Ote kirjasta "Invasion. Lyhyt historia venäläisistä hakkereista"
Tämän vuoden toukokuussa kustantamo Individuum toimittaja Daniil Turovsky "Invaasio. Lyhyt historia venäläisistä hakkereista." Se sisältää tarinoita Venäjän IT-alan pimeältä puolelta - miehistä, jotka rakastuttuaan tietokoneisiin oppivat paitsi ohjelmoimaan myös ryöstämään ihmisiä. Kirja kehittyy, kuten itse ilmiö - teini-huliganismista ja foorumijuhlista lainvalvontaoperaatioihin ja kansainvälisiin skandaaleihin.
Daniel keräsi materiaalia useiden vuosien ajan, joitain tarinoita New York Timesin Andrew Kramer sai Pulitzer-palkinnon vuonna 2017 Danielin artikkeleiden uudelleenkertomuksistaan.
Mutta hakkerointi, kuten mikä tahansa rikos, on liian suljettu aihe. Todelliset tarinat välittyvät ihmisten välillä vain suusta suuhun. Ja kirja jättää vaikutelman järjettömän uteliaasta epätäydellisyydestä - ikään kuin jokainen sen sankari voitaisiin koota kolmiosaiseksi kirjaksi "miten se todella oli".
Julkaisemme kustantajan luvalla lyhyen otteen Lurk-ryhmästä, joka ryösti venäläisiä pankkeja vuosina 2015-16.
Venäjän keskuspankki loi kesällä 2015 Fincertin, joka on luotto- ja finanssialan tietokonetapahtumien seuranta- ja reagointikeskus. Sen kautta pankit vaihtavat tietoja tietokonehyökkäyksistä, analysoivat niitä ja saavat tiedusteluviranomaisilta suojautumissuosituksia. Tällaisia hyökkäyksiä on monia: Sberbank kesäkuussa 2016 Venäjän talouden tappiot kyberrikollisuudesta olivat 600 miljardia ruplaa - samalla pankki osti tytäryhtiön Bizonin, joka hoitaa yrityksen tietoturvaa.
Ensimmäisessä Fincertin työn tulokset (lokakuusta 2015 maaliskuuhun 2016) kuvaavat 21 kohdennettua hyökkäystä pankkiinfrastruktuuriin; Tapahtumien seurauksena käynnistettiin 12 rikosasiaa. Suurin osa näistä hyökkäyksistä oli yhden ryhmän työtä, joka nimettiin Lurkiksi hakkereiden kehittämän samannimisen viruksen kunniaksi: sen avulla varastettiin rahaa kaupallisilta yrityksiltä ja pankeilta.
Poliisi ja kyberturvallisuusasiantuntijat ovat etsineet ryhmän jäseniä vuodesta 2011 lähtien. Pitkään aikaan etsintä epäonnistui - vuoteen 2016 mennessä ryhmä varasti venäläisiltä pankeilta noin kolme miljardia ruplaa, enemmän kuin muut hakkerit.
Lurk-virus oli erilainen kuin ne tutkijat, jotka olivat aiemmin kohdanneet. Kun ohjelma ajettiin laboratoriossa testausta varten, se ei tehnyt mitään (siksi sitä kutsuttiin Lurk - englannin kielestä "to hide"). Myöhemmin että Lurk on suunniteltu modulaariseksi järjestelmäksi: ohjelma lataa vähitellen lisälohkoja erilaisilla toiminnoilla - näppäimistöllä syötettyjen merkkien sieppaamisesta, kirjautumisista ja salasanoista mahdollisuuteen tallentaa videovirtaa tartunnan saaneen tietokoneen näytöltä.
Viruksen levittämiseksi ryhmä hakkeroi pankkien työntekijöiden vierailemille verkkosivustoille: verkkomediasta (esimerkiksi RIA Novosti ja Gazeta.ru) kirjanpitofoorumeille. Hakkerit käyttivät hyväkseen järjestelmän haavoittuvuutta vaihtaessaan mainosbannereita ja levittivät haittaohjelmia niiden kautta. Joillakin sivustoilla hakkerit julkaisivat linkin virukseen vain lyhyesti: yhden kirjanpitolehden foorumilla se ilmestyi arkisin lounasaikaan kahden tunnin ajan, mutta tänäkin aikana Lurk löysi useita sopivia uhreja.
Napsauttamalla banneria käyttäjä ohjattiin hyväksikäyttösivulle, jonka jälkeen hyökkäyksen kohteena olevasta tietokoneesta alettiin kerätä tietoja - hakkereita kiinnosti pääasiassa etäpankkitoimintaan tarkoitettu ohjelma. Pankkimaksumääräysten tiedot korvattiin vaadituilla tiedoilla ja luvattomia siirtoja lähetettiin konserniin liittyvien yritysten tileille. Kaspersky Labin Sergei Golovanovin mukaan ryhmät käyttävät yleensä tällaisissa tapauksissa shell-yhtiöitä, "jotka ovat sama asia kuin siirto ja kotiuttaminen": saadut rahat lunastetaan siellä, laitetaan pusseihin ja jätetään kirjanmerkkejä kaupungin puistoihin, joista hakkerit vievät. niitä. Ryhmän jäsenet piilottivat toimintansa ahkerasti: he salasivat kaiken päivittäisen kirjeenvaihdon ja rekisteröivät verkkotunnukset väärennetyillä käyttäjillä. "Hyökkääjät käyttävät kolminkertaista VPN:ää, Toria, salaisia keskusteluja, mutta ongelmana on, että jopa hyvin toimiva mekanismi epäonnistuu", Golovanov selittää. - Joko VPN putoaa, sitten salainen chat osoittautuu ei niin salaiseksi, sitten yksi, sen sijaan, että soittaisi Telegramin kautta, soitettiin yksinkertaisesti puhelimesta. Tämä on inhimillinen tekijä. Ja kun olet kerännyt tietokantaa vuosia, sinun on etsittävä tällaisia onnettomuuksia. Tämän jälkeen lainvalvontaviranomaiset voivat ottaa yhteyttä palveluntarjoajiin selvittääkseen, kuka vieraili sellaisessa tai sellaisessa IP-osoitteessa ja mihin aikaan. Ja sitten tapaus rakennetaan."
Hakkerien pidätys Lurkista kuin toimintaelokuva. Hätätilanneministeriön työntekijät katkaisivat lukot hakkereiden maalaistaloista ja asunnoista Jekaterinburgin eri osissa, minkä jälkeen FSB-upseerit puhkesivat huutamaan, tarttuivat hakkereihin ja heittivät ne lattialle sekä tutkivat tilat. Tämän jälkeen epäillyt laitettiin bussiin, kuljetettiin lentokentälle, käveltiin kiitorataa pitkin ja vietiin rahtikoneeseen, joka lähti Moskovaan.
Hakkereille kuuluvista autotalleista löydettiin autoja - kalliita Audi-, Cadillac- ja Mercedes-malleja. Myös kello, jossa oli 272 timanttia, löydettiin. 12 miljoonan ruplan arvoisia koruja ja aseita. Yhteensä poliisi teki noin 80 etsintä 15 alueella ja pidätti noin 50 henkilöä.
Erityisesti kaikki ryhmän tekniset asiantuntijat pidätettiin. Kaspersky Labin työntekijä Ruslan Stoyanov, joka oli mukana Lurk-rikosten tutkinnassa yhdessä tiedustelupalvelujen kanssa, kertoi, että johto etsi monia heistä säännöllisiltä etätyön henkilöstön rekrytointikohteilta. Ilmoituksissa ei kerrottu mitään siitä, että työ olisi laitonta, ja Lurkissa tarjottiin palkkaa markkinahintaa korkeammalle ja kotoa oli mahdollista tehdä töitä.
"Joka aamu, viikonloppuja lukuun ottamatta, eri puolilla Venäjää ja Ukrainaa ihmiset istuivat tietokoneidensa ääreen ja alkoivat työskennellä", Stoyanov kuvaili. "Ohjelmoijat säätelivät seuraavan version [viruksen] toimintoja, testaajat tarkistivat sen, sitten bottiverkosta vastaava henkilö latasi kaiken komentopalvelimelle, minkä jälkeen automaattiset päivitykset tapahtuivat bottitietokoneissa."
Ryhmän asian käsittely oikeudessa alkoi syksyllä 2017 ja jatkui vuoden 2019 alussa - johtuen asian noin kuusisataa osaa sisältävästä volyymista. Hakkerilakimies piilottelee nimeään että kukaan epäillyistä ei sopisi tutkinnan kanssa, mutta jotkut myönsivät osan syytteistä. "Asiakkaamme tekivät työtä kehittääkseen Lurk-viruksen eri osia, mutta monet eivät yksinkertaisesti tienneet, että se oli troijalainen", hän selitti. "Joku teki osan algoritmeista, jotka voisivat toimia menestyksekkäästi hakukoneissa."
Yhden ryhmän hakkereista tapaus nostettiin erilliseen menettelyyn, ja hän sai 5 vuotta, mukaan lukien Jekaterinburgin lentokentän verkon hakkerointi.
Viime vuosikymmeninä Venäjällä erikoispalvelut onnistuivat kukistamaan suurimman osan suurista hakkeriryhmistä, jotka rikkoivat pääsääntöä - "Älä työskentele rulla": Carberp (varasti noin puolitoista miljardia ruplaa venäläisten pankkien tileiltä), Anunak (varasti yli miljardi ruplaa venäläisten pankkien tileiltä), Paunch (he loivat alustoja hyökkäyksille, joiden kautta jopa puolet maailmanlaajuisista tartunnoista kulki) ja niin edelleen. Tällaisten ryhmien tulot ovat verrattavissa asekauppiaiden tuloihin, ja he koostuvat hakkereiden lisäksi kymmenistä ihmisistä - vartijoista, kuljettajista, kassanhoitajista, uusien hyökkäyksiä sisältävien sivustojen omistajista ja niin edelleen.
Lähde: will.com