Odlomak iz knjige “Invazija. Kratka povijest ruskih hakera"
U svibnju ove godine u izdavačkoj kući Individuum novinar Daniil Turovsky “Invazija. Kratka povijest ruskih hakera." Sadrži priče s mračne strane ruske IT industrije - o tipovima koji su, zaljubivši se u računala, naučili ne samo programirati, već i pljačkati ljude. Knjiga se razvija, kao i sam fenomen - od tinejdžerskog huliganizma i forumskih tuluma do operacija provođenja zakona i međunarodnih skandala.
Daniel je nekoliko godina prikupljao materijale, neke priče , za svoja prepričavanja Danielovih članaka, Andrew Kramer iz New York Timesa dobio je Pulitzerovu nagradu 2017. godine.
Ali hakiranje je, kao i svaki kriminal, previše zatvorena tema. Prave priče se prenose samo usmenom predajom među ljudima. A knjiga ostavlja dojam suludo neobične nedovršenosti - kao da bi se svaki od njezinih junaka mogao sastaviti u trotomnu knjigu "kako je stvarno bilo".
Uz dopuštenje izdavača, objavljujemo kratki izvadak o skupini Lurk koja je pljačkala ruske banke 2015.-16.
U ljeto 2015. Ruska središnja banka stvorila je Fincert, centar za praćenje i reagiranje na računalne incidente u kreditnom i financijskom sektoru. Preko njega banke razmjenjuju podatke o računalnim napadima, analiziraju ih i dobivaju preporuke o zaštiti od obavještajnih službi. Mnogo je takvih napada: Sberbank u lipnju 2016 gubici ruskog gospodarstva od kibernetičkog kriminala iznosili su 600 milijardi rubalja - u isto vrijeme banka je stekla tvrtku kćer, Bizon, koja se bavi informacijskom sigurnošću poduzeća.
U prvom rezultati rada Fincerta (od listopada 2015. do ožujka 2016.) opisuju 21 ciljani napad na bankovnu infrastrukturu; Kao rezultat ovih događaja pokrenuto je 12 kaznenih postupaka. Većina tih napada bila je djelo jedne skupine, koja je nazvana Lurk u čast istoimenog virusa koji su razvili hakeri: uz njegovu pomoć ukraden je novac iz komercijalnih poduzeća i banaka.
Policija i stručnjaci za kibernetičku sigurnost tragaju za članovima skupine od 2011. godine. Dugo vremena potraga je bila neuspješna - do 2016. skupina je ukrala oko tri milijarde rubalja iz ruskih banaka, više nego bilo koji drugi haker.
Virus Lurk bio je drugačiji od onih s kojima su se istražitelji prije susretali. Kada je program pokrenut u laboratoriju na testiranje, nije učinio ništa (zato se i zvao Lurk - od engleskog "sakriti se"). Kasnije da je Lurk zamišljen kao modularni sustav: program postupno učitava dodatne blokove s različitim funkcijama - od presretanja znakova unesenih na tipkovnici, prijava i lozinki do mogućnosti snimanja video streama sa zaslona zaraženog računala.
Kako bi proširila virus, skupina je hakirala web stranice koje posjećuju zaposlenici banaka: od internetskih medija (na primjer, RIA Novosti i Gazeta.ru) do računovodstvenih foruma. Hakeri su iskoristili ranjivost u sustavu za razmjenu reklamnih bannera i preko njih distribuirali malware. Na nekim su stranicama hakeri samo kratko objavili poveznicu na virus: na forumu jednog od računovodstvenih časopisa pojavio se radnim danom u vrijeme ručka dva sata, ali čak i za to vrijeme Lurk je pronašao nekoliko odgovarajućih žrtava.
Klikom na banner korisnik je bio odveden na stranicu s exploitima, nakon čega su se počele prikupljati informacije o napadnutom računalu - hakere je uglavnom zanimao program za daljinsko bankarstvo. Podaci u bankovnim nalozima za plaćanje zamijenjeni su potrebnima, a neovlašteni transferi poslani su na račune tvrtki povezanih s grupom. Prema Sergeju Golovanovu iz Kaspersky Laba, obično u takvim slučajevima grupe koriste lažne tvrtke, "što je isto što i prijenos i unovčavanje": primljeni novac tamo se unovčava, stavlja u torbe i ostavlja oznake u gradskim parkovima, gdje hakeri odnose njih . Članovi skupine marljivo su skrivali svoje postupke: šifrirali su svu dnevnu korespondenciju i registrirali domene s lažnim korisnicima. “Napadači koriste trostruki VPN, Tor, tajne chatove, ali problem je što čak i mehanizam koji dobro funkcionira zakaže”, objašnjava Golovanov. - Ili otpadne VPN, onda se pokaže da tajni chat nije tako tajan, pa netko, umjesto da zove preko Telegrama, zove jednostavno s telefona. Ovo je ljudski faktor. A kad godinama skupljate bazu podataka, trebate tražiti takve nezgode. Nakon toga, policija može kontaktirati pružatelje kako bi saznala tko je posjetio tu i tu IP adresu i u koje vrijeme. I onda je slučaj izgrađen.”
Pritvaranje hakera iz Lurka poput akcijskog filma. Zaposlenici Ministarstva za hitne situacije odrezali su brave u seoskim kućama i stanovima hakera u različitim dijelovima Jekaterinburga, nakon čega su službenici FSB-a urlali, zgrabili hakere i bacili ih na pod te pretražili prostorije. Nakon toga osumnjičenici su ukrcani u autobus, odvezeni u zračnu luku, prošetali pistom i uvezeni u teretni avion koji je poletio za Moskvu.
U garažama hakera pronađeni su automobili - skupocjeni modeli Audija, Cadillaca i Mercedesa. Otkriven je i sat optočen s 272 dijamanta. nakit vrijedan 12 milijuna rubalja i oružje. Policija je ukupno provela oko 80 pretresa u 15 regija i privela oko 50 osoba.
Konkretno, uhićeni su svi tehnički stručnjaci skupine. Ruslan Stoyanov, zaposlenik Kaspersky Laba koji je bio uključen u istragu Lurk zločina zajedno s obavještajnim službama, rekao je da je uprava mnoge od njih tražila na redovnim mjestima za regrutiranje osoblja za rad na daljinu. U oglasima se ništa ne govori o tome da će rad biti na crno, au Lurku se nudila plaća iznad tržišne, a moglo se raditi i od kuće.
“Svako jutro, osim vikenda, u različitim dijelovima Rusije i Ukrajine, pojedinci su sjeli za svoja računala i počeli raditi”, opisao je Stojanov. "Programeri su dotjerali funkcije sljedeće verzije [virusa], testeri su je provjerili, a zatim je osoba odgovorna za botnet sve prenijela na naredbeni poslužitelj, nakon čega su se automatska ažuriranja dogodila na bot računalima."
Razmatranje slučaja grupe na sudu započelo je u jesen 2017. i nastavilo se početkom 2019. - zbog opsega predmeta koji sadrži oko šest stotina svezaka. Hakerski odvjetnik skriva svoje ime da se nitko od osumnjičenih neće nagoditi s istragom, no neki su priznali dio optužbi. “Naši klijenti jesu radili na razvoju raznih dijelova virusa Lurk, ali mnogi jednostavno nisu bili svjesni da se radi o trojancu”, objasnio je. "Netko je napravio dio algoritama koji bi mogli uspješno raditi u tražilicama."
Slučaj jednog od hakera iz skupine izdvojen je u poseban postupak, a dobio je 5 godina, uključujući i za hakiranje mreže zračne luke Jekaterinburg.
Posljednjih desetljeća u Rusiji su specijalne službe uspjele poraziti većinu velikih hakerskih skupina koje su prekršile glavno pravilo - "Ne radi na ru": Carberp (ukrao oko milijardu i pol rubalja s računa ruskih banaka), Anunak (ukrao više od milijardu rubalja s računa ruskih banaka), Paunch (stvorili su platforme za napade preko kojih je prošla do polovica infekcija diljem svijeta) i tako dalje. Prihodi takvih grupa usporedivi su sa zaradama trgovaca oružjem, a sastoje se od desetaka ljudi osim samih hakera - zaštitara, vozača, blagajnika, vlasnika stranica na kojima se pojavljuju novi exploiti i tako dalje.
Izvor: www.habr.com