ProHoster > وبلاگ > اخبار اینترنتی > ویروس Lurk بانک ها را هک کرد در حالی که توسط کارگران معمولی از راه دور برای استخدام نوشته شده بود

ویروس Lurk بانک ها را هک کرد در حالی که توسط کارگران معمولی از راه دور برای استخدام نوشته شده بود

گزیده ای از کتاب «هجوم. تاریخچه مختصری از هکرهای روسی

ویروس Lurk بانک ها را هک کرد در حالی که توسط کارگران معمولی از راه دور برای استخدام نوشته شده بود

در اردیبهشت ماه سال جاری در انتشارات Individuum کتاب بیرون آمد روزنامه نگار دانیل توروفسکی «تهاجم. تاریخچه مختصری از هکرهای روسی." این شامل داستان هایی از سمت تاریک صنعت IT روسیه است - در مورد افرادی که عاشق رایانه بودند، نه فقط برنامه نویسی، بلکه سرقت از مردم را یاد گرفتند. کتاب، مانند خود پدیده - از هولیگانیسم نوجوانان و احزاب انجمن گرفته تا عملیات اجرای قانون و رسوایی های بین المللی توسعه می یابد.

دانیل چندین سال مطالب را جمع آوری کرد، چند داستان پخش شده در مدوزااندرو کرامر از نیویورک تایمز برای بازگویی مقالات دانیل در سال 2017 جایزه پولیتزر را دریافت کرد.

اما هک کردن، مانند هر جرم دیگری، یک موضوع بسیار بسته است. داستان های واقعی فقط از طریق دهان به دهان بین مردم منتقل می شود. و کتاب تصور یک ناقصی دیوانه‌وار کنجکاو را به جای می‌گذارد - گویی هر یک از قهرمانان آن را می‌توان در یک کتاب سه جلدی با عنوان «واقعاً چگونه بود» جمع‌آوری کرد.

با اجازه ناشر، گزیده ای کوتاه از گروه لورک که در سال های 2015-16 از بانک های روسیه سرقت کردند را منتشر می کنیم.

در تابستان سال 2015، بانک مرکزی روسیه، مرکز نظارت و پاسخگویی به حوادث رایانه ای در بخش اعتبار و مالی، Fincert را ایجاد کرد. از طریق آن، بانک‌ها اطلاعات مربوط به حملات رایانه‌ای را مبادله می‌کنند، آن‌ها را تجزیه و تحلیل می‌کنند و توصیه‌هایی برای حفاظت از سازمان‌های اطلاعاتی دریافت می‌کنند. چنین حملات زیادی وجود دارد: Sberbank در ژوئن 2016 استقبال مینماید خسارات اقتصاد روسیه از جرایم سایبری به 600 میلیارد روبل رسید - در همان زمان بانک یک شرکت تابعه به نام Bizon را خریداری کرد که با امنیت اطلاعات شرکت سروکار دارد.

در اولین گزارش نتایج کار Fincert (از اکتبر 2015 تا مارس 2016) 21 حمله هدفمند به زیرساخت های بانک را توصیف می کند. در نتیجه این رویدادها 12 پرونده جنایی تشکیل شد. بیشتر این حملات کار یک گروه بود که به افتخار ویروسی به همین نام که توسط هکرها توسعه یافته بود، Lurk نام گرفت: با کمک آن، پول از شرکت های تجاری و بانک ها به سرقت رفت.

پلیس و متخصصان امنیت سایبری از سال 2011 به دنبال اعضای این گروه بودند. برای مدت طولانی، جستجو ناموفق بود - تا سال 2016، این گروه حدود سه میلیارد روبل از بانک های روسیه سرقت کرد که بیش از هر هکر دیگری بود.

ویروس Lurk با آنهایی که محققان قبلا با آن مواجه شده بودند متفاوت بود. وقتی برنامه برای آزمایش در آزمایشگاه اجرا شد، هیچ کاری انجام نداد (به همین دلیل به آن Lurk - از انگلیسی "to hide" نامیده می شد). بعد معلوم شدکه Lurk به عنوان یک سیستم مدولار طراحی شده است: این برنامه به تدریج بلوک های اضافی را با عملکردهای مختلف بارگیری می کند - از رهگیری کاراکترهای وارد شده در صفحه کلید، ورود به سیستم و رمزهای عبور گرفته تا توانایی ضبط یک جریان ویدیویی از صفحه یک رایانه آلوده.

برای انتشار ویروس، این گروه وب سایت هایی را که کارمندان بانک از آنها بازدید می کردند هک کردند: از رسانه های آنلاین (به عنوان مثال، RIA Novosti و Gazeta.ru) گرفته تا انجمن های حسابداری. هکرها از یک آسیب پذیری در سیستم برای تبادل بنرهای تبلیغاتی سوء استفاده کرده و بدافزار را از طریق آنها توزیع کردند. در برخی از سایت ها، هکرها پیوندی به این ویروس را به طور خلاصه ارسال کردند: در انجمن یکی از مجلات حسابداری، در روزهای هفته در وقت ناهار به مدت دو ساعت ظاهر می شد، اما حتی در این مدت، لورک چندین قربانی مناسب پیدا کرد.

با کلیک بر روی بنر، کاربر به صفحه ای با سوء استفاده ها منتقل شد و پس از آن اطلاعات شروع به جمع آوری در رایانه مورد حمله کرد - هکرها عمدتاً به برنامه ای برای بانکداری از راه دور علاقه مند بودند. جزئیات دستورهای پرداخت بانکی با موارد مورد نیاز جایگزین شد و حواله های غیرمجاز به حساب شرکت های مرتبط با گروه ارسال شد. به گفته سرگئی گولوانوف از آزمایشگاه کسپرسکی، معمولاً در چنین مواردی، گروه‌ها از شرکت‌های پوسته استفاده می‌کنند، "که همان انتقال و نقدینگی هستند": پول دریافتی در آنجا نقد می‌شود، در کیسه‌ها قرار می‌گیرد و نشانک‌هایی را در پارک‌های شهر می‌گذارند، جایی که هکرها می‌برند. آنها . اعضای گروه با جدیت اقدامات خود را پنهان می کردند: آنها تمام مکاتبات روزانه را رمزگذاری می کردند و دامنه های ثبت شده را با کاربران جعلی ثبت می کردند. گولوانوف توضیح می‌دهد: «حمله‌کنندگان از VPN سه‌گانه، Tor، چت‌های مخفی استفاده می‌کنند، اما مشکل این است که حتی یک مکانیسم خوب کار نمی‌کند. - یا VPN از بین می رود، سپس معلوم می شود که چت مخفی چندان مخفی نیست، سپس یکی، به جای تماس از طریق تلگرام، به سادگی از طریق تلفن تماس می گیرد. این عامل انسانی است. و زمانی که سال هاست یک پایگاه داده جمع آوری کرده اید، باید به دنبال چنین حوادثی باشید. پس از این، مجری قانون می تواند با ارائه دهندگان تماس بگیرد تا بفهمد چه کسی و در چه زمانی از فلان آدرس IP بازدید کرده است. و سپس پرونده ساخته می شود.»

بازداشت هکرها از لورک نگاه کرد مثل یک فیلم اکشن کارمندان وزارت شرایط اضطراری قفل خانه‌های روستایی و آپارتمان‌های هکرها را در بخش‌های مختلف یکاترینبورگ قطع کردند، پس از آن افسران FSB با فریاد، هکرها را گرفتند و به زمین انداختند و محل را جستجو کردند. پس از این، مظنونان سوار اتوبوس شدند، به فرودگاه منتقل شدند، در امتداد باند فرودگاه رفتند و سوار یک هواپیمای باری شدند که به مقصد مسکو پرواز کرد.

خودروهایی در گاراژهای متعلق به هکرها - مدل‌های گران‌قیمت آئودی، کادیلاک و مرسدس بنز پیدا شدند. یک ساعت مچی با 272 الماس نیز کشف شد. کشف و ضبط جواهرات به ارزش 12 میلیون روبل و سلاح. در مجموع، پلیس حدود 80 جستجو در 15 منطقه انجام داد و حدود 50 نفر را بازداشت کرد.

به ویژه تمام متخصصان فنی گروه دستگیر شدند. روسلان استویانوف، یکی از کارکنان آزمایشگاه کسپرسکی که به همراه سرویس‌های اطلاعاتی در تحقیقات جنایات لورک شرکت داشت، گفت که مدیریت به دنبال بسیاری از آنها در سایت‌های معمولی برای استخدام پرسنل برای کار از راه دور بوده است. در آگهی ها چیزی در مورد غیرقانونی بودن کار نمی گفت و حقوق لورک بالاتر از بازار ارائه می شد و امکان کار در خانه وجود داشت.

استویانوف توضیح داد: «هر روز صبح، به جز آخر هفته‌ها، در مناطق مختلف روسیه و اوکراین، افراد پشت رایانه‌های خود می‌نشستند و شروع به کار می‌کردند. برنامه‌نویس‌ها عملکرد نسخه بعدی [ویروس] را تغییر دادند، آزمایش‌کنندگان آن را بررسی کردند، سپس فرد مسئول بات‌نت همه چیز را در سرور فرمان آپلود کرد، پس از آن به‌روزرسانی‌های خودکار در رایانه‌های ربات انجام شد.

رسیدگی به پرونده این گروه در دادگاه از پاییز 2017 آغاز شد و در ابتدای سال 2019 - با توجه به حجم پرونده که شامل حدود ششصد جلد است - ادامه یافت. وکیل هکری که نام خود را پنهان می کند اعلام کردکه هیچ یک از مظنونان با تحقیقات معامله نخواهند کرد، اما برخی بخشی از اتهامات را پذیرفتند. او توضیح داد: «مشتریان ما روی توسعه بخش‌های مختلف ویروس Lurk کار کردند، اما بسیاری از آنها به سادگی از تروجان بودن آن آگاه نبودند. "شخصی بخشی از الگوریتم هایی را ساخته است که می تواند با موفقیت در موتورهای جستجو کار کند."

پرونده یکی از هکرهای این گروه به طور جداگانه مورد رسیدگی قرار گرفت و او 5 سال از جمله برای هک کردن شبکه فرودگاه یکاترینبورگ محکوم شد.

در دهه های اخیر در روسیه، سرویس های ویژه موفق شدند اکثر گروه های هکر بزرگ را که قانون اصلی را نقض کردند - "روی ru کار نکنید" را شکست دهند: Carberp (حدود یک و نیم میلیارد روبل از حساب های بانک های روسیه به سرقت برده است) Anunak (بیش از یک میلیارد روبل از حساب های بانک های روسیه سرقت کرد)، Paunch (آنها پلتفرم هایی را برای حملات ایجاد کردند که از طریق آن نیمی از عفونت ها در سراسر جهان عبور کردند) و غیره. درآمد چنین گروه هایی با درآمد دلالان اسلحه قابل مقایسه است و آنها علاوه بر خود هکرها شامل ده ها نفر هستند - محافظان امنیتی، رانندگان، صندوقداران، صاحبان سایت هایی که در آن سوء استفاده های جدید ظاهر می شود و غیره.

منبع: www.habr.com