Estratto dal libro “Invasione. Una breve storia degli hacker russi"
Nel maggio di quest'anno nella casa editrice Individuum
Daniel ha raccolto materiali per diversi anni, alcune storie
Ma l’hacking, come ogni crimine, è un argomento troppo chiuso. Le storie vere si tramandano solo con il passaparola tra le persone. E il libro lascia l'impressione di un'incompletezza follemente curiosa, come se ciascuno dei suoi eroi potesse essere raccolto in un libro in tre volumi su "come era realmente".
Con il permesso dell'editore pubblichiamo un breve estratto sul gruppo Lurk, che ha rapinato le banche russe nel 2015-16.
Nell’estate del 2015 la Banca Centrale russa ha creato Fincert, un centro per il monitoraggio e la risposta agli incidenti informatici nel settore creditizio e finanziario. Attraverso di esso le banche si scambiano informazioni sugli attacchi informatici, li analizzano e ricevono raccomandazioni sulla protezione dalle agenzie di intelligence. Esistono molti attacchi simili: Sberbank nel giugno 2016
В первом
Gli specialisti della polizia e della sicurezza informatica cercano membri del gruppo dal 2011. Per molto tempo la ricerca non ha avuto successo: nel 2016 il gruppo ha rubato circa tre miliardi di rubli dalle banche russe, più di qualsiasi altro hacker.
Il virus Lurk era diverso da quelli che gli investigatori avevano incontrato in precedenza. Quando il programma veniva eseguito in laboratorio per i test, non faceva nulla (ecco perché veniva chiamato Lurk - dall'inglese "nascondersi"). Dopo
Per diffondere il virus, il gruppo ha violato i siti web visitati dai dipendenti delle banche: dai media online (ad esempio RIA Novosti e Gazeta.ru) ai forum contabili. Gli hacker hanno sfruttato una vulnerabilità del sistema per lo scambio di banner pubblicitari e attraverso di essi hanno distribuito malware. Su alcuni siti, gli hacker hanno pubblicato il collegamento al virus solo brevemente: sul forum di una delle riviste di contabilità è apparso nei giorni feriali all'ora di pranzo per due ore, ma anche durante questo periodo Lurk ha trovato diverse vittime adatte.
Cliccando sul banner, l'utente è stato indirizzato a una pagina con exploit, dopodiché hanno iniziato a raccogliere informazioni sul computer attaccato: gli hacker erano principalmente interessati a un programma per il remote banking. I dettagli degli ordini di pagamento bancari sono stati sostituiti con quelli richiesti e i trasferimenti non autorizzati sono stati inviati sui conti delle società associate al gruppo. Secondo Sergei Golovanov di Kaspersky Lab, di solito in questi casi i gruppi utilizzano società di comodo, "che equivalgono a trasferire e incassare": il denaro ricevuto viene incassato lì, messo in borse e lasciato segnalibri nei parchi cittadini, dove gli hacker prendono loro. I membri del gruppo hanno diligentemente nascosto le loro azioni: hanno crittografato tutta la corrispondenza quotidiana e registrato i domini con utenti falsi. "Gli aggressori utilizzano tripla VPN, Tor, chat segrete, ma il problema è che anche un meccanismo ben funzionante fallisce", spiega Golovanov. - O la VPN cade, quindi la chat segreta risulta non essere così segreta, quindi uno, invece di chiamare tramite Telegram, chiama semplicemente dal telefono. Questo è il fattore umano. E quando accumuli un database da anni, devi cercare tali incidenti. Successivamente le forze dell'ordine possono contattare i fornitori per scoprire chi ha visitato questo o quell'indirizzo IP e a che ora. E poi il caso è costruito”.
Detenzione di hacker di Lurk
Nei garage degli hacker sono state trovate automobili: costosi modelli Audi, Cadillac e Mercedes. È stato scoperto anche un orologio tempestato di 272 diamanti.
In particolare sono stati arrestati tutti i tecnici specializzati del gruppo. Ruslan Stoyanov, un dipendente di Kaspersky Lab coinvolto nelle indagini sui crimini Lurk insieme ai servizi di intelligence, ha affermato che la direzione ha cercato molti di loro in siti regolari per il reclutamento di personale per il lavoro a distanza. Gli annunci non dicevano nulla del fatto che il lavoro sarebbe stato illegale, e lo stipendio a Lurk era superiore a quello di mercato, ed era possibile lavorare da casa.
"Ogni mattina, tranne i fine settimana, in diverse parti della Russia e dell'Ucraina, le persone si sedevano al computer e cominciavano a lavorare", ha descritto Stoyanov. "I programmatori hanno modificato le funzioni della prossima versione [del virus], i tester l'hanno verificata, quindi il responsabile della botnet ha caricato tutto sul server di comando, dopodiché hanno avuto luogo gli aggiornamenti automatici sui computer bot."
L'esame del caso del gruppo in tribunale è iniziato nell'autunno del 2017 ed è continuato all'inizio del 2019, a causa del volume del caso, che contiene circa seicento volumi. Avvocato hacker che nasconde il suo nome
Il caso di uno degli hacker del gruppo è stato portato in un procedimento separato e ha ricevuto 5 anni, anche per aver hackerato la rete dell'aeroporto di Ekaterinburg.
Negli ultimi decenni in Russia, i servizi speciali sono riusciti a sconfiggere la maggior parte dei grandi gruppi di hacker che hanno violato la regola principale: "Non lavorare su ru": Carberp (ha rubato circa un miliardo e mezzo di rubli dai conti delle banche russe), Anunak (ha rubato più di un miliardo di rubli dai conti delle banche russe), Paunch (hanno creato piattaforme di attacco attraverso le quali è passata fino alla metà delle infezioni in tutto il mondo) e così via. Il reddito di tali gruppi è paragonabile ai guadagni dei trafficanti di armi e sono costituiti da dozzine di persone oltre agli stessi hacker: guardie di sicurezza, autisti, cassieri, proprietari di siti in cui compaiono nuovi exploit e così via.
Fonte: habr.com