Fragmento do libro “Invasión. Unha breve historia dos hackers rusos"
En maio deste ano na editorial Individuum o xornalista Daniil Turovsky “Invasion. Unha breve historia dos hackers rusos". Contén historias do lado escuro da industria informática rusa: sobre mozos que, namorados das computadoras, aprenderon non só a programar, senón a roubar a xente. O libro desenvólvese, como o propio fenómeno, desde o hooliganismo adolescente e as festas do foro ata as operacións de aplicación da lei e os escándalos internacionais.
Daniel recolleu materiais durante varios anos, algunhas historias , polos seus relatos dos artigos de Daniel, Andrew Kramer do New York Times recibiu un premio Pulitzer en 2017.
Pero a piratería, como calquera crime, é un tema demasiado pechado. As historias reais só se transmiten de boca en boca entre as persoas. E o libro deixa a impresión dunha incompleta curiosa, coma se cada un dos seus heroes puidese compilarse nun libro de tres volumes sobre "como foi realmente".
Co permiso da editorial, publicamos un pequeno fragmento sobre o grupo Lurk, que roubou os bancos rusos en 2015-16.
No verán de 2015, o Banco Central ruso creou Fincert, un centro de seguimento e resposta a incidentes informáticos no sector crediticio e financeiro. A través del, os bancos intercambian información sobre ataques informáticos, analízanos e reciben recomendacións sobre protección das axencias de intelixencia. Hai moitos ataques deste tipo: Sberbank en xuño de 2016 as perdas da economía rusa polo cibercrime ascenderon a 600 millóns de rublos; ao mesmo tempo, o banco adquiriu unha subsidiaria, Bizon, que se ocupa da seguridade da información da empresa.
No primeiro os resultados do traballo de Fincert (de outubro de 2015 a marzo de 2016) describen 21 ataques dirixidos á infraestrutura bancaria; Como consecuencia destes feitos, incoáronse 12 causas penais. A maioría destes ataques foron obra dun grupo, que foi chamado Lurk en homenaxe ao virus do mesmo nome, desenvolvido por hackers: coa súa axuda, roubáronse cartos a empresas comerciais e bancos.
Policías e especialistas en ciberseguridade buscan membros do grupo desde 2011. Durante moito tempo, a busca non tivo éxito: en 2016, o grupo roubou preto de tres mil millóns de rublos dos bancos rusos, máis que calquera outro hacker.
O virus Lurk era diferente dos que os investigadores atoparan antes. Cando o programa foi executado no laboratorio para probar, non fixo nada (por iso se chamou Lurk - do inglés "to hide"). Máis tarde que Lurk está deseñado como un sistema modular: o programa carga gradualmente bloques adicionais con varias funcionalidades: desde a interceptación de caracteres introducidos no teclado, inicios de sesión e contrasinais ata a posibilidade de gravar un fluxo de vídeo desde a pantalla dun ordenador infectado.
Para propagar o virus, o grupo pirateou sitios web visitados polos empregados do banco: desde medios en liña (por exemplo, RIA Novosti e Gazeta.ru) ata foros de contabilidade. Os piratas informáticos explotaron unha vulnerabilidade do sistema para intercambiar banners publicitarios e distribuíron malware a través deles. Nalgúns sitios, os piratas informáticos publicaron unha ligazón ao virus só brevemente: no foro dunha das revistas de contabilidade, apareceu durante dúas horas entre semana á hora do xantar, pero incluso durante este tempo, Lurk atopou varias vítimas adecuadas.
Ao facer clic no banner, o usuario foi levado a unha páxina con exploits, despois de que se comezou a recoller información no ordenador atacado; os piratas informáticos estaban principalmente interesados nun programa para a banca remota. Substituíronse os detalles das ordes de pagamento bancarias polos requiridos e enviáronse transferencias non autorizadas ás contas das empresas asociadas ao grupo. Segundo Sergei Golovanov de Kaspersky Lab, normalmente, nestes casos, os grupos usan compañías ficticias, "que son o mesmo que transferir e cobrar": o diñeiro recibido é cobrado alí, colocado en bolsas e deixado marcadores nos parques da cidade, onde os piratas informáticos levan. eles . Os membros do grupo ocultaron con dilixencia as súas accións: cifraban toda a correspondencia diaria e rexistraban dominios con usuarios falsos. "Os atacantes usan triple VPN, Tor, chats secretos, pero o problema é que incluso un mecanismo que funciona ben falla", explica Golovanov. - Ou a VPN cae, entón o chat secreto non é tan secreto, entón un, en lugar de chamar a través de Telegram, chamou simplemente desde o teléfono. Este é o factor humano. E cando levas anos acumulando unha base de datos, cómpre buscar tales accidentes. Despois diso, as forzas da lei poden contactar cos provedores para saber quen visitou tal ou cal enderezo IP e a que hora. E entón constrúese o caso".
Detención de hackers de Lurk como unha película de acción. Empleados do Ministerio de Situacións de Emerxencia cortaron as pechaduras de casas de campo e apartamentos de piratas informáticos en diferentes partes de Ekaterimburgo, tras o que os axentes do FSB estalaron a berrar, agarraron aos piratas informáticos e tiráronos ao chan e rexistraron o local. Despois diso, os sospeitosos foron subidos a un autobús, trasladados ao aeroporto, camiñando pola pista e subidos a un avión de carga, que despegou cara a Moscova.
Atopáronse coches en garaxes de hackers: caros modelos Audi, Cadillac e Mercedes. Tamén se descubriu un reloxo incrustado con 272 diamantes. xoias por valor de 12 millóns de rublos e armas. En total, a policía realizou uns 80 rexistros en 15 rexións e detivo unhas 50 persoas.
En concreto, foron detidos todos os técnicos especialistas do grupo. Ruslan Stoyanov, un empregado de Kaspersky Lab que participou na investigación dos crimes de Lurk xunto cos servizos de intelixencia, dixo que a dirección buscou moitos deles en sitios habituais para contratar persoal para o traballo remoto. Os anuncios non dicían nada sobre o feito de que o traballo sería ilegal, e o soldo en Lurk ofrecíase por riba do do mercado, e era posible traballar desde casa.
"Todas as mañás, excepto os fins de semana, en diferentes partes de Rusia e Ucraína, os individuos sentáronse ante os seus ordenadores e comezaron a traballar", describiu Stoyanov. "Os programadores axustaron as funcións da seguinte versión [do virus], os probadores comprobárono e, a continuación, a persoa responsable da botnet cargou todo no servidor de comandos, despois de que se realizaron actualizacións automáticas nos ordenadores bot".
A consideración do caso do grupo nos xulgados comezou no outono de 2017 e continuou a principios de 2019, debido ao volume do caso, que contén uns seiscentos volumes. Avogado hacker que oculta o seu nome que ningún dos sospeitosos faría un acordo coa investigación, pero algúns admitiron parte dos cargos. "Os nosos clientes traballaron desenvolvendo varias partes do virus Lurk, pero moitos simplemente non sabían que se trataba dun troiano", explicou. "Alguén fixo parte dos algoritmos que poderían funcionar con éxito nos buscadores".
O caso dun dos hackers do grupo foi sometido a un proceso separado e recibiu 5 anos, incluso por piratear a rede do aeroporto de Ekaterimburgo.
Nas últimas décadas en Rusia, os servizos especiais lograron derrotar á maioría dos grandes grupos de hackers que violaron a regra principal: "Non traballes en ru": Carberp (roubou preto de mil millóns e medio de rublos das contas dos bancos rusos), Anunak (roubou máis de mil millóns de rublos das contas dos bancos rusos), Paunch (crearon plataformas para ataques polas que pasaron ata a metade das infeccións en todo o mundo) etc. Os ingresos destes grupos son comparables aos ingresos dos traficantes de armas, e están formados por decenas de persoas ademais dos propios hackers: gardas de seguridade, condutores, caixeiros, propietarios de sitios onde aparecen novas fazañas, etc.
Fonte: www.habr.com