Հատված «Ներխուժում. Ռուս հաքերների համառոտ պատմություն»
Այս տարվա մայիսին Individuum հրատարակչությունում
Դանիելը մի քանի տարի նյութեր հավաքեց, որոշ պատմություններ
Բայց կոտրելը, ինչպես ցանկացած հանցագործություն, չափազանց փակ թեմա է։ Իրական պատմությունները փոխանցվում են միայն բանավոր մարդկանց միջև: Եվ գիրքը թողնում է խելահեղ հետաքրքրաշարժ անավարտության տպավորություն, ասես նրա հերոսներից յուրաքանչյուրը կարող է հավաքվել եռահատոր գրքի մեջ, թե «ինչպես էր իրականում»:
Հրատարակչի թույլտվությամբ հրապարակում ենք փոքրիկ հատված «Լուրք» խմբի մասին, որը 2015-16 թվականներին թալանել է ռուսական բանկերը։
2015 թվականի ամռանը Ռուսաստանի Կենտրոնական բանկը ստեղծեց Fincert կենտրոնը՝ վարկային և ֆինանսական հատվածում համակարգչային միջադեպերի մոնիտորինգի և արձագանքման կենտրոն։ Դրա միջոցով բանկերը փոխանակում են տեղեկատվություն համակարգչային հարձակումների մասին, վերլուծում դրանք և հետախուզական կառույցներից ստանում պաշտպանության վերաբերյալ առաջարկություններ։ Նման հարձակումները շատ են՝ Սբերբանկը 2016 թվականի հունիսին
Առաջինում
Ոստիկանությունն ու կիբերանվտանգության մասնագետները 2011 թվականից որոնում են խմբի անդամներին։ Երկար ժամանակ որոնումն անհաջող էր՝ մինչև 2016 թվականը խումբը ռուսական բանկերից գողացավ մոտ երեք միլիարդ ռուբլի՝ ավելի շատ, քան ցանկացած այլ հաքեր:
Lurk վիրուսը տարբերվում էր այն բանից, որին նախկինում հանդիպել էին քննիչները: Երբ ծրագիրը գործարկվում էր լաբորատորիայում՝ փորձարկման համար, այն ոչինչ չարեց (այդ պատճառով էլ այն կոչվում էր Lurk՝ անգլերենից «թաքնվել»)։ Ավելի ուշ
Վիրուսը տարածելու համար խումբը կոտրել է բանկի աշխատակիցների այցելած կայքերը՝ առցանց լրատվամիջոցներից (օրինակ՝ RIA Novosti և Gazeta.ru) մինչև հաշվապահական ֆորումներ: Հաքերներն օգտագործել են համակարգում առկա խոցելիությունը՝ գովազդային պաստառների փոխանակման համար և դրանց միջոցով տարածել չարամիտ ծրագրեր: Որոշ կայքերում հաքերները միայն հակիրճ տեղադրեցին վիրուսի հղումը. հաշվապահական ամսագրերից մեկի ֆորումում այն հայտնվում էր աշխատանքային օրերին՝ ճաշի ժամին, երկու ժամով, բայց նույնիսկ այս ընթացքում Lurk-ը գտավ մի քանի հարմար զոհեր:
Վահանակի վրա սեղմելով՝ օգտատերը տեղափոխվեց էքսպլոիթներով էջ, որից հետո գրոհի ենթարկված համակարգչի վրա սկսեցին տեղեկություններ հավաքել՝ հաքերներին հիմնականում հետաքրքրում էր հեռահար բանկային ծառայության ծրագիրը։ Բանկային վճարման հանձնարարականների մանրամասները փոխարինվել են անհրաժեշտով, իսկ չարտոնված փոխանցումներն ուղարկվել են խմբի հետ կապված ընկերությունների հաշվեհամարներին։ Կասպերսկու լաբորատորիայից Սերգեյ Գոլովանովի խոսքով, սովորաբար նման դեպքերում խմբերն օգտագործում են կեղևային ընկերություններ, «որոնք նույնն են, ինչ փոխանցումն ու կանխիկացումը». նրանց . Խմբի անդամները ջանասիրաբար թաքցնում էին իրենց գործողությունները. նրանք գաղտնագրում էին ամբողջ ամենօրյա նամակագրությունը և գրանցում տիրույթները կեղծ օգտատերերի հետ: «Հարձակվողներն օգտագործում են եռակի VPN, Tor, գաղտնի չաթեր, բայց խնդիրն այն է, որ նույնիսկ լավ աշխատող մեխանիզմը ձախողվում է», - բացատրում է Գոլովանովը: - Կամ VPN-ն ընկնում է, հետո գաղտնի զրույցը պարզվում է, որ այնքան էլ գաղտնի չէ, հետո մեկը, Telegram-ով զանգահարելու փոխարեն, զանգել է պարզապես հեռախոսից։ Սա մարդկային գործոնն է։ Իսկ երբ տարիներ շարունակ կուտակում ես տվյալների բազա, պետք է փնտրել նման վթարներ։ Սրանից հետո իրավապահները կարող են կապ հաստատել պրովայդերների հետ՝ պարզելու, թե ով և որ ժամին է այցելել այսինչ IP հասցե: Եվ հետո գործը կառուցվում է»։
Լուրքից հաքերների կալանավորումը
Հաքերներին պատկանող ավտոտնակներում ավտոմեքենաներ են հայտնաբերվել՝ թանկարժեք Audi, Cadillac, Mercedes մոդելներ։ Հայտնաբերվել է նաև ժամացույց՝ պատված 272 ադամանդներով։
Մասնավորապես, ձերբակալվել են խմբի բոլոր տեխնիկական մասնագետները։ «Կասպերսկու լաբորատորիայի» աշխատակից Ռուսլան Ստոյանովը, ով հետախուզական ծառայությունների հետ միասին ներգրավված էր Լուրքի հանցագործությունների հետաքննությանը, ասում է, որ ղեկավարությունը դրանցից շատերին որոնել է սովորական կայքերում՝ հեռավար աշխատանքի համար անձնակազմ հավաքագրելու համար: Գովազդներում ոչինչ չէր ասվում այն մասին, որ աշխատանքն անօրինական է լինելու, իսկ «Լուրք»-ում աշխատավարձը շուկայականից բարձր է առաջարկվել, և հնարավոր է աշխատել տնից։
«Ամեն առավոտ, բացի հանգստյան օրերից, Ռուսաստանի և Ուկրաինայի տարբեր շրջաններում մարդիկ նստում էին համակարգիչների մոտ և սկսում աշխատել»,- նկարագրել է Ստոյանովը։ «Ծրագրավորողները շտկել են [վիրուսի] հաջորդ տարբերակի գործառույթները, փորձարկողները ստուգել են այն, այնուհետև բոտնետի համար պատասխանատու անձը վերբեռնել է ամեն ինչ հրամանի սերվեր, որից հետո բոտային համակարգիչների վրա տեղի են ունեցել ավտոմատ թարմացումներ»։
Խմբի գործի քննությունը դատարանում սկսվել է 2017 թվականի աշնանը և շարունակվել 2019 թվականի սկզբին՝ պայմանավորված գործի ծավալով, որը պարունակում է շուրջ վեց հարյուր հատոր։ Հաքեր փաստաբանը թաքցնում է իր անունը
Խմբի հաքերներից մեկի գործը հարուցվել է առանձին վարույթ, և նա դատապարտվել է 5 տարվա, այդ թվում՝ Եկատերինբուրգի օդանավակայանի ցանցը կոտրելու համար։
Վերջին տասնամյակների ընթացքում Ռուսաստանում հատուկ ծառայություններին հաջողվել է հաղթել խոշոր հաքերային խմբերի մեծամասնությանը, որոնք խախտել են հիմնական կանոնը՝ «Մի աշխատիր ru»-ի վրա՝ Carberp (գողացել է մոտ մեկուկես միլիարդ ռուբլի ռուսական բանկերի հաշիվներից), Անունակը (ռուսական բանկերի հաշիվներից գողացել է ավելի քան մեկ միլիարդ ռուբլի), Paunch (նրանք ստեղծել են գրոհների հարթակներ, որոնցով անցել է ամբողջ աշխարհում վարակների կեսը) և այլն։ Նման խմբերի եկամուտը համեմատելի է զենքի վաճառողների եկամուտների հետ, և դրանք բացի հաքերներից բաղկացած են տասնյակ մարդկանցից՝ անվտանգության աշխատակիցներ, վարորդներ, գանձապահներ, կայքերի սեփականատերեր, որտեղ հայտնվում են նոր սխրանքներ և այլն։
Source: www.habr.com