گزیده ای از کتاب «هجوم. تاریخچه مختصری از هکرهای روسی
در اردیبهشت ماه سال جاری در انتشارات Individuum
دانیل چندین سال مطالب را جمع آوری کرد، چند داستان
اما هک کردن، مانند هر جرم دیگری، یک موضوع بسیار بسته است. داستان های واقعی فقط از طریق دهان به دهان بین مردم منتقل می شود. و کتاب تصور یک ناقصی دیوانهوار کنجکاو را به جای میگذارد - گویی هر یک از قهرمانان آن را میتوان در یک کتاب سه جلدی با عنوان «واقعاً چگونه بود» جمعآوری کرد.
با اجازه ناشر، گزیده ای کوتاه از گروه لورک که در سال های 2015-16 از بانک های روسیه سرقت کردند را منتشر می کنیم.
در تابستان سال 2015، بانک مرکزی روسیه، مرکز نظارت و پاسخگویی به حوادث رایانه ای در بخش اعتبار و مالی، Fincert را ایجاد کرد. از طریق آن، بانکها اطلاعات مربوط به حملات رایانهای را مبادله میکنند، آنها را تجزیه و تحلیل میکنند و توصیههایی برای حفاظت از سازمانهای اطلاعاتی دریافت میکنند. چنین حملات زیادی وجود دارد: Sberbank در ژوئن 2016
در اولین
پلیس و متخصصان امنیت سایبری از سال 2011 به دنبال اعضای این گروه بودند. برای مدت طولانی، جستجو ناموفق بود - تا سال 2016، این گروه حدود سه میلیارد روبل از بانک های روسیه سرقت کرد که بیش از هر هکر دیگری بود.
ویروس Lurk با آنهایی که محققان قبلا با آن مواجه شده بودند متفاوت بود. وقتی برنامه برای آزمایش در آزمایشگاه اجرا شد، هیچ کاری انجام نداد (به همین دلیل به آن Lurk - از انگلیسی "to hide" نامیده می شد). بعد
برای انتشار ویروس، این گروه وب سایت هایی را که کارمندان بانک از آنها بازدید می کردند هک کردند: از رسانه های آنلاین (به عنوان مثال، RIA Novosti و Gazeta.ru) گرفته تا انجمن های حسابداری. هکرها از یک آسیب پذیری در سیستم برای تبادل بنرهای تبلیغاتی سوء استفاده کرده و بدافزار را از طریق آنها توزیع کردند. در برخی از سایت ها، هکرها پیوندی به این ویروس را به طور خلاصه ارسال کردند: در انجمن یکی از مجلات حسابداری، در روزهای هفته در وقت ناهار به مدت دو ساعت ظاهر می شد، اما حتی در این مدت، لورک چندین قربانی مناسب پیدا کرد.
با کلیک بر روی بنر، کاربر به صفحه ای با سوء استفاده ها منتقل شد و پس از آن اطلاعات شروع به جمع آوری در رایانه مورد حمله کرد - هکرها عمدتاً به برنامه ای برای بانکداری از راه دور علاقه مند بودند. جزئیات دستورهای پرداخت بانکی با موارد مورد نیاز جایگزین شد و حواله های غیرمجاز به حساب شرکت های مرتبط با گروه ارسال شد. به گفته سرگئی گولوانوف از آزمایشگاه کسپرسکی، معمولاً در چنین مواردی، گروهها از شرکتهای پوسته استفاده میکنند، "که همان انتقال و نقدینگی هستند": پول دریافتی در آنجا نقد میشود، در کیسهها قرار میگیرد و نشانکهایی را در پارکهای شهر میگذارند، جایی که هکرها میبرند. آنها . اعضای گروه با جدیت اقدامات خود را پنهان می کردند: آنها تمام مکاتبات روزانه را رمزگذاری می کردند و دامنه های ثبت شده را با کاربران جعلی ثبت می کردند. گولوانوف توضیح میدهد: «حملهکنندگان از VPN سهگانه، Tor، چتهای مخفی استفاده میکنند، اما مشکل این است که حتی یک مکانیسم خوب کار نمیکند. - یا VPN از بین می رود، سپس معلوم می شود که چت مخفی چندان مخفی نیست، سپس یکی، به جای تماس از طریق تلگرام، به سادگی از طریق تلفن تماس می گیرد. این عامل انسانی است. و زمانی که سال هاست یک پایگاه داده جمع آوری کرده اید، باید به دنبال چنین حوادثی باشید. پس از این، مجری قانون می تواند با ارائه دهندگان تماس بگیرد تا بفهمد چه کسی و در چه زمانی از فلان آدرس IP بازدید کرده است. و سپس پرونده ساخته می شود.»
بازداشت هکرها از لورک
خودروهایی در گاراژهای متعلق به هکرها - مدلهای گرانقیمت آئودی، کادیلاک و مرسدس بنز پیدا شدند. یک ساعت مچی با 272 الماس نیز کشف شد.
به ویژه تمام متخصصان فنی گروه دستگیر شدند. روسلان استویانوف، یکی از کارکنان آزمایشگاه کسپرسکی که به همراه سرویسهای اطلاعاتی در تحقیقات جنایات لورک شرکت داشت، گفت که مدیریت به دنبال بسیاری از آنها در سایتهای معمولی برای استخدام پرسنل برای کار از راه دور بوده است. در آگهی ها چیزی در مورد غیرقانونی بودن کار نمی گفت و حقوق لورک بالاتر از بازار ارائه می شد و امکان کار در خانه وجود داشت.
استویانوف توضیح داد: «هر روز صبح، به جز آخر هفتهها، در مناطق مختلف روسیه و اوکراین، افراد پشت رایانههای خود مینشستند و شروع به کار میکردند. برنامهنویسها عملکرد نسخه بعدی [ویروس] را تغییر دادند، آزمایشکنندگان آن را بررسی کردند، سپس فرد مسئول باتنت همه چیز را در سرور فرمان آپلود کرد، پس از آن بهروزرسانیهای خودکار در رایانههای ربات انجام شد.
رسیدگی به پرونده این گروه در دادگاه از پاییز 2017 آغاز شد و در ابتدای سال 2019 - با توجه به حجم پرونده که شامل حدود ششصد جلد است - ادامه یافت. وکیل هکری که نام خود را پنهان می کند
پرونده یکی از هکرهای این گروه به طور جداگانه مورد رسیدگی قرار گرفت و او 5 سال از جمله برای هک کردن شبکه فرودگاه یکاترینبورگ محکوم شد.
در دهه های اخیر در روسیه، سرویس های ویژه موفق شدند اکثر گروه های هکر بزرگ را که قانون اصلی را نقض کردند - "روی ru کار نکنید" را شکست دهند: Carberp (حدود یک و نیم میلیارد روبل از حساب های بانک های روسیه به سرقت برده است) Anunak (بیش از یک میلیارد روبل از حساب های بانک های روسیه سرقت کرد)، Paunch (آنها پلتفرم هایی را برای حملات ایجاد کردند که از طریق آن نیمی از عفونت ها در سراسر جهان عبور کردند) و غیره. درآمد چنین گروه هایی با درآمد دلالان اسلحه قابل مقایسه است و آنها علاوه بر خود هکرها شامل ده ها نفر هستند - محافظان امنیتی، رانندگان، صندوقداران، صاحبان سایت هایی که در آن سوء استفاده های جدید ظاهر می شود و غیره.
منبع: www.habr.com