Extracto del libro “Invasión. Una breve historia de los hackers rusos"
En mayo de este año en la editorial Individuum periodista Daniil Turovsky “Invasión. Una breve historia de los hackers rusos." Contiene historias del lado oscuro de la industria informática rusa: sobre tipos que, enamorados de las computadoras, aprendieron no solo a programar, sino también a robar a la gente. El libro se desarrolla como el fenómeno en sí: desde el vandalismo adolescente y las fiestas en los foros hasta las operaciones policiales y los escándalos internacionales.
Daniel recopiló materiales durante varios años, algunas historias. , por sus recuentos de los artículos de Daniel, Andrew Kramer del New York Times recibió un premio Pulitzer en 2017.
Pero el hacking, como cualquier delito, es un tema demasiado cerrado. Las historias reales se transmiten sólo de boca en boca entre las personas. Y el libro deja la impresión de una incompletitud increíblemente curiosa, como si cada uno de sus héroes pudiera recopilarse en un libro de tres volúmenes sobre "cómo era realmente".
Con el permiso del editor, publicamos un breve extracto sobre el grupo Lurk, que robó bancos rusos en 2015-16.
En el verano de 2015, el Banco Central de Rusia creó Fincert, un centro de seguimiento y respuesta a incidentes informáticos en el sector crediticio y financiero. A través de él, los bancos intercambian información sobre ataques informáticos, los analizan y reciben recomendaciones de protección de los servicios de inteligencia. Hay muchos ataques de este tipo: Sberbank en junio de 2016 Las pérdidas de la economía rusa por la ciberdelincuencia ascendieron a 600 mil millones de rublos; al mismo tiempo, el banco adquirió una filial, Bizon, que se ocupa de la seguridad de la información de la empresa.
Perno los resultados del trabajo de Fincert (de octubre de 2015 a marzo de 2016) describen 21 ataques dirigidos a infraestructura bancaria; Como resultado de estos hechos se iniciaron 12 causas penales. La mayoría de estos ataques fueron obra de un grupo llamado Lurk en honor al virus del mismo nombre desarrollado por piratas informáticos: con su ayuda se robó dinero de empresas comerciales y bancos.
La policía y especialistas en ciberseguridad buscan a miembros del grupo desde 2011. Durante mucho tiempo, la búsqueda no tuvo éxito: en 2016, el grupo robó alrededor de tres mil millones de rublos de los bancos rusos, más que cualquier otro pirata informático.
El virus Lurk era diferente de los que los investigadores habían encontrado antes. Cuando el programa se ejecutó en el laboratorio para realizar pruebas, no hizo nada (por eso se llamó Lurk, del inglés "esconder"). Más tarde que Lurk está diseñado como un sistema modular: el programa carga gradualmente bloques adicionales con diversas funciones, desde interceptar caracteres ingresados en el teclado, inicios de sesión y contraseñas hasta la capacidad de grabar una transmisión de video desde la pantalla de una computadora infectada.
Para propagar el virus, el grupo pirateó sitios web visitados por empleados bancarios: desde medios en línea (por ejemplo, RIA Novosti y Gazeta.ru) hasta foros de contabilidad. Los piratas informáticos aprovecharon una vulnerabilidad del sistema para intercambiar carteles publicitarios y distribuir malware a través de ellos. En algunos sitios, los piratas informáticos publicaron un enlace al virus solo brevemente: en el foro de una de las revistas de contabilidad, apareció entre semana a la hora del almuerzo durante dos horas, pero incluso durante este tiempo, Lurk encontró varias víctimas adecuadas.
Al hacer clic en el banner, el usuario era llevado a una página con exploits, después de lo cual comenzó a recopilarse información en la computadora atacada; los piratas informáticos estaban interesados principalmente en un programa para banca remota. Se sustituyeron los datos de las órdenes de pago bancarias por los requeridos y se enviaron transferencias no autorizadas a cuentas de empresas asociadas al grupo. Según Sergei Golovanov de Kaspersky Lab, en estos casos los grupos suelen utilizar empresas fantasma, "que son lo mismo que transferir y cobrar": el dinero recibido se cobra allí, se guarda en bolsas y se dejan marcadores en los parques de la ciudad, donde los piratas informáticos se llevan ellos. Los miembros del grupo ocultaron diligentemente sus acciones: cifraron toda la correspondencia diaria y registraron dominios con usuarios falsos. "Los atacantes utilizan triple VPN, Tor y chats secretos, pero el problema es que incluso un mecanismo que funciona bien falla", explica Golovanov. - O la VPN se cae, entonces el chat secreto resulta no ser tan secreto, entonces uno, en lugar de llamar a través de Telegram, llama simplemente desde el teléfono. Este es el factor humano. Y cuando se ha estado acumulando una base de datos durante años, es necesario buscar este tipo de accidentes. Después de esto, las fuerzas del orden pueden ponerse en contacto con los proveedores para averiguar quién visitó tal o cual dirección IP y a qué hora. Y luego se construye el caso”.
Detención de piratas informáticos de Lurk como una película de acción. Los empleados del Ministerio de Situaciones de Emergencia cortaron las cerraduras de las casas de campo y apartamentos de los piratas informáticos en diferentes partes de Ekaterimburgo, después de lo cual los agentes del FSB estallaron en gritos, agarraron a los piratas informáticos, los arrojaron al suelo y registraron el local. Después de esto, los sospechosos fueron subidos a un autobús, llevados al aeropuerto, caminaron por la pista y subidos a un avión de carga, que despegó hacia Moscú.
En los garajes de los piratas informáticos se encontraron coches: modelos caros de Audi, Cadillac y Mercedes. También se descubrió un reloj con 272 diamantes incrustados. joyas por valor de 12 millones de rublos y armas. En total, la policía realizó alrededor de 80 registros en 15 regiones y detuvo a unas 50 personas.
En particular, fueron detenidos todos los técnicos del grupo. Ruslan Stoyanov, un empleado de Kaspersky Lab que participó en la investigación de los crímenes de Lurk junto con los servicios de inteligencia, dijo que la dirección buscó a muchos de ellos en sitios habituales para reclutar personal para el trabajo remoto. Los anuncios no decían nada sobre el hecho de que el trabajo sería ilegal, y en Lurk el salario se ofrecía por encima del del mercado y era posible trabajar desde casa.
“Cada mañana, excepto los fines de semana, en diferentes partes de Rusia y Ucrania, la gente se sentaba frente a sus computadoras y comenzaba a trabajar”, describió Stoyanov. "Los programadores modificaron las funciones de la siguiente versión [del virus], los probadores lo comprobaron, luego el responsable de la botnet cargó todo en el servidor de comando, después de lo cual se realizaron actualizaciones automáticas en las computadoras bot".
La consideración del caso del grupo en los tribunales comenzó en el otoño de 2017 y continuó a principios de 2019, debido al volumen del caso, que contiene alrededor de seiscientos volúmenes. Abogado hacker que oculta su nombre que ninguno de los sospechosos llegaría a un acuerdo con la investigación, pero algunos admitieron parte de los cargos. "Nuestros clientes trabajaron en el desarrollo de varias partes del virus Lurk, pero muchos simplemente no sabían que se trataba de un troyano", explicó. “Alguien hizo parte de los algoritmos que podrían funcionar con éxito en los motores de búsqueda”.
El caso de uno de los piratas informáticos del grupo se llevó a un proceso separado y recibió 5 años de prisión, incluso por piratear la red del aeropuerto de Ekaterimburgo.
En las últimas décadas en Rusia, los servicios especiales lograron derrotar a la mayoría de los grandes grupos de hackers que violaron la regla principal: "No trabajar en ru": Carberp (robó alrededor de mil quinientos millones de rublos de las cuentas de los bancos rusos), Anunak (robó más de mil millones de rublos de las cuentas de los bancos rusos), Paunch (crearon plataformas de ataques a través de las cuales pasaron hasta la mitad de las infecciones en todo el mundo), etc. Los ingresos de estos grupos son comparables a los de los traficantes de armas y están formados por decenas de personas, además de los propios piratas informáticos: guardias de seguridad, conductores, cajeros, propietarios de sitios donde aparecen nuevos exploits, etc.
Fuente: habr.com