Fragmint út it boek "Invasion. In koarte skiednis fan Russyske hackers"
Yn maaie fan dit jier yn de útjouwerij Individuum sjoernalist Daniil Turovsky "Ynfal. In koarte skiednis fan Russyske hackers." It befettet ferhalen fan 'e tsjustere kant fan' e Russyske IT-sektor - oer jonges dy't, fereale wurden op kompjûters, learden net allinich om te programmearjen, mar om minsken te berôven. It boek ûntwikkelet, lykas it ferskynsel sels - fan teenage-hooliganisme en foarumpartijen oant wetshandhavingsoperaasjes en ynternasjonale skandalen.
Daniël sammele materialen foar ferskate jierren, guon ferhalen , foar syn fertellingen fan Daniël syn artikels krige Andrew Kramer fan 'e New York Times in Pulitzerpriis yn 2017.
Mar hacking, lykas elke misdied, is in te sluten ûnderwerp. Echte ferhalen wurde allinnich troch de mûle trochjûn tusken minsken. En it boek lit de yndruk fan in waanzinnig nijsgjirrige ûnfolsleinens - as soe elk fan syn helden gearstald wurde yn in trijedielich boek fan "hoe't it echt wie."
Mei tastimming fan de útjouwer publisearje wy in koart stikje oer de groep Lurk, dy't yn 2015-16 Russyske banken berôve.
Yn 'e simmer fan 2015 makke de Russyske Sintrale Bank Fincert, in sintrum foar tafersjoch en reagearje op kompjûterynsidinten yn' e kredyt- en finansjele sektor. Dêrtroch wikselje banken ynformaasje út oer kompjûteroanfallen, analysearje se en ûntfange oanbefellings oer beskerming fan yntelliginsje-ynstânsjes. D'r binne in protte sokke oanfallen: Sberbank yn juny 2016 ferliezen fan 'e Russyske ekonomy fan cyberkriminaliteit bedroegen 600 miljard roebel - tagelyk krige de bank in dochterûndernimming, Bizon, dy't him dwaande hâldt mei de ynformaasjefeiligens fan' e ûndernimming.
Yn 'e earste de resultaten fan it wurk fan Fincert (fan oktober 2015 oant maart 2016) beskriuwe 21 rjochte oanfallen op bankynfrastruktuer; As gefolch fan dizze barrens waarden 12 strafsaken ynsteld. De measte fan dizze oanfallen wiene it wurk fan ien groep, dy't Lurk neamd waard ta eare fan it firus mei deselde namme, ûntwikkele troch hackers: mei har help waard jild stellen út kommersjele bedriuwen en banken.
Plysje en cybersecurity-spesjalisten sykje sûnt 2011 leden fan de groep. Foar in lange tiid wie it sykjen net slagge - yn 2016 stie de groep sa'n trije miljard roebel fan Russyske banken, mear as hokker oare hackers.
It Lurk-firus wie oars as dy ûndersikers earder tsjinkamen. Doe't it programma yn it laboratoarium foar testen útfierd waard, die it neat (dêrom waard it Lurk neamd - fan it Ingelsk "to hide"). Letter dat Lurk is ûntworpen as in modulêr systeem: it programma laadt stadichoan ekstra blokken mei ferskate funksjonaliteit - fan it ûnderskeppen fan tekens dy't op it toetseboerd ynfierd binne, logins en wachtwurden oant de mooglikheid om in fideostream op te nimmen fan it skerm fan in ynfekteare kompjûter.
Om it firus te fersprieden, hackte de groep yn websiden besocht troch bankmeiwurkers: fan online media (bygelyks RIA Novosti en Gazeta.ru) oant boekhâldforums. Hackers eksploitearre in kwetsberens yn it systeem foar it útwikseljen fan reklame banners en ferspraat malware fia harren. Op guon siden pleatsten hackers mar koart in keppeling nei it firus: op it foarum fan ien fan 'e boekhâldingsblêden ferskynde it twa oeren op wurkdagen middeistiid, mar ek yn dy tiid fûn Lurk ferskate geskikte slachtoffers.
Troch op de banner te klikken, waard de brûker nei in side mei eksploaten brocht, wêrnei't ynformaasje begon te sammeljen op 'e oanfallen kompjûter - de hackers wiene benammen ynteressearre yn in programma foar bankieren op ôfstân. Details yn bank betelling oarders waarden ferfongen troch de fereaske, en sûnder foech transfers waarden stjoerd nei de akkounts fan bedriuwen ferbûn mei de groep. Neffens Sergei Golovanov fan Kaspersky Lab, meastal yn sokke gefallen, groepen brûke shell-bedriuwen, "dy't itselde binne as oerdrage en útkeapje": it ûntfongen jild wurdt dêr ynhelle, yn tassen set en blêdwizers yn stedsparken litte, wêr't hackers nimme hjar. Leden fan 'e groep ferburgen har aksjes iverich: se fersifere alle deistige korrespondinsje en registrearre domeinen mei falske brûkers. "Oanfallers brûke triple VPN, Tor, geheime petearen, mar it probleem is dat sels in goed funksjonearjend meganisme mislearret," ferklearret Golovanov. - Of de VPN falt ôf, dan blykt it geheime petear net sa geheim te wêzen, dan ien, ynstee fan te skiljen fia Telegram, ropt gewoan fan 'e tillefoan. Dit is de minsklike faktor. En as jo al jierren in databank sammelje, moatte jo nei sokke ûngelokken sykje. Hjirnei kin rjochtshanthavening kontakt opnimme mei providers om út te finen wa't sa'n en sa'n IP-adres besocht hat en op hokker tiid. En dan is de saak boud."
Detinsje fan hackers út Lurk as in aksjefilm. Meiwurkers fan it Ministearje fan Emergency Situaasjes snijden de slûzen yn lânhuzen en apparteminten fan hackers yn ferskate dielen fan Jekaterinburg ôf, wêrnei't FSB-offisieren yn gûlend útbarsten, de hackers pakten en op 'e flier smieten en it terrein sochten. Hjirnei waarden de fertochten op in bus set, nei it fleanfjild brocht, de baan lâns rûnen en op in frachtfleanmasine brocht, dat opstie nei Moskou.
Auto's waarden fûn yn garaazjes fan hackers - djoere Audi, Cadillac, en Mercedes modellen. In horloazje mei 272 diamanten waard ek ûntdutsen. sieraden wurdich 12 miljoen roebel en wapens. Yn totaal hat de plysje sa'n 80 sykaksjes útfierd yn 15 regio's en sa'n 50 minsken oanhâlden.
Benammen alle technyske spesjalisten fan de groep waarden oppakt. Ruslan Stoyanov, in meiwurker fan Kaspersky Lab dy't belutsen wie by it ûndersyk fan Lurk-misdieden tegearre mei de yntelliginsjetsjinsten, sei dat management in protte fan har socht op reguliere siden foar it werven fan personiel foar wurk op ôfstân. De advertinsjes seine neat oer it feit dat it wurk soe wêze yllegaal, en it salaris by Lurk waard oanbean boppe de merk ien, en it wie mooglik om te wurkjen fan hûs.
"Elke moarns, útsein wykeinen, yn ferskate dielen fan Ruslân en Oekraïne, sieten partikulieren by har kompjûters en begûnen te wurkjen," beskreau Stoyanov. "Programmers tweaked de funksjes fan de folgjende ferzje [fan it firus], testers kontrolearre it, dan de persoan ferantwurdlik foar it botnet uploaded alles nei de kommando tsjinner, wêrnei't automatyske updates plakfûn op de bot kompjûters."
De behanneling fan 'e saak fan' e groep yn 'e rjochtbank begon yn' e hjerst fan 2017 en gie troch oan it begjin fan 2019 - fanwegen it folume fan 'e saak, dy't sawat seishûndert dielen befettet. Hacker advokaat ferbergje syn namme dat net ien fan 'e fertochten in deal meitsje soe mei it ûndersyk, mar guon hawwe in diel fan' e beskuldigings talitten. "Us kliïnten diene wurk oan it ûntwikkeljen fan ferskate dielen fan it Lurk-firus, mar in protte wiene gewoan net bewust dat it in Trojan wie," ferklearre hy. "Immen makke diel út fan 'e algoritmen dy't mei súkses koene wurkje yn sykmasines."
It gefal fan ien fan 'e hackers fan' e groep waard yn aparte prosedueres brocht, en hy krige 5 jier, ynklusyf foar it hacken fan it netwurk fan 'e Yekaterinburg fleanfjild.
Yn 'e lêste desennia yn Ruslân slagge de spesjale tsjinsten de mearderheid fan' e grutte hackergroepen te ferslaan dy't de haadregel skeinden - "Net wurkje op ru": Carberp (stoal sa'n oardel miljard roebel út 'e akkounts fan Russyske banken), Anunak (stiel mear as in miljard roebel út 'e akkounts fan Russyske banken), Paunch (se makke platfoarms foar oanfallen dêr't maksimaal de helte fan ynfeksjes wrâldwiid trochgie) ensafuorthinne. It ynkommen fan sokke groepen is te fergelykjen mei de ynkomsten fan wapenhannelers, en se besteane út tsientallen minsken neist de hackers sels - befeiligers, sjauffeurs, cashers, eigners fan siden wêr't nije eksploaten ferskine, ensfh.
Boarne: www.habr.com