Extrait du livre « Invasion. Une brève histoire des hackers russes"
En mai de cette année dans la maison d'édition Individuum
Daniel a collecté des matériaux pendant plusieurs années, quelques histoires
Mais le piratage – comme tout crime – est un sujet trop fermé. Les vraies histoires se transmettent uniquement de bouche à oreille entre les gens. Et le livre laisse l'impression d'une incomplétude incroyablement curieuse - comme si chacun de ses héros pouvait être compilé dans un livre en trois volumes sur « comment c'était réellement ».
Avec la permission de l'éditeur, nous publions un court extrait sur le groupe Lurk, qui a braqué des banques russes en 2015-16.
À l'été 2015, la Banque centrale russe a créé Fincert, un centre de surveillance et de réponse aux incidents informatiques dans le secteur du crédit et de la finance. Grâce à lui, les banques échangent des informations sur les attaques informatiques, les analysent et reçoivent des recommandations de protection de la part des agences de renseignement. Il existe de nombreuses attaques de ce type : Sberbank en juin 2016
Dans le premier
La police et les spécialistes de la cybersécurité recherchent des membres du groupe depuis 2011. Pendant longtemps, les recherches ont échoué : en 2016, le groupe avait volé environ trois milliards de roubles aux banques russes, soit plus que tout autre pirate informatique.
Le virus Lurk était différent de ceux que les enquêteurs avaient rencontrés auparavant. Lorsque le programme a été exécuté en laboratoire pour être testé, il n'a rien fait (c'est pourquoi il s'appelait Lurk - de l'anglais "cacher"). Plus tard
Pour propager le virus, le groupe a piraté les sites Web visités par les employés des banques : des médias en ligne (par exemple RIA Novosti et Gazeta.ru) aux forums comptables. Les pirates ont exploité une vulnérabilité du système d'échange de bannières publicitaires et ont distribué des logiciels malveillants via celles-ci. Sur certains sites, les pirates n'ont publié que brièvement un lien vers le virus : sur le forum d'un des magazines comptables, il est apparu en semaine à midi pendant deux heures, mais même pendant ce temps, Lurk a trouvé plusieurs victimes appropriées.
En cliquant sur la bannière, l'utilisateur était redirigé vers une page contenant des exploits, après quoi des informations ont commencé à être collectées sur l'ordinateur attaqué - les pirates étaient principalement intéressés par un programme de banque à distance. Les détails des ordres de paiement bancaires ont été remplacés par ceux requis et des virements non autorisés ont été envoyés vers les comptes des sociétés associées au groupe. Selon Sergueï Golovanov de Kaspersky Lab, dans de tels cas, les groupes ont généralement recours à des sociétés écrans, « ce qui revient à transférer et à encaisser » : l'argent reçu y est encaissé, mis dans des sacs et laissé dans les parcs de la ville, où les pirates informatiques le prennent. eux . Les membres du groupe ont soigneusement caché leurs actions : ils ont crypté toute la correspondance quotidienne et enregistré les domaines auprès de faux utilisateurs. "Les attaquants utilisent triple VPN, Tor, des chats secrets, mais le problème est que même un mécanisme qui fonctionne bien échoue", explique Golovanov. - Soit le VPN tombe, alors le chat secret s'avère pas si secret, puis un, au lieu d'appeler via Telegram, appelé simplement depuis le téléphone. C'est le facteur humain. Et quand on accumule une base de données depuis des années, il faut rechercher de tels accidents. Les forces de l’ordre peuvent alors contacter les prestataires pour savoir qui a visité telle ou telle adresse IP et à quelle heure. Et puis le dossier est construit.
Détention des hackers de Lurk
Des voitures ont été trouvées dans des garages appartenant à des pirates informatiques - des modèles coûteux d'Audi, Cadillac et Mercedes. Une montre incrustée de 272 diamants a également été découverte.
En particulier, tous les spécialistes techniques du groupe ont été arrêtés. Ruslan Stoyanov, un employé de Kaspersky Lab qui a participé à l'enquête sur les crimes de Lurk en collaboration avec les services de renseignement, a déclaré que la direction recherchait beaucoup d'entre eux sur des sites réguliers pour recruter du personnel pour le travail à distance. Les publicités ne disaient rien sur le fait que le travail serait illégal, et le salaire à Lurk était supérieur à celui du marché et il était possible de travailler à domicile.
« Chaque matin, sauf le week-end, dans différentes régions de Russie et d'Ukraine, des individus s'asseyaient devant leur ordinateur et commençaient à travailler », a décrit Stoyanov. "Les programmeurs ont peaufiné les fonctions de la prochaine version [du virus], les testeurs l'ont vérifiée, puis le responsable du botnet a tout téléchargé sur le serveur de commandes, après quoi des mises à jour automatiques ont eu lieu sur les ordinateurs du bot."
L'examen du dossier du groupe devant les tribunaux a commencé à l'automne 2017 et s'est poursuivi début 2019 - en raison du volume de l'affaire, qui contient environ six cents volumes. Un avocat hacker qui cache son nom
Le cas de l'un des hackers du groupe a fait l'objet d'une procédure distincte et il a été condamné à 5 ans de prison, notamment pour piratage du réseau de l'aéroport d'Ekaterinbourg.
Au cours des dernières décennies en Russie, les services spéciaux ont réussi à vaincre la majorité des grands groupes de hackers qui ont violé la règle principale - « Ne travaillez pas sur ru » : Carberp (volé environ un milliard et demi de roubles sur les comptes des banques russes), Anunak (ils ont volé plus d'un milliard de roubles sur les comptes des banques russes), Paunch (ils ont créé des plates-formes d'attaques par lesquelles transitaient jusqu'à la moitié des infections dans le monde), etc. Les revenus de ces groupes sont comparables à ceux des marchands d'armes, et ils comprennent des dizaines de personnes en plus des pirates informatiques eux-mêmes - agents de sécurité, chauffeurs, caissiers, propriétaires de sites où apparaissent de nouveaux exploits, etc.
Source: habr.com