Részlet az „Invázió. Az orosz hackerek rövid története"
Ez év májusában az Individuum kiadóban újságíró Daniil Turovsky „Invázió. Az orosz hackerek rövid története." Történeteket tartalmaz az orosz IT-ipar sötét oldaláról - olyan srácokról, akik beleszerettek a számítógépekbe, és nemcsak programozni, hanem embereket kirabolni is megtanultak. A könyv, akárcsak maga a jelenség, a tizenéves huliganizmustól és a fórumpartiktól a rendészeti akciókig és nemzetközi botrányokig fejlődik.
Daniel több évig gyűjtött anyagokat, néhány történetet , Daniel cikkeinek újrameséléséért Andrew Kramer, a New York Times munkatársa Pulitzer-díjat kapott 2017-ben.
De a hackelés, mint minden bűncselekmény, túlságosan lezárt téma. Az igazi történetek csak szájról-szájra adódnak át emberek között. A könyv pedig egy őrülten kíváncsi befejezetlenség benyomását hagyja maga után – mintha minden hősét egy háromkötetes könyvbe lehetne foglalni a „hogyan is volt valójában”.
A kiadó engedélyével egy rövid részletet közölünk a 2015-16-ban orosz bankokat kiraboló Lurk csoportról.
2015 nyarán az Orosz Központi Bank létrehozta a Fincertet, a hitel- és pénzügyi szektor számítógépes incidenseinek megfigyelésére és reagálására szolgáló központot. Ezen keresztül a bankok információt cserélnek a számítógépes támadásokról, elemzik azokat, és védelemre vonatkozó ajánlásokat kapnak a titkosszolgálatoktól. Sok ilyen támadás létezik: a Sberbank 2016 júniusában Az orosz gazdaság kiberbűnözésből eredő veszteségei 600 milliárd rubelt tettek ki - ezzel egy időben a bank megvásárolta a Bizon nevű leányvállalatot, amely a vállalkozás információbiztonságával foglalkozik.
Az első a Fincert munkájának eredményei (2015 októberétől 2016 márciusáig) 21 banki infrastruktúra elleni célzott támadást írnak le; Az események következtében 12 büntetőeljárás indult. A legtöbb ilyen támadás egy csoport munkája volt, amelyet a hackerek által kifejlesztett azonos nevű vírus tiszteletére Lurk-nak neveztek el: segítségével pénzt loptak el kereskedelmi vállalkozásoktól és bankoktól.
A csoport tagjait 2011 óta keresik a rendőrség és a kiberbiztonsági szakemberek. A keresés sokáig sikertelen volt - 2016-ra a csoport körülbelül hárommilliárd rubelt lopott el az orosz bankoktól, többet, mint bármely más hacker.
A Lurk vírus különbözött azoktól, amelyekkel a kutatók korábban találkoztak. Amikor a programot tesztelés céljából a laboratóriumban lefuttatták, nem csinált semmit (ezért hívták Lurknak - az angol "to hide" szóból). A későbbiekben hogy a Lurk moduláris rendszernek készült: a program fokozatosan további blokkokat tölt be különféle funkciókkal - a billentyűzeten beírt karakterek elfogásától, a bejelentkezésektől és jelszavaktól egészen a fertőzött számítógép képernyőjéről videó stream rögzítésének lehetőségéig.
A vírus terjesztése érdekében a csoport feltörte a banki alkalmazottak által látogatott weboldalakat: az online médiától (például a RIA Novosti és a Gazeta.ru) a könyvelési fórumokig. A hackerek a rendszer egy biztonsági rését kihasználva reklámszalagokat cseréltek és rosszindulatú programokat terjesztettek rajtuk. Egyes oldalakon a hackerek csak röviden posztoltak linket a vírusra: az egyik könyvelő magazin fórumán hétköznaponként ebédidőben jelent meg két órán keresztül, de ez idő alatt is több alkalmas áldozatra talált Lurk.
A bannerre kattintva a felhasználó egy exploitokat tartalmazó oldalra került, ami után elkezdték gyűjteni az információkat a megtámadott számítógépről – a hackereket főként egy távoli bankolásra szolgáló program érdekelte. A banki átutalási megbízások adatait az előírtakra cserélték, a csoporthoz tartozó cégek számláira pedig jogosulatlan átutalásokat küldtek. Szergej Golovanov, a Kaspersky Lab munkatársa szerint általában ilyen esetekben a csoportok fedőcégeket használnak, „amelyek ugyanazok, mint az átutalás és a kiváltás”: a kapott pénzt ott beváltják, táskákba rakják és könyvjelzőket hagynak a városi parkokban, ahová a hackerek elviszik. őket. A csoport tagjai szorgalmasan titkolták tetteiket: minden napi levelezést és regisztrált domaint titkosítottak hamis felhasználókkal. „A támadók hármas VPN-t, Tor-t, titkos chateket használnak, de a probléma az, hogy még egy jól működő mechanizmus is meghibásodik” – magyarázza Golovanov. - Vagy leesik a VPN, aztán kiderül, hogy a titkos chat nem is olyan titkos, aztán az egyik a Telegramon keresztüli hívás helyett egyszerűen telefonról hívott. Ez az emberi tényező. És ha évek óta halmoz egy adatbázist, akkor meg kell keresnie az ilyen baleseteket. Ezt követően a rendészeti szervek felvehetik a kapcsolatot a szolgáltatókkal, hogy megtudják, ki és mikor látogatott el egy ilyen és ilyen IP-címen. És akkor megépül az ügy.”
Lurk hackereinek őrizetbe vétele mint egy akciófilm. A rendkívüli helyzetek minisztériumának munkatársai Jekatyerinburg különböző részein levágták a zárakat a hackerek vidéki házaiban és lakásaiban, majd az FSZB tisztjei sikoltozásban törtek ki, megragadták és a padlóra dobták a hackereket, majd átkutatták a helyiségeket. Ezt követően a gyanúsítottakat buszra ültették, a repülőtérre vitték, végigsétáltak a kifutón, majd felszállították egy teherszállító repülőgépre, amely Moszkvába indult.
A hackerek garázsaiban autókat találtak - drága Audi, Cadillac és Mercedes modelleket. Egy 272 gyémánttal kirakott órát is felfedeztek. 12 millió rubel értékű ékszerek és fegyverek. A rendőrség összesen mintegy 80 házkutatást tartott 15 régióban, és mintegy 50 embert vett őrizetbe.
A csoport összes műszaki szakemberét letartóztatták. Ruslan Stoyanov, a Kaspersky Lab egyik alkalmazottja, aki a titkosszolgálatokkal közösen részt vett a Lurk-bűncselekmények kivizsgálásában, elmondta, hogy a menedzsment sokakat keresett rendszeres helyszíneken, ahol távmunkára toboroztak. A hirdetések nem szóltak arról, hogy illegális lenne a munka, a Lurknál pedig a piacinál magasabb fizetést kínáltak, és lehetett otthon is dolgozni.
"Oroszország és Ukrajna különböző részein a hétvégék kivételével minden reggel leültek a számítógépükhöz és dolgozni kezdtek" - mondta Sztojanov. "A programozók módosították a következő verzió [a vírus] funkcióit, a tesztelők ellenőrizték, majd a botnet felelőse mindent feltöltött a parancsszerverre, ami után az automatikus frissítések megtörténtek a bot számítógépeken."
A csoport ügyének bírósági tárgyalása 2017 őszén kezdődött és 2019 elején folytatódott - az ügy mintegy hatszáz kötetes terjedelme miatt. Hacker ügyvéd eltitkolja a nevét hogy a gyanúsítottak egyike sem köt alkut a nyomozással, de néhányan elismerték a vádak egy részét. „Ügyfeleink dolgoztak a Lurk vírus különböző részei fejlesztésén, de sokan egyszerűen nem voltak tudatában annak, hogy ez egy trójai” – magyarázta. "Valaki elkészítette azokat az algoritmusokat, amelyek sikeresen működhetnek a keresőmotorokban."
A csoport egyik hackerének ügyében külön eljárás indult, és 5 évet kapott, beleértve a jekatyerinburgi repülőtér hálózatának feltöréséért is.
Az elmúlt évtizedekben Oroszországban a speciális szolgálatoknak sikerült legyőzniük a nagy hackercsoportok többségét, amelyek megsértették a fő szabályt - „Ne dolgozzon a ru-n”: Carberp (körülbelül másfél milliárd rubelt lopott el az orosz bankok számláiról), Anunak (több mint egymilliárd rubelt lopott el az orosz bankok számláiról), Paunch (platformokat hoztak létre a támadásokhoz, amelyeken keresztül a fertőzések fele világszerte átjutott) és így tovább. Az ilyen csoportok bevétele összemérhető a fegyverkereskedők keresetével, és magukon a hackereken kívül több tucat emberből állnak - biztonsági őrök, sofőrök, pénztárosok, olyan oldalak tulajdonosai, ahol új támadások jelennek meg, és így tovább.
Forrás: will.com