Brot úr bókinni „Invasion. Stutt saga rússneskra tölvuþrjóta“
Í maí á þessu ári í forlaginu Individuum blaðamaður Daniil Turovsky „Innrás. Stutt saga rússneskra tölvuþrjóta." Það inniheldur sögur frá myrku hlið rússneska upplýsingatækniiðnaðarins - um stráka sem, eftir að hafa orðið ástfangnir af tölvum, lærðu ekki bara að forrita heldur að ræna fólk. Bókin þróast, líkt og fyrirbærið sjálft - allt frá unglingabólum og málþingsveislum til löggæsluaðgerða og alþjóðlegra hneykslismála.
Daníel safnaði efni í nokkur ár, sumar sögur , fyrir endursagnir sínar af greinum Daniels fékk Andrew Kramer hjá New York Times Pulitzer-verðlaunin árið 2017.
En reiðhestur, eins og allir glæpir, er of lokað umræðuefni. Raunverulegar sögur berast aðeins með munnmælum milli manna. Og bókin skilur eftir sig brjálæðislega forvitnilegan ófullkomleika - eins og hægt sé að setja hverja hetju hennar saman í þriggja binda bók um „hvernig það var í raun og veru.
Með leyfi útgefanda birtum við stuttan útdrátt um Lurk-hópinn sem rændi rússneska banka á árunum 2015-16.
Sumarið 2015 stofnaði rússneski seðlabankinn Fincert, miðstöð til að fylgjast með og bregðast við tölvuatvikum í lána- og fjármálageiranum. Í gegnum það skiptast bankar á upplýsingum um tölvuárásir, greina þær og fá tilmæli um vernd frá leyniþjónustustofum. Það eru margar slíkar árásir: Sberbank í júní 2016 Tap rússneska hagkerfisins vegna netglæpa nam 600 milljörðum rúblna - á sama tíma eignaðist bankinn dótturfyrirtæki, Bizon, sem fjallar um upplýsingaöryggi fyrirtækisins.
Í fyrsta lagi niðurstöður vinnu Fincert (frá október 2015 til mars 2016) lýsa 21 markvissri árás á innviði banka; Vegna þessara atburða voru 12 sakamál höfðuð. Flestar þessar árásir voru verk eins hóps, sem var nefndur Lurk til heiðurs samnefndri vírus sem þróaður var af tölvuþrjótum: með hjálp hans var peningum stolið frá viðskiptafyrirtækjum og bönkum.
Lögregla og netöryggissérfræðingar hafa leitað að meðlimum hópsins síðan 2011. Í langan tíma var leitin árangurslaus - árið 2016 stal hópurinn um þremur milljörðum rúblna frá rússneskum bönkum, meira en nokkur annar tölvuþrjótur.
Lurk vírusinn var öðruvísi en þeir sem rannsakendur höfðu kynnst áður. Þegar forritið var keyrt á rannsóknarstofunni til prófunar gerði það ekkert (þess vegna var það kallað Lurk - úr ensku "to hide"). Seinna að Lurk sé hannað sem einingakerfi: forritið hleður smám saman viðbótarkubba með ýmsum virkni - allt frá því að stöðva stafi sem slegið er inn á lyklaborðið, innskráningu og lykilorð til þess að geta tekið upp myndbandsstraum af skjá sýktrar tölvu.
Til að dreifa vírusnum réðst hópurinn inn á vefsíður sem bankastarfsmenn heimsóttu: allt frá netmiðlum (til dæmis RIA Novosti og Gazeta.ru) til bókhaldsvettvanga. Tölvuþrjótar nýttu sér varnarleysi í kerfinu til að skiptast á auglýsingaborðum og dreifðu spilliforritum í gegnum þá. Á sumum síðum birtu tölvuþrjótar hlekk á vírusinn aðeins í stutta stund: á spjallborði eins bókhaldstímaritanna birtist hann á virkum dögum í hádeginu í tvær klukkustundir, en jafnvel á þessum tíma fann Lurk nokkur viðeigandi fórnarlömb.
Með því að smella á borðann var notandinn færður á síðu með hetjudáð, eftir það var farið að safna upplýsingum um tölvuna sem ráðist var á - tölvuþrjótarnir höfðu aðallega áhuga á forriti fyrir fjarbankastarfsemi. Upplýsingar í greiðslufyrirmælum banka voru skipt út fyrir þær sem tilskildar voru og óheimilar millifærslur sendar á reikninga fyrirtækja sem tengjast samstæðunni. Samkvæmt Sergei Golovanov frá Kaspersky Lab nota hópar venjulega í slíkum tilfellum skelfyrirtæki, „sem eru það sama og að millifæra og greiða út“: peningarnir sem berast eru staðgreiddir þar, settir í töskur og skilið eftir bókamerki í borgargörðum, þar sem tölvuþrjótar fara með þeim. Meðlimir hópsins földu gjörðir sínar af kostgæfni: þeir dulkóðuðu allar daglegar bréfaskipti og skráðu lén með fölsuðum notendum. „Árásarmenn nota þrefalt VPN, Tor, leynispjall, en vandamálið er að jafnvel vel virkt kerfi mistekst,“ útskýrir Golovanov. - Annaðhvort dettur VPN af, þá reynist leynispjallið ekki vera svo leyndarmál, þá hringdi maður einfaldlega úr símanum í stað þess að hringja í gegnum Telegram. Þetta er mannlegi þátturinn. Og þegar þú hefur safnað gagnagrunni í mörg ár þarftu að leita að slíkum slysum. Eftir þetta getur lögregla haft samband við veitendur til að komast að því hver heimsótti slíka og slíka IP tölu og hvenær. Og þá er málið byggt upp.“
Farbann yfir tölvuþrjótum frá Lurk eins og hasarmynd. Starfsmenn neyðarástandsins klipptu af lásum í sveitahúsum og íbúðum tölvuþrjóta á mismunandi stöðum í Yekaterinburg, eftir það brutust yfirmenn FSB upp öskrandi, gripu tölvuþrjótana og köstuðu þeim í gólfið og leituðu í húsnæðinu. Eftir þetta voru hinir grunuðu settir í rútu, fluttir á flugvöllinn, gengið eftir flugbrautinni og fluttir inn í flutningaflugvél sem fór í loftið til Moskvu.
Bílar fundust í bílskúrum sem tilheyra tölvuþrjótum - dýrum Audi, Cadillac og Mercedes módelum. Einnig fannst úr með 272 demöntum. skartgripir að verðmæti 12 milljónir rúblur og vopn. Alls framkvæmdi lögregla um 80 leitir í 15 héruðum og handtók um 50 manns.
Sérstaklega voru allir tæknisérfræðingar hópsins handteknir. Ruslan Stoyanov, starfsmaður Kaspersky Lab sem tók þátt í rannsókn á Lurk glæpum ásamt leyniþjónustunni, sagði að stjórnendur leituðu að mörgum þeirra á venjulegum stöðum til að ráða starfsfólk í fjarvinnu. Í auglýsingunum var ekkert sagt um að vinnan yrði ólögleg og voru launin hjá Lurk boðin yfir markaðsverði og hægt væri að vinna heima.
„Á hverjum morgni, nema um helgar, í mismunandi hlutum Rússlands og Úkraínu, settust einstaklingar við tölvur sínar og fóru að vinna,“ sagði Stoyanov. „Forritarar fínstilltu aðgerðir næstu útgáfu [af vírusnum], prófunarmenn athugaðu það, síðan hlóð sá sem ber ábyrgð á botnetinu öllu upp á stjórnunarþjóninn, eftir það fóru sjálfvirkar uppfærslur fram á botnatölvunum.
Athugun á máli hópsins fyrir dómi hófst haustið 2017 og hélt áfram í ársbyrjun 2019 - vegna umfangs málsins sem inniheldur um sex hundruð binda. Hacker lögfræðingur felur nafn sitt að enginn hinna grunuðu myndi gera samning við rannsóknina en sumir viðurkenndu hluta sakargiftanna. „Viðskiptavinir okkar unnu að því að þróa ýmsa hluta Lurk vírussins, en margir voru einfaldlega ekki meðvitaðir um að þetta væri Tróverji,“ útskýrði hann. "Einhver gerði hluti af reikniritunum sem gætu virkað með góðum árangri í leitarvélum."
Mál eins af tölvuþrjótum hópsins var höfðað í sérstakri meðferð og hann fékk 5 ár, þar á meðal fyrir að hakka net Yekaterinburg flugvallarins.
Undanfarna áratugi í Rússlandi tókst sérþjónustunni að sigra meirihluta stórra tölvuþrjótahópa sem brutu meginregluna - „Ekki vinna á ru“: Carberp (stal um einum og hálfum milljarði rúblna af reikningum rússneskra banka), Anunak (stal meira en milljarði rúblna af reikningum rússneskra banka), Paunch (þeir bjuggu til vettvang fyrir árásir sem allt að helmingur smita um allan heim fór í gegnum) og svo framvegis. Tekjur slíkra hópa eru sambærilegar við tekjur vopnasala og samanstanda þeir af tugum manna auk tölvuþrjótanna sjálfra - öryggisvörðum, bílstjórum, gjaldkerum, eigendum vefsvæða þar sem ný hetjudáð birtast og svo framvegis.
Heimild: www.habr.com