Brot úr bókinni „Invasion. Stutt saga rússneskra tölvuþrjóta“
Í maí á þessu ári í forlaginu Individuum
Daníel safnaði efni í nokkur ár, sumar sögur
En reiðhestur, eins og allir glæpir, er of lokað umræðuefni. Raunverulegar sögur berast aðeins með munnmælum milli manna. Og bókin skilur eftir sig brjálæðislega forvitnilegan ófullkomleika - eins og hægt sé að setja hverja hetju hennar saman í þriggja binda bók um „hvernig það var í raun og veru.
Með leyfi útgefanda birtum við stuttan útdrátt um Lurk-hópinn sem rændi rússneska banka á árunum 2015-16.
Sumarið 2015 stofnaði rússneski seðlabankinn Fincert, miðstöð til að fylgjast með og bregðast við tölvuatvikum í lána- og fjármálageiranum. Í gegnum það skiptast bankar á upplýsingum um tölvuárásir, greina þær og fá tilmæli um vernd frá leyniþjónustustofum. Það eru margar slíkar árásir: Sberbank í júní 2016
Í fyrsta lagi
Lögregla og netöryggissérfræðingar hafa leitað að meðlimum hópsins síðan 2011. Í langan tíma var leitin árangurslaus - árið 2016 stal hópurinn um þremur milljörðum rúblna frá rússneskum bönkum, meira en nokkur annar tölvuþrjótur.
Lurk vírusinn var öðruvísi en þeir sem rannsakendur höfðu kynnst áður. Þegar forritið var keyrt á rannsóknarstofunni til prófunar gerði það ekkert (þess vegna var það kallað Lurk - úr ensku "to hide"). Seinna
Til að dreifa vírusnum réðst hópurinn inn á vefsíður sem bankastarfsmenn heimsóttu: allt frá netmiðlum (til dæmis RIA Novosti og Gazeta.ru) til bókhaldsvettvanga. Tölvuþrjótar nýttu sér varnarleysi í kerfinu til að skiptast á auglýsingaborðum og dreifðu spilliforritum í gegnum þá. Á sumum síðum birtu tölvuþrjótar hlekk á vírusinn aðeins í stutta stund: á spjallborði eins bókhaldstímaritanna birtist hann á virkum dögum í hádeginu í tvær klukkustundir, en jafnvel á þessum tíma fann Lurk nokkur viðeigandi fórnarlömb.
Með því að smella á borðann var notandinn færður á síðu með hetjudáð, eftir það var farið að safna upplýsingum um tölvuna sem ráðist var á - tölvuþrjótarnir höfðu aðallega áhuga á forriti fyrir fjarbankastarfsemi. Upplýsingar í greiðslufyrirmælum banka voru skipt út fyrir þær sem tilskildar voru og óheimilar millifærslur sendar á reikninga fyrirtækja sem tengjast samstæðunni. Samkvæmt Sergei Golovanov frá Kaspersky Lab nota hópar venjulega í slíkum tilfellum skelfyrirtæki, „sem eru það sama og að millifæra og greiða út“: peningarnir sem berast eru staðgreiddir þar, settir í töskur og skilið eftir bókamerki í borgargörðum, þar sem tölvuþrjótar fara með þeim. Meðlimir hópsins földu gjörðir sínar af kostgæfni: þeir dulkóðuðu allar daglegar bréfaskipti og skráðu lén með fölsuðum notendum. „Árásarmenn nota þrefalt VPN, Tor, leynispjall, en vandamálið er að jafnvel vel virkt kerfi mistekst,“ útskýrir Golovanov. - Annaðhvort dettur VPN af, þá reynist leynispjallið ekki vera svo leyndarmál, þá hringdi maður einfaldlega úr símanum í stað þess að hringja í gegnum Telegram. Þetta er mannlegi þátturinn. Og þegar þú hefur safnað gagnagrunni í mörg ár þarftu að leita að slíkum slysum. Eftir þetta getur lögregla haft samband við veitendur til að komast að því hver heimsótti slíka og slíka IP tölu og hvenær. Og þá er málið byggt upp.“
Farbann yfir tölvuþrjótum frá Lurk
Bílar fundust í bílskúrum sem tilheyra tölvuþrjótum - dýrum Audi, Cadillac og Mercedes módelum. Einnig fannst úr með 272 demöntum.
Sérstaklega voru allir tæknisérfræðingar hópsins handteknir. Ruslan Stoyanov, starfsmaður Kaspersky Lab sem tók þátt í rannsókn á Lurk glæpum ásamt leyniþjónustunni, sagði að stjórnendur leituðu að mörgum þeirra á venjulegum stöðum til að ráða starfsfólk í fjarvinnu. Í auglýsingunum var ekkert sagt um að vinnan yrði ólögleg og voru launin hjá Lurk boðin yfir markaðsverði og hægt væri að vinna heima.
„Á hverjum morgni, nema um helgar, í mismunandi hlutum Rússlands og Úkraínu, settust einstaklingar við tölvur sínar og fóru að vinna,“ sagði Stoyanov. „Forritarar fínstilltu aðgerðir næstu útgáfu [af vírusnum], prófunarmenn athugaðu það, síðan hlóð sá sem ber ábyrgð á botnetinu öllu upp á stjórnunarþjóninn, eftir það fóru sjálfvirkar uppfærslur fram á botnatölvunum.
Athugun á máli hópsins fyrir dómi hófst haustið 2017 og hélt áfram í ársbyrjun 2019 - vegna umfangs málsins sem inniheldur um sex hundruð binda. Hacker lögfræðingur felur nafn sitt
Mál eins af tölvuþrjótum hópsins var höfðað í sérstakri meðferð og hann fékk 5 ár, þar á meðal fyrir að hakka net Yekaterinburg flugvallarins.
Undanfarna áratugi í Rússlandi tókst sérþjónustunni að sigra meirihluta stórra tölvuþrjótahópa sem brutu meginregluna - „Ekki vinna á ru“: Carberp (stal um einum og hálfum milljarði rúblna af reikningum rússneskra banka), Anunak (stal meira en milljarði rúblna af reikningum rússneskra banka), Paunch (þeir bjuggu til vettvang fyrir árásir sem allt að helmingur smita um allan heim fór í gegnum) og svo framvegis. Tekjur slíkra hópa eru sambærilegar við tekjur vopnasala og samanstanda þeir af tugum manna auk tölvuþrjótanna sjálfra - öryggisvörðum, bílstjórum, gjaldkerum, eigendum vefsvæða þar sem ný hetjudáð birtast og svo framvegis.
Heimild: www.habr.com