Katkend raamatust „Invasioon. Venemaa häkkerite lühiajalugu"
Selle aasta mais kirjastuses Individuum ajakirjanik Daniil Turovski “Invasioon. Venemaa häkkerite lühiajalugu." See sisaldab lugusid Venemaa IT-tööstuse varjuküljest – meestest, kes arvutisse armunud õppisid mitte ainult programmeerima, vaid inimesi röövima. Raamat areneb, nagu ka nähtus ise – teismeliste huligaansusest ja foorumipidudest korrakaitseoperatsioonide ja rahvusvaheliste skandaalideni.
Daniel kogus mitu aastat materjale, mõningaid lugusid , Danieli artiklite ümberjutustuste eest sai Andrew Kramer New York Timesist 2017. aastal Pulitzeri auhinna.
Kuid häkkimine, nagu iga kuritegu, on liiga suletud teema. Tõsiseid lugusid edastatakse inimeste vahel ainult suust suhu. Ja raamat jätab meeletult uudishimuliku ebatäielikkuse mulje – justkui saaks iga selle kangelase koondada kolmeköiteliseks raamatuks “kuidas see tegelikult oli”.
Avaldame väljaandja loal lühikese väljavõtte 2015-16 Venemaa pankasid röövinud Lurk grupist.
2015. aasta suvel lõi Venemaa keskpank krediidi- ja finantssektori arvutiintsidentide jälgimise ja neile reageerimise keskuse Fincert. Selle kaudu vahetavad pangad teavet arvutirünnakute kohta, analüüsivad neid ja saavad luureagentuuridelt kaitsesoovitusi. Selliseid rünnakuid on palju: Sberbank 2016. aasta juunis Venemaa majanduse kahju küberkuritegevusest ulatus 600 miljardi rublani – samal ajal omandas pank tütarettevõtte Bizon, mis tegeleb ettevõtte infoturbega.
Esimesena Fincerti töö tulemused (oktoober 2015 kuni märts 2016) kirjeldavad 21 suunatud rünnakut pangataristu vastu; Nende sündmuste tulemusena algatati 12 kriminaalasja. Enamik neist rünnakutest oli ühe grupi töö, mis sai häkkerite välja töötatud samanimelise viiruse auks nimeks Lurk: selle abiga varastati raha äriettevõtetest ja pankadest.
Politsei- ja küberjulgeolekuspetsialistid on rühmituse liikmeid otsinud alates 2011. aastast. Pikka aega olid otsingud ebaõnnestunud – 2016. aastaks varastas rühmitus Venemaa pankadest umbes kolm miljardit rubla ehk rohkem kui ükski teine häkkerid.
Lurki viirus erines neist, kellega uurijad olid varem kokku puutunud. Kui programmi laboris testimiseks käivitati, ei teinud see midagi (sellepärast kutsuti seda Lurk - inglise keelest "to hide"). Hiljem et Lurk on loodud modulaarse süsteemina: programm laadib järk-järgult lisaplokke erinevate funktsionaalsustega – alates klaviatuuril sisestatud märkide pealtkuulamisest, sisselogimisnimedest ja paroolidest kuni võimaluseni salvestada videovoogu nakatunud arvuti ekraanilt.
Viiruse levitamiseks häkkis rühmitus sisse veebilehtedele, mida pangatöötajad külastasid: online-meediast (näiteks RIA Novosti ja Gazeta.ru) kuni raamatupidamisfoorumiteni. Häkkerid kasutasid reklaambännerite vahetamiseks ära süsteemi haavatavust ja levitasid nende kaudu pahavara. Mõnele saidile postitasid häkkerid viiruse lingi vaid põgusalt: ühe raamatupidamisajakirja foorumisse ilmus see argipäeviti lõuna ajal kaks tundi, kuid ka selle aja jooksul leidis Lurk mitu sobivat ohvrit.
Bänneril klõpsates viidi kasutaja exploitidega lehele, misjärel hakati rünnatud arvuti kohta infot koguma – häkkereid huvitas peamiselt kaugpanganduse programm. Panga maksekorralduste andmed asendati nõutud andmetega ning volitamata ülekanded saadeti kontserniga seotud ettevõtete kontodele. Sergei Golovanovi Kaspersky Labist sõnul kasutavad grupid tavaliselt sellistel puhkudel varifirmasid, “mis on sama, mis ülekandmine ja väljamaksmine”: saadud raha kasseeritakse seal, pannakse kottidesse ja jäetakse järjehoidjad linnaparkidesse, kust häkkerid viivad. neid. Grupi liikmed varjasid oma tegusid usinalt: krüpteerisid kogu igapäevase kirjavahetuse ja registreerisid võltskasutajatega domeene. "Ründajad kasutavad kolmekordset VPN-i, Tori, salajasi vestlusi, kuid probleem on selles, et isegi hästi toimiv mehhanism ebaõnnestub," selgitab Golovanov. - Kas VPN kukub ära, siis selgub, et salajane vestlus polegi nii salajane, siis helistati Telegrami kaudu helistamise asemel lihtsalt telefonist. See on inimfaktor. Ja kui olete juba aastaid andmebaasi kogunud, peate selliseid õnnetusi otsima. Pärast seda saavad õiguskaitseorganid ühendust võtta teenusepakkujatega, et selgitada välja, kes ja mis ajal sellist ja sellist IP-aadressi külastasid. Ja siis on juhtum valmis.
Lurki häkkerite kinnipidamine nagu märulifilm. Eriolukordade ministeeriumi töötajad lõikasid Jekaterinburgi eri paigus ära häkkerite maamajade ja korterite lukud, misjärel puhkesid FSB ohvitserid karjuma, haarasid häkkerid kinni ja viskasid nad põrandale ning otsisid ruumid läbi. Pärast seda pandi kahtlusalused bussi, viidi lennujaama, kõndisid mööda lennurada ja viidi kaubalennukile, mis startis Moskvasse.
Häkkeritele kuuluvatest garaažidest leiti autosid – kalleid Audi, Cadillaci ja Mercedese mudeleid. Samuti avastati 272 teemandiga inkrusteeritud käekell. 12 miljoni rubla väärtuses ehteid ja relvi. Kokku viis politsei 80 piirkonnas läbi umbes 15 läbiotsimist ja pidas kinni umbes 50 inimest.
Eelkõige arreteeriti kõik rühma tehnilised spetsialistid. Koos luureteenistustega Lurki kuritegude uurimisega tegelenud Kaspersky Labi töötaja Ruslan Stojanov ütles, et juhtkond otsis paljusid neist tavapärastelt kaugtööks personali värbamise saitidelt. Kuulutustes ei öeldud midagi selle kohta, et töö oleks illegaalne ning Lurkis pakuti palka üle turu palga ning kodust tööd sai teha.
"Igal hommikul, välja arvatud nädalavahetused, istusid inimesed Venemaa ja Ukraina eri paigus arvutite taha ja asusid tööle," kirjeldas Stojanov. "Programmeerijad kohandasid [viiruse] järgmise versiooni funktsioone, testijad kontrollisid seda, seejärel laadis botneti eest vastutav isik kõik käsuserverisse, misjärel toimusid robotarvutites automaatsed värskendused."
Grupi süüasja arutamine kohtus algas 2017. aasta sügisel ja jätkus 2019. aasta alguses – seda asja mahukuse tõttu, mis sisaldab umbes kuussada köidet. Häkkeradvokaat varjab oma nime et ükski kahtlusalune ei tee uurimisega tehingut, kuid mõned tunnistasid osa süüdistustest. "Meie kliendid tegid küll tööd Lurk viiruse erinevate osade väljatöötamisega, kuid paljud lihtsalt ei teadnud, et tegemist on troojalasega," selgitas ta. "Keegi lõi osa algoritmidest, mis võiksid otsingumootorites edukalt töötada."
Grupi ühe häkkeri juhtum viidi eraldi menetlusse ja ta sai 5 aastat, sealhulgas Jekaterinburgi lennujaama võrgu häkkimise eest.
Viimastel aastakümnetel Venemaal õnnestus eriteenistustel võita enamik suuri häkkerirühmitusi, kes rikkusid põhireeglit - "Ära tööta ru-l": Carberp (varastas Venemaa pankade kontodelt umbes poolteist miljardit rubla), Anunak (varastas Venemaa pankade kontodelt enam kui miljard rubla), Paunch (nad lõid rünnakute jaoks platvormid, mille kaudu liikusid kuni pooled nakkused kogu maailmas) ja nii edasi. Selliste rühmituste sissetulek on võrreldav relvakaupmeeste sissetulekutega ning lisaks häkkeritele endile koosneb nendest kümnetest inimestest – turvameestest, autojuhtidest, kassapidajatest, uute vägitegude ilmumise saitide omanikest jne.
Allikas: www.habr.com