες επιθέσεις: η Sberbank τον Ιούνιο του 2016 οι απώλειες της ρωσικής οικονομίας από το έγκλημα στον κυβερνοχώρο ανήλθαν σε 600 δισεκατομμύρια ρούβλια - την ίδια στιγμή η τράπεζα απέκτησε μια θυγατρική εταιρεία, την Bizon, η οποία ασχολείται με την ασφάλεια πληροφοριών της επιχείρησης.
Κατά την πρώτη τα αποτελέσματα της εργασίας του Fincert (από τον Οκτώβριο του 2015 έως τον Μάρτιο του 2016) περιγράφουν 21 στοχευμένες επιθέσεις σε τραπεζικές υποδομές· Ως αποτέλεσμα αυτών των γεγονότων, κινήθηκαν 12 ποινικές υποθέσεις. Οι περισσότερες από αυτές τις επιθέσεις ήταν έργο μιας ομάδας, η οποία ονομάστηκε Lurk προς τιμήν του ομώνυμου ιού, που αναπτύχθηκε από χάκερ: με τη βοήθειά του, κλάπηκαν χρήματα από εμπορικές επιχειρήσεις και τράπεζες.
Οι ειδικοί της αστυνομίας και της κυβερνοασφάλειας αναζητούν μέλη της ομάδας από το 2011. Για μεγάλο χρονικό διάστημα, η αναζήτηση ήταν ανεπιτυχής - μέχρι το 2016, η ομάδα έκλεψε περίπου τρία δισεκατομμύρια ρούβλια από ρωσικές τράπεζες, περισσότερα από οποιονδήποτε άλλο χάκερ.
Ο ιός Lurk ήταν διαφορετικός από εκείνους που είχαν συναντήσει οι ερευνητές πριν. Όταν το πρόγραμμα έτρεχε στο εργαστήριο για δοκιμή, δεν έκανε τίποτα (γι' αυτό ονομάστηκε Lurk - από τα αγγλικά "to hide"). Αργότερα ότι το Lurk έχει σχεδιαστεί ως ένα αρθρωτό σύστημα: το πρόγραμμα φορτώνει σταδιακά πρόσθετα μπλοκ με διάφορες λειτουργίες - από υποκλοπή χαρακτήρων που εισάγονται στο πληκτρολόγιο, στοιχεία σύνδεσης και κωδικούς πρόσβασης έως τη δυνατότητα εγγραφής ροής βίντεο από την οθόνη ενός μολυσμένου υπολογιστή.
Για τη διάδοση του ιού, η ομάδα εισέβαλε σε ιστότοπους που επισκέπτονται τραπεζικοί υπάλληλοι: από διαδικτυακά μέσα (για παράδειγμα, RIA Novosti και Gazeta.ru) μέχρι λογιστικά φόρουμ. Οι χάκερ εκμεταλλεύτηκαν μια ευπάθεια στο σύστημα για την ανταλλαγή διαφημιστικών banner και διένειμαν κακόβουλο λογισμικό μέσω αυτών. Σε ορισμένους ιστότοπους, οι χάκερ δημοσίευσαν έναν σύνδεσμο προς τον ιό μόνο εν συντομία: στο φόρουμ ενός από τα λογιστικά περιοδικά, εμφανιζόταν τις καθημερινές το μεσημέρι για δύο ώρες, αλλά ακόμη και κατά τη διάρκεια αυτής της περιόδου, ο Lurk βρήκε αρκετά κατάλληλα θύματα.
Κάνοντας κλικ στο banner, ο χρήστης μεταφέρθηκε σε μια σελίδα με εκμεταλλεύσεις, μετά την οποία άρχισαν να συλλέγονται πληροφορίες στον υπολογιστή που επιτέθηκε - οι χάκερ ενδιαφερόταν κυρίως για ένα πρόγραμμα απομακρυσμένης τραπεζικής. Τα στοιχεία των τραπεζικών εντολών πληρωμής αντικαταστάθηκαν με τα απαιτούμενα και απεστάλησαν μη εξουσιοδοτημένα εμβάσματα σε λογαριασμούς εταιρειών που συνδέονται με τον όμιλο. Σύμφωνα με τον Sergei Golovanov από την Kaspersky Lab, συνήθως σε τέτοιες περιπτώσεις, οι ομάδες χρησιμοποιούν εταιρείες κελύφους, «οι οποίες είναι το ίδιο με τη μεταφορά και την εξαργύρωση»: τα χρήματα που λαμβάνονται εξαργυρώνονται εκεί, τοποθετούνται σε σακούλες και αφήνονται σελιδοδείκτες στα πάρκα της πόλης, όπου οι χάκερ παίρνουν τους . Τα μέλη της ομάδας έκρυβαν επιμελώς τις ενέργειές τους: κρυπτογραφούσαν όλη την καθημερινή αλληλογραφία και κατέγραψαν τομείς με ψεύτικους χρήστες. «Οι εισβολείς χρησιμοποιούν τριπλό VPN, Tor, μυστικές συνομιλίες, αλλά το πρόβλημα είναι ότι ακόμη και ένας καλά λειτουργικός μηχανισμός αποτυγχάνει», εξηγεί ο Golovanov. - Είτε το VPN πέφτει, τότε η μυστική συνομιλία αποδεικνύεται ότι δεν είναι τόσο μυστική, τότε ένας, αντί να καλεί μέσω του Telegram, καλείται απλά από το τηλέφωνο. Αυτός είναι ο ανθρώπινος παράγοντας. Και όταν έχετε συσσωρεύσει μια βάση δεδομένων για χρόνια, πρέπει να αναζητήσετε τέτοια ατυχήματα. Μετά από αυτό, οι αρχές επιβολής του νόμου μπορούν να επικοινωνήσουν με τους παρόχους για να μάθουν ποιος επισκέφτηκε τη συγκεκριμένη διεύθυνση IP και σε ποια ώρα. Και μετά χτίζεται η υπόθεση».
Κράτηση χάκερ από το Lurk σαν ταινία δράσης. Οι υπάλληλοι του Υπουργείου Έκτακτης Ανάγκης έκοψαν τις κλειδαριές σε εξοχικές κατοικίες και διαμερίσματα χάκερ σε διάφορα μέρη του Αικατερινούμπουργκ, μετά από τα οποία αξιωματικοί της FSB ξέσπασαν σε ουρλιαχτά, άρπαξαν τους χάκερ και τους πέταξαν στο πάτωμα και ερεύνησαν τις εγκαταστάσεις. Μετά από αυτό, οι ύποπτοι επιβιβάστηκαν σε ένα λεωφορείο, μεταφέρθηκαν στο αεροδρόμιο, περπάτησαν κατά μήκος του διαδρόμου και μεταφέρθηκαν σε ένα αεροπλάνο φορτίου, το οποίο απογειώθηκε για τη Μόσχα.
Αυτοκίνητα βρέθηκαν σε γκαράζ που ανήκουν σε χάκερ - ακριβά μοντέλα Audi, Cadillac και Mercedes. Ανακαλύφθηκε επίσης ένα ρολόι με 272 διαμάντια. κοσμήματα αξίας 12 εκατομμυρίων ρούβλια και όπλα. Συνολικά, η αστυνομία πραγματοποίησε περίπου 80 έρευνες σε 15 περιοχές και συνέλαβε περίπου 50 άτομα.
Συγκεκριμένα, συνελήφθησαν όλοι οι τεχνικοί ειδικοί της ομάδας. Ο Ruslan Stoyanov, ένας υπάλληλος της Kaspersky Lab που συμμετείχε στην έρευνα των εγκλημάτων Lurk μαζί με τις υπηρεσίες πληροφοριών, είπε ότι η διοίκηση αναζήτησε πολλούς από αυτούς σε κανονικούς ιστότοπους για πρόσληψη προσωπικού για απομακρυσμένη εργασία. Οι διαφημίσεις δεν έλεγαν τίποτα για το γεγονός ότι η εργασία θα ήταν παράνομη και ο μισθός στο Lurk προσφερόταν πάνω από τον αγοραίο και ήταν δυνατή η εργασία από το σπίτι.
«Κάθε πρωί, εκτός από τα Σαββατοκύριακα, σε διάφορα μέρη της Ρωσίας και της Ουκρανίας, άτομα κάθονταν στους υπολογιστές τους και άρχισαν να εργάζονται», περιέγραψε ο Στογιάνοφ. «Οι προγραμματιστές τροποποίησαν τις λειτουργίες της επόμενης έκδοσης [του ιού], οι δοκιμαστές την έλεγξαν και, στη συνέχεια, ο υπεύθυνος για το botnet ανέβασε τα πάντα στον διακομιστή εντολών και στη συνέχεια πραγματοποιήθηκαν αυτόματες ενημερώσεις στους υπολογιστές bot».
Η εξέταση της υπόθεσης της ομάδας στο δικαστήριο ξεκίνησε το φθινόπωρο του 2017 και συνεχίστηκε στις αρχές του 2019 - λόγω του όγκου της υπόθεσης, που περιέχει περίπου εξακόσιους τόμους. Δικηγόρος χάκερ που κρύβει το όνομά του ότι κανένας από τους υπόπτους δεν θα έκανε συμφωνία με την έρευνα, αλλά ορισμένοι παραδέχτηκαν μέρος των κατηγοριών. «Οι πελάτες μας έκαναν δουλειά με την ανάπτυξη διαφόρων τμημάτων του ιού Lurk, αλλά πολλοί απλά δεν γνώριζαν ότι ήταν Trojan», εξήγησε. "Κάποιος έκανε μέρος των αλγορίθμων που θα μπορούσαν να λειτουργήσουν με επιτυχία στις μηχανές αναζήτησης."
Η υπόθεση ενός από τους χάκερ της ομάδας τέθηκε σε χωριστή διαδικασία και έλαβε 5 χρόνια, συμπεριλαμβανομένης της παραβίασης του δικτύου του αεροδρομίου του Αικατερινούμπουργκ.
Τις τελευταίες δεκαετίες στη Ρωσία, οι ειδικές υπηρεσίες κατάφεραν να νικήσουν την πλειοψηφία των μεγάλων ομάδων χάκερ που παραβίασαν τον κύριο κανόνα - "Μην εργάζεσαι στο ru": Carberp (έκλεψε περίπου ενάμισι δισεκατομμύριο ρούβλια από λογαριασμούς ρωσικών τραπεζών) Anunak (έκλεψε περισσότερα από ένα δισεκατομμύριο ρούβλια από λογαριασμούς ρωσικών τραπεζών), Paunch (δημιουργούσαν πλατφόρμες για επιθέσεις μέσω των οποίων πέρασαν έως και οι μισές μολύνσεις παγκοσμίως) και ούτω καθεξής. Το εισόδημα τέτοιων ομάδων είναι συγκρίσιμο με τα κέρδη των εμπόρων όπλων και αποτελούνται από δεκάδες άτομα εκτός από τους ίδιους τους χάκερ - φύλακες, οδηγούς, ταμίες, ιδιοκτήτες τοποθεσιών όπου εμφανίζονται νέα κατορθώματα κ.λπ.
Πηγή: www.habr.com