Kutipan dari buku “Invasi. Sejarah Singkat Peretas Rusia"
Pada bulan Mei tahun ini di penerbit Individuum jurnalis Daniil Turovsky “Invasi. Sejarah Singkat Peretas Rusia." Ini berisi cerita dari sisi gelap industri TI Rusia - tentang orang-orang yang, setelah jatuh cinta dengan komputer, belajar tidak hanya memprogram, tetapi juga merampok orang. Buku ini berkembang, seperti fenomena itu sendiri, dari hooliganisme remaja dan pesta forum hingga operasi penegakan hukum dan skandal internasional.
Daniel mengumpulkan materi selama beberapa tahun, beberapa cerita , atas penceritaan kembali artikel Daniel, Andrew Kramer dari New York Times menerima Hadiah Pulitzer pada tahun 2017.
Tapi peretasan, seperti kejahatan lainnya, adalah topik yang terlalu tertutup. Kisah nyata hanya diturunkan dari mulut ke mulut antar manusia. Dan buku tersebut meninggalkan kesan ketidaklengkapan yang sangat aneh - seolah-olah masing-masing pahlawannya dapat dikompilasi menjadi sebuah buku tiga jilid tentang "bagaimana keadaan sebenarnya".
Dengan izin penerbit, kami menerbitkan kutipan singkat tentang kelompok Lurk, yang merampok bank-bank Rusia pada tahun 2015-16.
Pada musim panas 2015, Bank Sentral Rusia mendirikan Fincert, sebuah pusat pemantauan dan respons terhadap insiden komputer di sektor kredit dan keuangan. Melaluinya, bank bertukar informasi tentang serangan komputer, menganalisisnya, dan menerima rekomendasi perlindungan dari badan intelijen. Ada banyak serangan seperti itu: Bank Tabungan pada bulan Juni 2016 kerugian ekonomi Rusia akibat kejahatan dunia maya berjumlah 600 miliar rubel - pada saat yang sama bank mengakuisisi anak perusahaan, Bizon, yang menangani keamanan informasi perusahaan.
Pertama hasil kerja Fincert (dari Oktober 2015 hingga Maret 2016) menggambarkan 21 serangan yang ditargetkan terhadap infrastruktur bank; Akibat peristiwa tersebut, 12 kasus pidana dimulai. Sebagian besar serangan ini dilakukan oleh satu kelompok, yang diberi nama Lurk untuk menghormati virus dengan nama yang sama, yang dikembangkan oleh peretas: dengan bantuannya, uang dicuri dari perusahaan komersial dan bank.
Polisi dan pakar keamanan siber telah mencari anggota kelompok tersebut sejak 2011. Untuk waktu yang lama, pencarian tidak berhasil - pada tahun 2016, kelompok tersebut mencuri sekitar tiga miliar rubel dari bank-bank Rusia, lebih banyak daripada peretas lainnya.
Virus Lurk berbeda dari yang pernah ditemukan para peneliti sebelumnya. Ketika program dijalankan di laboratorium untuk pengujian, program tersebut tidak melakukan apa pun (itulah mengapa disebut Lurk - dari bahasa Inggris "menyembunyikan"). Nanti bahwa Lurk dirancang sebagai sistem modular: program secara bertahap memuat blok tambahan dengan berbagai fungsi - mulai dari mencegat karakter yang dimasukkan pada keyboard, login dan kata sandi hingga kemampuan untuk merekam aliran video dari layar komputer yang terinfeksi.
Untuk menyebarkan virus, kelompok tersebut meretas situs web yang dikunjungi pegawai bank: dari media online (misalnya, RIA Novosti dan Gazeta.ru) hingga forum akuntansi. Peretas mengeksploitasi kerentanan dalam sistem untuk bertukar spanduk iklan dan mendistribusikan malware melalui spanduk tersebut. Di beberapa situs, peretas hanya memposting tautan ke virus secara singkat: di forum salah satu majalah akuntansi, tautan itu muncul pada hari kerja saat makan siang selama dua jam, tetapi bahkan selama waktu ini, Lurk menemukan beberapa korban yang cocok.
Dengan mengklik spanduk, pengguna dibawa ke halaman dengan eksploitasi, setelah itu informasi tentang komputer yang diserang mulai dikumpulkan - para peretas terutama tertarik pada program perbankan jarak jauh. Rincian dalam perintah pembayaran bank diganti dengan yang diperlukan, dan transfer tidak sah dikirim ke rekening perusahaan yang terkait dengan grup tersebut. Menurut Sergei Golovanov dari Kaspersky Lab, biasanya dalam kasus seperti itu, kelompok menggunakan perusahaan cangkang, “yang sama dengan mentransfer dan menguangkan”: uang yang diterima diuangkan di sana, dimasukkan ke dalam tas dan ditinggalkan di taman kota, tempat peretas mengambil mereka. Anggota grup dengan rajin menyembunyikan tindakan mereka: mereka mengenkripsi semua korespondensi harian dan domain terdaftar dengan pengguna palsu. “Penyerang menggunakan triple VPN, Tor, obrolan rahasia, tetapi masalahnya adalah mekanisme yang berfungsi dengan baik pun gagal,” jelas Golovanov. - Entah VPN-nya mati, lalu obrolan rahasianya ternyata tidak begitu rahasia, lalu yang satu, alih-alih menelepon melalui Telegram, malah menelepon hanya dari telepon. Ini adalah faktor manusia. Dan ketika Anda telah mengumpulkan database selama bertahun-tahun, Anda perlu mencari kecelakaan seperti itu. Setelah itu, penegak hukum dapat menghubungi penyedia layanan untuk mengetahui siapa yang mengunjungi alamat IP ini dan itu dan pada jam berapa. Dan kemudian kasusnya dibangun.”
Penahanan peretas dari Lurk seperti film aksi. Pegawai Kementerian Situasi Darurat memotong kunci di rumah pedesaan dan apartemen para peretas di berbagai bagian Yekaterinburg, setelah itu petugas FSB berteriak, menangkap para peretas dan melemparkan mereka ke lantai, dan menggeledah tempat tersebut. Setelah itu, para tersangka dimasukkan ke dalam bus, dibawa ke bandara, berjalan di sepanjang landasan pacu dan dibawa ke pesawat kargo, yang lepas landas ke Moskow.
Mobil ditemukan di garasi milik peretas - model Audi, Cadillac, dan Mercedes yang mahal. Sebuah jam tangan bertatahkan 272 berlian juga ditemukan. perhiasan senilai 12 juta rubel dan senjata. Secara total, polisi melakukan sekitar 80 penggeledahan di 15 wilayah dan menahan sekitar 50 orang.
Secara khusus, semua spesialis teknis dari kelompok tersebut ditangkap. Ruslan Stoyanov, seorang karyawan Kaspersky Lab yang terlibat dalam penyelidikan kejahatan Lurk bersama dengan badan intelijen, mengatakan bahwa manajemen mencari banyak dari mereka di lokasi reguler untuk merekrut personel untuk pekerjaan jarak jauh. Iklan tersebut tidak mengatakan apa pun tentang fakta bahwa pekerjaan itu ilegal, dan gaji di Lurk ditawarkan di atas gaji pasar, dan dimungkinkan untuk bekerja dari rumah.
“Setiap pagi, kecuali akhir pekan, di berbagai wilayah di Rusia dan Ukraina, orang-orang duduk di depan komputer dan mulai bekerja,” jelas Stoyanov. “Pemrogram mengubah fungsi versi [virus] berikutnya, penguji memeriksanya, lalu orang yang bertanggung jawab atas botnet mengunggah semuanya ke server perintah, setelah itu pembaruan otomatis dilakukan pada komputer bot.”
Pertimbangan kasus kelompok di pengadilan dimulai pada musim gugur 2017 dan berlanjut pada awal 2019 - karena volume kasus yang berjumlah sekitar enam ratus jilid. Pengacara peretas menyembunyikan namanya bahwa tidak ada tersangka yang mau membuat kesepakatan dengan penyelidikan tersebut, namun beberapa mengakui sebagian dari tuduhan tersebut. “Klien kami memang berhasil mengembangkan berbagai bagian dari virus Lurk, namun banyak yang tidak menyadari bahwa itu adalah sebuah Trojan,” jelasnya. “Seseorang membuat bagian dari algoritme yang dapat bekerja dengan sukses di mesin pencari.”
Kasus salah satu peretas kelompok tersebut dibawa ke proses terpisah, dan dia menerima hukuman 5 tahun, termasuk karena meretas jaringan bandara Yekaterinburg.
Dalam beberapa dekade terakhir di Rusia, layanan khusus berhasil mengalahkan sebagian besar kelompok peretas besar yang melanggar aturan utama - “Jangan bekerja di ru”: Carberp (mencuri sekitar satu setengah miliar rubel dari rekening bank Rusia), Anunak (mencuri lebih dari satu miliar rubel dari rekening bank-bank Rusia), Paunch (mereka menciptakan platform untuk serangan yang dilalui hingga setengah dari infeksi di seluruh dunia) dan seterusnya. Pendapatan kelompok-kelompok tersebut sebanding dengan pendapatan para pedagang senjata, dan mereka terdiri dari lusinan orang selain para peretas itu sendiri - penjaga keamanan, pengemudi, kasir, pemilik situs tempat eksploitasi baru muncul, dan sebagainya.
Sumber: www.habr.com