Fragmento do libro “Invasión. Unha breve historia dos hackers rusos"
En maio deste ano na editorial Individuum
Daniel recolleu materiais durante varios anos, algunhas historias
Pero a piratería, como calquera crime, é un tema demasiado pechado. As historias reais só se transmiten de boca en boca entre as persoas. E o libro deixa a impresión dunha incompleta curiosa, coma se cada un dos seus heroes puidese compilarse nun libro de tres volumes sobre "como foi realmente".
Co permiso da editorial, publicamos un pequeno fragmento sobre o grupo Lurk, que roubou os bancos rusos en 2015-16.
No verán de 2015, o Banco Central ruso creou Fincert, un centro de seguimento e resposta a incidentes informáticos no sector crediticio e financeiro. A través del, os bancos intercambian información sobre ataques informáticos, analízanos e reciben recomendacións sobre protección das axencias de intelixencia. Hai moitos ataques deste tipo: Sberbank en xuño de 2016
No primeiro
Policías e especialistas en ciberseguridade buscan membros do grupo desde 2011. Durante moito tempo, a busca non tivo éxito: en 2016, o grupo roubou preto de tres mil millóns de rublos dos bancos rusos, máis que calquera outro hacker.
O virus Lurk era diferente dos que os investigadores atoparan antes. Cando o programa foi executado no laboratorio para probar, non fixo nada (por iso se chamou Lurk - do inglés "to hide"). Máis tarde
Para propagar o virus, o grupo pirateou sitios web visitados polos empregados do banco: desde medios en liña (por exemplo, RIA Novosti e Gazeta.ru) ata foros de contabilidade. Os piratas informáticos explotaron unha vulnerabilidade do sistema para intercambiar banners publicitarios e distribuíron malware a través deles. Nalgúns sitios, os piratas informáticos publicaron unha ligazón ao virus só brevemente: no foro dunha das revistas de contabilidade, apareceu durante dúas horas entre semana á hora do xantar, pero incluso durante este tempo, Lurk atopou varias vítimas adecuadas.
Ao facer clic no banner, o usuario foi levado a unha páxina con exploits, despois de que se comezou a recoller información no ordenador atacado; os piratas informáticos estaban principalmente interesados nun programa para a banca remota. Substituíronse os detalles das ordes de pagamento bancarias polos requiridos e enviáronse transferencias non autorizadas ás contas das empresas asociadas ao grupo. Segundo Sergei Golovanov de Kaspersky Lab, normalmente, nestes casos, os grupos usan compañías ficticias, "que son o mesmo que transferir e cobrar": o diñeiro recibido é cobrado alí, colocado en bolsas e deixado marcadores nos parques da cidade, onde os piratas informáticos levan. eles . Os membros do grupo ocultaron con dilixencia as súas accións: cifraban toda a correspondencia diaria e rexistraban dominios con usuarios falsos. "Os atacantes usan triple VPN, Tor, chats secretos, pero o problema é que incluso un mecanismo que funciona ben falla", explica Golovanov. - Ou a VPN cae, entón o chat secreto non é tan secreto, entón un, en lugar de chamar a través de Telegram, chamou simplemente desde o teléfono. Este é o factor humano. E cando levas anos acumulando unha base de datos, cómpre buscar tales accidentes. Despois diso, as forzas da lei poden contactar cos provedores para saber quen visitou tal ou cal enderezo IP e a que hora. E entón constrúese o caso".
Detención de hackers de Lurk
Atopáronse coches en garaxes de hackers: caros modelos Audi, Cadillac e Mercedes. Tamén se descubriu un reloxo incrustado con 272 diamantes.
En concreto, foron detidos todos os técnicos especialistas do grupo. Ruslan Stoyanov, un empregado de Kaspersky Lab que participou na investigación dos crimes de Lurk xunto cos servizos de intelixencia, dixo que a dirección buscou moitos deles en sitios habituais para contratar persoal para o traballo remoto. Os anuncios non dicían nada sobre o feito de que o traballo sería ilegal, e o soldo en Lurk ofrecíase por riba do do mercado, e era posible traballar desde casa.
"Todas as mañás, excepto os fins de semana, en diferentes partes de Rusia e Ucraína, os individuos sentáronse ante os seus ordenadores e comezaron a traballar", describiu Stoyanov. "Os programadores axustaron as funcións da seguinte versión [do virus], os probadores comprobárono e, a continuación, a persoa responsable da botnet cargou todo no servidor de comandos, despois de que se realizaron actualizacións automáticas nos ordenadores bot".
A consideración do caso do grupo nos xulgados comezou no outono de 2017 e continuou a principios de 2019, debido ao volume do caso, que contén uns seiscentos volumes. Avogado hacker que oculta o seu nome
O caso dun dos hackers do grupo foi sometido a un proceso separado e recibiu 5 anos, incluso por piratear a rede do aeroporto de Ekaterimburgo.
Nas últimas décadas en Rusia, os servizos especiais lograron derrotar á maioría dos grandes grupos de hackers que violaron a regra principal: "Non traballes en ru": Carberp (roubou preto de mil millóns e medio de rublos das contas dos bancos rusos), Anunak (roubou máis de mil millóns de rublos das contas dos bancos rusos), Paunch (crearon plataformas para ataques polas que pasaron ata a metade das infeccións en todo o mundo) etc. Os ingresos destes grupos son comparables aos ingresos dos traficantes de armas, e están formados por decenas de persoas ademais dos propios hackers: gardas de seguridade, condutores, caixeiros, propietarios de sitios onde aparecen novas fazañas, etc.
Fonte: www.habr.com