Részlet az „Invázió. Az orosz hackerek rövid története"
Ez év májusában az Individuum kiadóban
Daniel több évig gyűjtött anyagokat, néhány történetet
De a hackelés, mint minden bűncselekmény, túlságosan lezárt téma. Az igazi történetek csak szájról-szájra adódnak át emberek között. A könyv pedig egy őrülten kíváncsi befejezetlenség benyomását hagyja maga után – mintha minden hősét egy háromkötetes könyvbe lehetne foglalni a „hogyan is volt valójában”.
A kiadó engedélyével egy rövid részletet közölünk a 2015-16-ban orosz bankokat kiraboló Lurk csoportról.
2015 nyarán az Orosz Központi Bank létrehozta a Fincertet, a hitel- és pénzügyi szektor számítógépes incidenseinek megfigyelésére és reagálására szolgáló központot. Ezen keresztül a bankok információt cserélnek a számítógépes támadásokról, elemzik azokat, és védelemre vonatkozó ajánlásokat kapnak a titkosszolgálatoktól. Sok ilyen támadás létezik: a Sberbank 2016 júniusában
Az első
A csoport tagjait 2011 óta keresik a rendőrség és a kiberbiztonsági szakemberek. A keresés sokáig sikertelen volt - 2016-ra a csoport körülbelül hárommilliárd rubelt lopott el az orosz bankoktól, többet, mint bármely más hacker.
A Lurk vírus különbözött azoktól, amelyekkel a kutatók korábban találkoztak. Amikor a programot tesztelés céljából a laboratóriumban lefuttatták, nem csinált semmit (ezért hívták Lurknak - az angol "to hide" szóból). A későbbiekben
A vírus terjesztése érdekében a csoport feltörte a banki alkalmazottak által látogatott weboldalakat: az online médiától (például a RIA Novosti és a Gazeta.ru) a könyvelési fórumokig. A hackerek a rendszer egy biztonsági rését kihasználva reklámszalagokat cseréltek és rosszindulatú programokat terjesztettek rajtuk. Egyes oldalakon a hackerek csak röviden posztoltak linket a vírusra: az egyik könyvelő magazin fórumán hétköznaponként ebédidőben jelent meg két órán keresztül, de ez idő alatt is több alkalmas áldozatra talált Lurk.
A bannerre kattintva a felhasználó egy exploitokat tartalmazó oldalra került, ami után elkezdték gyűjteni az információkat a megtámadott számítógépről – a hackereket főként egy távoli bankolásra szolgáló program érdekelte. A banki átutalási megbízások adatait az előírtakra cserélték, a csoporthoz tartozó cégek számláira pedig jogosulatlan átutalásokat küldtek. Szergej Golovanov, a Kaspersky Lab munkatársa szerint általában ilyen esetekben a csoportok fedőcégeket használnak, „amelyek ugyanazok, mint az átutalás és a kiváltás”: a kapott pénzt ott beváltják, táskákba rakják és könyvjelzőket hagynak a városi parkokban, ahová a hackerek elviszik. őket. A csoport tagjai szorgalmasan titkolták tetteiket: minden napi levelezést és regisztrált domaint titkosítottak hamis felhasználókkal. „A támadók hármas VPN-t, Tor-t, titkos chateket használnak, de a probléma az, hogy még egy jól működő mechanizmus is meghibásodik” – magyarázza Golovanov. - Vagy leesik a VPN, aztán kiderül, hogy a titkos chat nem is olyan titkos, aztán az egyik a Telegramon keresztüli hívás helyett egyszerűen telefonról hívott. Ez az emberi tényező. És ha évek óta halmoz egy adatbázist, akkor meg kell keresnie az ilyen baleseteket. Ezt követően a rendészeti szervek felvehetik a kapcsolatot a szolgáltatókkal, hogy megtudják, ki és mikor látogatott el egy ilyen és ilyen IP-címen. És akkor megépül az ügy.”
Lurk hackereinek őrizetbe vétele
A hackerek garázsaiban autókat találtak - drága Audi, Cadillac és Mercedes modelleket. Egy 272 gyémánttal kirakott órát is felfedeztek.
A csoport összes műszaki szakemberét letartóztatták. Ruslan Stoyanov, a Kaspersky Lab egyik alkalmazottja, aki a titkosszolgálatokkal közösen részt vett a Lurk-bűncselekmények kivizsgálásában, elmondta, hogy a menedzsment sokakat keresett rendszeres helyszíneken, ahol távmunkára toboroztak. A hirdetések nem szóltak arról, hogy illegális lenne a munka, a Lurknál pedig a piacinál magasabb fizetést kínáltak, és lehetett otthon is dolgozni.
"Oroszország és Ukrajna különböző részein a hétvégék kivételével minden reggel leültek a számítógépükhöz és dolgozni kezdtek" - mondta Sztojanov. "A programozók módosították a következő verzió [a vírus] funkcióit, a tesztelők ellenőrizték, majd a botnet felelőse mindent feltöltött a parancsszerverre, ami után az automatikus frissítések megtörténtek a bot számítógépeken."
A csoport ügyének bírósági tárgyalása 2017 őszén kezdődött és 2019 elején folytatódott - az ügy mintegy hatszáz kötetes terjedelme miatt. Hacker ügyvéd eltitkolja a nevét
A csoport egyik hackerének ügyében külön eljárás indult, és 5 évet kapott, beleértve a jekatyerinburgi repülőtér hálózatának feltöréséért is.
Az elmúlt évtizedekben Oroszországban a speciális szolgálatoknak sikerült legyőzniük a nagy hackercsoportok többségét, amelyek megsértették a fő szabályt - „Ne dolgozzon a ru-n”: Carberp (körülbelül másfél milliárd rubelt lopott el az orosz bankok számláiról), Anunak (több mint egymilliárd rubelt lopott el az orosz bankok számláiról), Paunch (platformokat hoztak létre a támadásokhoz, amelyeken keresztül a fertőzések fele világszerte átjutott) és így tovább. Az ilyen csoportok bevétele összemérhető a fegyverkereskedők keresetével, és magukon a hackereken kívül több tucat emberből állnak - biztonsági őrök, sofőrök, pénztárosok, olyan oldalak tulajdonosai, ahol új támadások jelennek meg, és így tovább.
Forrás: will.com