Extracto del libro “Invasión. Una breve historia de los hackers rusos"
En mayo de este año en la editorial Individuum
Daniel recopiló materiales durante varios años, algunas historias.
Pero el hacking, como cualquier delito, es un tema demasiado cerrado. Las historias reales se transmiten sólo de boca en boca entre las personas. Y el libro deja la impresión de una incompletitud increíblemente curiosa, como si cada uno de sus héroes pudiera recopilarse en un libro de tres volúmenes sobre "cómo era realmente".
Con el permiso del editor, publicamos un breve extracto sobre el grupo Lurk, que robó bancos rusos en 2015-16.
En el verano de 2015, el Banco Central de Rusia creó Fincert, un centro de seguimiento y respuesta a incidentes informáticos en el sector crediticio y financiero. A través de él, los bancos intercambian información sobre ataques informáticos, los analizan y reciben recomendaciones de protección de los servicios de inteligencia. Hay muchos ataques de este tipo: Sberbank en junio de 2016
Perno
La policía y especialistas en ciberseguridad buscan a miembros del grupo desde 2011. Durante mucho tiempo, la búsqueda no tuvo éxito: en 2016, el grupo robó alrededor de tres mil millones de rublos de los bancos rusos, más que cualquier otro pirata informático.
El virus Lurk era diferente de los que los investigadores habían encontrado antes. Cuando el programa se ejecutó en el laboratorio para realizar pruebas, no hizo nada (por eso se llamó Lurk, del inglés "esconder"). Más tarde
Para propagar el virus, el grupo pirateó sitios web visitados por empleados bancarios: desde medios en línea (por ejemplo, RIA Novosti y Gazeta.ru) hasta foros de contabilidad. Los piratas informáticos aprovecharon una vulnerabilidad del sistema para intercambiar carteles publicitarios y distribuir malware a través de ellos. En algunos sitios, los piratas informáticos publicaron un enlace al virus solo brevemente: en el foro de una de las revistas de contabilidad, apareció entre semana a la hora del almuerzo durante dos horas, pero incluso durante este tiempo, Lurk encontró varias víctimas adecuadas.
Al hacer clic en el banner, el usuario era llevado a una página con exploits, después de lo cual comenzó a recopilarse información en la computadora atacada; los piratas informáticos estaban interesados principalmente en un programa para banca remota. Se sustituyeron los datos de las órdenes de pago bancarias por los requeridos y se enviaron transferencias no autorizadas a cuentas de empresas asociadas al grupo. Según Sergei Golovanov de Kaspersky Lab, en estos casos los grupos suelen utilizar empresas fantasma, "que son lo mismo que transferir y cobrar": el dinero recibido se cobra allí, se guarda en bolsas y se dejan marcadores en los parques de la ciudad, donde los piratas informáticos se llevan ellos. Los miembros del grupo ocultaron diligentemente sus acciones: cifraron toda la correspondencia diaria y registraron dominios con usuarios falsos. "Los atacantes utilizan triple VPN, Tor y chats secretos, pero el problema es que incluso un mecanismo que funciona bien falla", explica Golovanov. - O la VPN se cae, entonces el chat secreto resulta no ser tan secreto, entonces uno, en lugar de llamar a través de Telegram, llama simplemente desde el teléfono. Este es el factor humano. Y cuando se ha estado acumulando una base de datos durante años, es necesario buscar este tipo de accidentes. Después de esto, las fuerzas del orden pueden ponerse en contacto con los proveedores para averiguar quién visitó tal o cual dirección IP y a qué hora. Y luego se construye el caso”.
Detención de piratas informáticos de Lurk
En los garajes de los piratas informáticos se encontraron coches: modelos caros de Audi, Cadillac y Mercedes. También se descubrió un reloj con 272 diamantes incrustados.
En particular, fueron detenidos todos los técnicos del grupo. Ruslan Stoyanov, un empleado de Kaspersky Lab que participó en la investigación de los crímenes de Lurk junto con los servicios de inteligencia, dijo que la dirección buscó a muchos de ellos en sitios habituales para reclutar personal para el trabajo remoto. Los anuncios no decían nada sobre el hecho de que el trabajo sería ilegal, y en Lurk el salario se ofrecía por encima del del mercado y era posible trabajar desde casa.
“Cada mañana, excepto los fines de semana, en diferentes partes de Rusia y Ucrania, la gente se sentaba frente a sus computadoras y comenzaba a trabajar”, describió Stoyanov. "Los programadores modificaron las funciones de la siguiente versión [del virus], los probadores lo comprobaron, luego el responsable de la botnet cargó todo en el servidor de comando, después de lo cual se realizaron actualizaciones automáticas en las computadoras bot".
La consideración del caso del grupo en los tribunales comenzó en el otoño de 2017 y continuó a principios de 2019, debido al volumen del caso, que contiene alrededor de seiscientos volúmenes. Abogado hacker que oculta su nombre
El caso de uno de los piratas informáticos del grupo se llevó a un proceso separado y recibió 5 años de prisión, incluso por piratear la red del aeropuerto de Ekaterimburgo.
En las últimas décadas en Rusia, los servicios especiales lograron derrotar a la mayoría de los grandes grupos de hackers que violaron la regla principal: "No trabajar en ru": Carberp (robó alrededor de mil quinientos millones de rublos de las cuentas de los bancos rusos), Anunak (robó más de mil millones de rublos de las cuentas de los bancos rusos), Paunch (crearon plataformas de ataques a través de las cuales pasaron hasta la mitad de las infecciones en todo el mundo), etc. Los ingresos de estos grupos son comparables a los de los traficantes de armas y están formados por decenas de personas, además de los propios piratas informáticos: guardias de seguridad, conductores, cajeros, propietarios de sitios donde aparecen nuevos exploits, etc.
Fuente: habr.com