Extrait du livre « Invasion. Une brève histoire des hackers russes"
En mai de cette année dans la maison d'édition Individuum journaliste Daniil Turovsky « Invasion. Une brève histoire des hackers russes." Il contient des histoires du côté obscur de l'industrie informatique russe - sur des gars qui, tombés amoureux des ordinateurs, ont appris non seulement à programmer, mais aussi à voler des gens. Le livre se développe, comme le phénomène lui-même - du hooliganisme chez les adolescents et des fêtes de forum aux opérations des forces de l'ordre et aux scandales internationaux.
Daniel a collecté des matériaux pendant plusieurs années, quelques histoires , pour ses récits des articles de Daniel, Andrew Kramer du New York Times a reçu un prix Pulitzer en 2017.
Mais le piratage – comme tout crime – est un sujet trop fermé. Les vraies histoires se transmettent uniquement de bouche à oreille entre les gens. Et le livre laisse l'impression d'une incomplétude incroyablement curieuse - comme si chacun de ses héros pouvait être compilé dans un livre en trois volumes sur « comment c'était réellement ».
Avec la permission de l'éditeur, nous publions un court extrait sur le groupe Lurk, qui a braqué des banques russes en 2015-16.
À l'été 2015, la Banque centrale russe a créé Fincert, un centre de surveillance et de réponse aux incidents informatiques dans le secteur du crédit et de la finance. Grâce à lui, les banques échangent des informations sur les attaques informatiques, les analysent et reçoivent des recommandations de protection de la part des agences de renseignement. Il existe de nombreuses attaques de ce type : Sberbank en juin 2016 les pertes de l'économie russe dues à la cybercriminalité se sont élevées à 600 milliards de roubles - en même temps, la banque a acquis une filiale, Bizon, qui s'occupe de la sécurité des informations de l'entreprise.
Dans le premier les résultats des travaux de Fincert (d’octobre 2015 à mars 2016) décrivent 21 attaques ciblées sur les infrastructures bancaires ; À la suite de ces événements, 12 poursuites pénales ont été ouvertes. La plupart de ces attaques étaient l'œuvre d'un groupe, baptisé Lurk en l'honneur du virus du même nom, développé par des pirates informatiques : avec son aide, de l'argent a été volé à des entreprises commerciales et à des banques.
La police et les spécialistes de la cybersécurité recherchent des membres du groupe depuis 2011. Pendant longtemps, les recherches ont échoué : en 2016, le groupe avait volé environ trois milliards de roubles aux banques russes, soit plus que tout autre pirate informatique.
Le virus Lurk était différent de ceux que les enquêteurs avaient rencontrés auparavant. Lorsque le programme a été exécuté en laboratoire pour être testé, il n'a rien fait (c'est pourquoi il s'appelait Lurk - de l'anglais "cacher"). Plus tard que Lurk est conçu comme un système modulaire : le programme charge progressivement des blocs supplémentaires avec diverses fonctionnalités - de l'interception des caractères saisis sur le clavier, des identifiants et des mots de passe à la possibilité d'enregistrer un flux vidéo à partir de l'écran d'un ordinateur infecté.
Pour propager le virus, le groupe a piraté les sites Web visités par les employés des banques : des médias en ligne (par exemple RIA Novosti et Gazeta.ru) aux forums comptables. Les pirates ont exploité une vulnérabilité du système d'échange de bannières publicitaires et ont distribué des logiciels malveillants via celles-ci. Sur certains sites, les pirates n'ont publié que brièvement un lien vers le virus : sur le forum d'un des magazines comptables, il est apparu en semaine à midi pendant deux heures, mais même pendant ce temps, Lurk a trouvé plusieurs victimes appropriées.
En cliquant sur la bannière, l'utilisateur était redirigé vers une page contenant des exploits, après quoi des informations ont commencé à être collectées sur l'ordinateur attaqué - les pirates étaient principalement intéressés par un programme de banque à distance. Les détails des ordres de paiement bancaires ont été remplacés par ceux requis et des virements non autorisés ont été envoyés vers les comptes des sociétés associées au groupe. Selon Sergueï Golovanov de Kaspersky Lab, dans de tels cas, les groupes ont généralement recours à des sociétés écrans, « ce qui revient à transférer et à encaisser » : l'argent reçu y est encaissé, mis dans des sacs et laissé dans les parcs de la ville, où les pirates informatiques le prennent. eux . Les membres du groupe ont soigneusement caché leurs actions : ils ont crypté toute la correspondance quotidienne et enregistré les domaines auprès de faux utilisateurs. "Les attaquants utilisent triple VPN, Tor, des chats secrets, mais le problème est que même un mécanisme qui fonctionne bien échoue", explique Golovanov. - Soit le VPN tombe, alors le chat secret s'avère pas si secret, puis un, au lieu d'appeler via Telegram, appelé simplement depuis le téléphone. C'est le facteur humain. Et quand on accumule une base de données depuis des années, il faut rechercher de tels accidents. Les forces de l’ordre peuvent alors contacter les prestataires pour savoir qui a visité telle ou telle adresse IP et à quelle heure. Et puis le dossier est construit.
Détention des hackers de Lurk comme un film d'action. Les employés du ministère des Situations d'urgence ont coupé les serrures des maisons de campagne et des appartements des pirates dans différents quartiers d'Ekaterinbourg, après quoi les agents du FSB ont éclaté en criant, ont attrapé les pirates, les ont jetés au sol et ont fouillé les locaux. Après cela, les suspects ont été mis dans un bus, emmenés à l'aéroport, ont marché le long de la piste et embarqués dans un avion cargo qui a décollé pour Moscou.
Des voitures ont été trouvées dans des garages appartenant à des pirates informatiques - des modèles coûteux d'Audi, Cadillac et Mercedes. Une montre incrustée de 272 diamants a également été découverte. des bijoux d'une valeur de 12 millions de roubles et des armes. Au total, la police a effectué environ 80 perquisitions dans 15 régions et arrêté environ 50 personnes.
En particulier, tous les spécialistes techniques du groupe ont été arrêtés. Ruslan Stoyanov, un employé de Kaspersky Lab qui a participé à l'enquête sur les crimes de Lurk en collaboration avec les services de renseignement, a déclaré que la direction recherchait beaucoup d'entre eux sur des sites réguliers pour recruter du personnel pour le travail à distance. Les publicités ne disaient rien sur le fait que le travail serait illégal, et le salaire à Lurk était supérieur à celui du marché et il était possible de travailler à domicile.
« Chaque matin, sauf le week-end, dans différentes régions de Russie et d'Ukraine, des individus s'asseyaient devant leur ordinateur et commençaient à travailler », a décrit Stoyanov. "Les programmeurs ont peaufiné les fonctions de la prochaine version [du virus], les testeurs l'ont vérifiée, puis le responsable du botnet a tout téléchargé sur le serveur de commandes, après quoi des mises à jour automatiques ont eu lieu sur les ordinateurs du bot."
L'examen du dossier du groupe devant les tribunaux a commencé à l'automne 2017 et s'est poursuivi début 2019 - en raison du volume de l'affaire, qui contient environ six cents volumes. Un avocat hacker qui cache son nom qu'aucun des suspects n'accepterait l'enquête, mais certains ont reconnu une partie des accusations. "Nos clients ont travaillé sur le développement de diverses parties du virus Lurk, mais beaucoup ne savaient tout simplement pas qu'il s'agissait d'un cheval de Troie", a-t-il expliqué. "Quelqu'un a créé une partie des algorithmes qui pourraient fonctionner avec succès dans les moteurs de recherche."
Le cas de l'un des hackers du groupe a fait l'objet d'une procédure distincte et il a été condamné à 5 ans de prison, notamment pour piratage du réseau de l'aéroport d'Ekaterinbourg.
Au cours des dernières décennies en Russie, les services spéciaux ont réussi à vaincre la majorité des grands groupes de hackers qui ont violé la règle principale - « Ne travaillez pas sur ru » : Carberp (volé environ un milliard et demi de roubles sur les comptes des banques russes), Anunak (ils ont volé plus d'un milliard de roubles sur les comptes des banques russes), Paunch (ils ont créé des plates-formes d'attaques par lesquelles transitaient jusqu'à la moitié des infections dans le monde), etc. Les revenus de ces groupes sont comparables à ceux des marchands d'armes, et ils comprennent des dizaines de personnes en plus des pirates informatiques eux-mêmes - agents de sécurité, chauffeurs, caissiers, propriétaires de sites où apparaissent de nouveaux exploits, etc.
Source: habr.com