Απόσπασμα από το βιβλίο «Εισβολή. Μια σύντομη ιστορία των Ρώσων χάκερ»
Τον Μάιο του τρέχοντος έτους στον εκδοτικό οίκο Individuum
Ο Ντάνιελ μάζευε υλικά για αρκετά χρόνια, μερικές ιστορίες
Αλλά το hacking, όπως κάθε έγκλημα, είναι πολύ κλειστό θέμα. Οι πραγματικές ιστορίες μεταδίδονται μόνο από στόμα σε στόμα μεταξύ των ανθρώπων. Και το βιβλίο αφήνει την εντύπωση μιας τρελά περίεργης ατελείας - λες και κάθε ήρωάς του θα μπορούσε να συγκεντρωθεί σε ένα βιβλίο τριών τόμων για το «πώς ήταν πραγματικά».
Με την άδεια του εκδότη δημοσιεύουμε ένα μικρό απόσπασμα για τον όμιλο Lurk, ο οποίος λήστεψε τις ρωσικές τράπεζες το 2015-16.
Το καλοκαίρι του 2015, η Ρωσική Κεντρική Τράπεζα δημιούργησε το Fincert, ένα κέντρο παρακολούθησης και αντιμετώπισης περιστατικών ηλεκτρονικών υπολογιστών στον πιστωτικό και χρηματοπιστωτικό τομέα. Μέσω αυτού, οι τράπεζες ανταλλάσσουν πληροφορίες σχετικά με επιθέσεις υπολογιστών, τις αναλύουν και λαμβάνουν συστάσεις προστασίας από υπηρεσίες πληροφοριών. Υπάρχουν πολλές τέτοιες επιθέσεις: η Sberbank τον Ιούνιο του 2016
Κατά την πρώτη
Οι ειδικοί της αστυνομίας και της κυβερνοασφάλειας αναζητούν μέλη της ομάδας από το 2011. Για μεγάλο χρονικό διάστημα, η αναζήτηση ήταν ανεπιτυχής - μέχρι το 2016, η ομάδα έκλεψε περίπου τρία δισεκατομμύρια ρούβλια από ρωσικές τράπεζες, περισσότερα από οποιονδήποτε άλλο χάκερ.
Ο ιός Lurk ήταν διαφορετικός από εκείνους που είχαν συναντήσει οι ερευνητές πριν. Όταν το πρόγραμμα έτρεχε στο εργαστήριο για δοκιμή, δεν έκανε τίποτα (γι' αυτό ονομάστηκε Lurk - από τα αγγλικά "to hide"). Αργότερα
Για τη διάδοση του ιού, η ομάδα εισέβαλε σε ιστότοπους που επισκέπτονται τραπεζικοί υπάλληλοι: από διαδικτυακά μέσα (για παράδειγμα, RIA Novosti και Gazeta.ru) μέχρι λογιστικά φόρουμ. Οι χάκερ εκμεταλλεύτηκαν μια ευπάθεια στο σύστημα για την ανταλλαγή διαφημιστικών banner και διένειμαν κακόβουλο λογισμικό μέσω αυτών. Σε ορισμένους ιστότοπους, οι χάκερ δημοσίευσαν έναν σύνδεσμο προς τον ιό μόνο εν συντομία: στο φόρουμ ενός από τα λογιστικά περιοδικά, εμφανιζόταν τις καθημερινές το μεσημέρι για δύο ώρες, αλλά ακόμη και κατά τη διάρκεια αυτής της περιόδου, ο Lurk βρήκε αρκετά κατάλληλα θύματα.
Κάνοντας κλικ στο banner, ο χρήστης μεταφέρθηκε σε μια σελίδα με εκμεταλλεύσεις, μετά την οποία άρχισαν να συλλέγονται πληροφορίες στον υπολογιστή που επιτέθηκε - οι χάκερ ενδιαφερόταν κυρίως για ένα πρόγραμμα απομακρυσμένης τραπεζικής. Τα στοιχεία των τραπεζικών εντολών πληρωμής αντικαταστάθηκαν με τα απαιτούμενα και απεστάλησαν μη εξουσιοδοτημένα εμβάσματα σε λογαριασμούς εταιρειών που συνδέονται με τον όμιλο. Σύμφωνα με τον Sergei Golovanov από την Kaspersky Lab, συνήθως σε τέτοιες περιπτώσεις, οι ομάδες χρησιμοποιούν εταιρείες κελύφους, «οι οποίες είναι το ίδιο με τη μεταφορά και την εξαργύρωση»: τα χρήματα που λαμβάνονται εξαργυρώνονται εκεί, τοποθετούνται σε σακούλες και αφήνονται σελιδοδείκτες στα πάρκα της πόλης, όπου οι χάκερ παίρνουν τους . Τα μέλη της ομάδας έκρυβαν επιμελώς τις ενέργειές τους: κρυπτογραφούσαν όλη την καθημερινή αλληλογραφία και κατέγραψαν τομείς με ψεύτικους χρήστες. «Οι εισβολείς χρησιμοποιούν τριπλό VPN, Tor, μυστικές συνομιλίες, αλλά το πρόβλημα είναι ότι ακόμη και ένας καλά λειτουργικός μηχανισμός αποτυγχάνει», εξηγεί ο Golovanov. - Είτε το VPN πέφτει, τότε η μυστική συνομιλία αποδεικνύεται ότι δεν είναι τόσο μυστική, τότε ένας, αντί να καλεί μέσω του Telegram, καλείται απλά από το τηλέφωνο. Αυτός είναι ο ανθρώπινος παράγοντας. Και όταν έχετε συσσωρεύσει μια βάση δεδομένων για χρόνια, πρέπει να αναζητήσετε τέτοια ατυχήματα. Μετά από αυτό, οι αρχές επιβολής του νόμου μπορούν να επικοινωνήσουν με τους παρόχους για να μάθουν ποιος επισκέφτηκε τη συγκεκριμένη διεύθυνση IP και σε ποια ώρα. Και μετά χτίζεται η υπόθεση».
Κράτηση χάκερ από το Lurk
Αυτοκίνητα βρέθηκαν σε γκαράζ που ανήκουν σε χάκερ - ακριβά μοντέλα Audi, Cadillac και Mercedes. Ανακαλύφθηκε επίσης ένα ρολόι με 272 διαμάντια.
Συγκεκριμένα, συνελήφθησαν όλοι οι τεχνικοί ειδικοί της ομάδας. Ο Ruslan Stoyanov, ένας υπάλληλος της Kaspersky Lab που συμμετείχε στην έρευνα των εγκλημάτων Lurk μαζί με τις υπηρεσίες πληροφοριών, είπε ότι η διοίκηση αναζήτησε πολλούς από αυτούς σε κανονικούς ιστότοπους για πρόσληψη προσωπικού για απομακρυσμένη εργασία. Οι διαφημίσεις δεν έλεγαν τίποτα για το γεγονός ότι η εργασία θα ήταν παράνομη και ο μισθός στο Lurk προσφερόταν πάνω από τον αγοραίο και ήταν δυνατή η εργασία από το σπίτι.
«Κάθε πρωί, εκτός από τα Σαββατοκύριακα, σε διάφορα μέρη της Ρωσίας και της Ουκρανίας, άτομα κάθονταν στους υπολογιστές τους και άρχισαν να εργάζονται», περιέγραψε ο Στογιάνοφ. «Οι προγραμματιστές τροποποίησαν τις λειτουργίες της επόμενης έκδοσης [του ιού], οι δοκιμαστές την έλεγξαν και, στη συνέχεια, ο υπεύθυνος για το botnet ανέβασε τα πάντα στον διακομιστή εντολών και στη συνέχεια πραγματοποιήθηκαν αυτόματες ενημερώσεις στους υπολογιστές bot».
Η εξέταση της υπόθεσης της ομάδας στο δικαστήριο ξεκίνησε το φθινόπωρο του 2017 και συνεχίστηκε στις αρχές του 2019 - λόγω του όγκου της υπόθεσης, που περιέχει περίπου εξακόσιους τόμους. Δικηγόρος χάκερ που κρύβει το όνομά του
Η υπόθεση ενός από τους χάκερ της ομάδας τέθηκε σε χωριστή διαδικασία και έλαβε 5 χρόνια, συμπεριλαμβανομένης της παραβίασης του δικτύου του αεροδρομίου του Αικατερινούμπουργκ.
Τις τελευταίες δεκαετίες στη Ρωσία, οι ειδικές υπηρεσίες κατάφεραν να νικήσουν την πλειοψηφία των μεγάλων ομάδων χάκερ που παραβίασαν τον κύριο κανόνα - "Μην εργάζεσαι στο ru": Carberp (έκλεψε περίπου ενάμισι δισεκατομμύριο ρούβλια από λογαριασμούς ρωσικών τραπεζών) Anunak (έκλεψε περισσότερα από ένα δισεκατομμύριο ρούβλια από λογαριασμούς ρωσικών τραπεζών), Paunch (δημιουργούσαν πλατφόρμες για επιθέσεις μέσω των οποίων πέρασαν έως και οι μισές μολύνσεις παγκοσμίως) και ούτω καθεξής. Το εισόδημα τέτοιων ομάδων είναι συγκρίσιμο με τα κέρδη των εμπόρων όπλων και αποτελούνται από δεκάδες άτομα εκτός από τους ίδιους τους χάκερ - φύλακες, οδηγούς, ταμίες, ιδιοκτήτες τοποθεσιών όπου εμφανίζονται νέα κατορθώματα κ.λπ.
Πηγή: www.habr.com