Estratto dal libro “Invasione. Una breve storia degli hacker russi"
Nel maggio di quest'anno nella casa editrice Individuum giornalista Daniil Turovsky “Invasione. Una breve storia degli hacker russi." Contiene storie dal lato oscuro dell'industria IT russa - su ragazzi che, innamorandosi dei computer, hanno imparato non solo a programmare, ma a derubare le persone. Il libro si sviluppa, come il fenomeno stesso, dal teppismo adolescenziale e dai forum alle operazioni delle forze dell'ordine e agli scandali internazionali.
Daniel ha raccolto materiali per diversi anni, alcune storie , per la sua rivisitazione degli articoli di Daniel, Andrew Kramer del New York Times ha ricevuto un Premio Pulitzer nel 2017.
Ma l’hacking, come ogni crimine, è un argomento troppo chiuso. Le storie vere si tramandano solo con il passaparola tra le persone. E il libro lascia l'impressione di un'incompletezza follemente curiosa, come se ciascuno dei suoi eroi potesse essere raccolto in un libro in tre volumi su "come era realmente".
Con il permesso dell'editore pubblichiamo un breve estratto sul gruppo Lurk, che ha rapinato le banche russe nel 2015-16.
Nell’estate del 2015 la Banca Centrale russa ha creato Fincert, un centro per il monitoraggio e la risposta agli incidenti informatici nel settore creditizio e finanziario. Attraverso di esso le banche si scambiano informazioni sugli attacchi informatici, li analizzano e ricevono raccomandazioni sulla protezione dalle agenzie di intelligence. Esistono molti attacchi simili: Sberbank nel giugno 2016 le perdite dell'economia russa a causa della criminalità informatica ammontano a 600 miliardi di rubli - allo stesso tempo la banca ha acquisito una società controllata, Bizon, che si occupa della sicurezza delle informazioni dell'impresa.
В первом i risultati del lavoro di Fincert (da ottobre 2015 a marzo 2016) descrivono 21 attacchi mirati alle infrastrutture bancarie; A seguito di questi eventi sono stati avviati 12 procedimenti penali. La maggior parte di questi attacchi sono stati opera di un gruppo, chiamato Lurk in onore del virus omonimo, sviluppato dagli hacker: con il suo aiuto è stato rubato denaro a imprese commerciali e banche.
Gli specialisti della polizia e della sicurezza informatica cercano membri del gruppo dal 2011. Per molto tempo la ricerca non ha avuto successo: nel 2016 il gruppo ha rubato circa tre miliardi di rubli dalle banche russe, più di qualsiasi altro hacker.
Il virus Lurk era diverso da quelli che gli investigatori avevano incontrato in precedenza. Quando il programma veniva eseguito in laboratorio per i test, non faceva nulla (ecco perché veniva chiamato Lurk - dall'inglese "nascondersi"). Dopo che Lurk è concepito come un sistema modulare: il programma carica gradualmente blocchi aggiuntivi con varie funzionalità: dall'intercettazione dei caratteri immessi sulla tastiera, accessi e password alla possibilità di registrare un flusso video dallo schermo di un computer infetto.
Per diffondere il virus, il gruppo ha violato i siti web visitati dai dipendenti delle banche: dai media online (ad esempio RIA Novosti e Gazeta.ru) ai forum contabili. Gli hacker hanno sfruttato una vulnerabilità del sistema per lo scambio di banner pubblicitari e attraverso di essi hanno distribuito malware. Su alcuni siti, gli hacker hanno pubblicato il collegamento al virus solo brevemente: sul forum di una delle riviste di contabilità è apparso nei giorni feriali all'ora di pranzo per due ore, ma anche durante questo periodo Lurk ha trovato diverse vittime adatte.
Cliccando sul banner, l'utente è stato indirizzato a una pagina con exploit, dopodiché hanno iniziato a raccogliere informazioni sul computer attaccato: gli hacker erano principalmente interessati a un programma per il remote banking. I dettagli degli ordini di pagamento bancari sono stati sostituiti con quelli richiesti e i trasferimenti non autorizzati sono stati inviati sui conti delle società associate al gruppo. Secondo Sergei Golovanov di Kaspersky Lab, di solito in questi casi i gruppi utilizzano società di comodo, "che equivalgono a trasferire e incassare": il denaro ricevuto viene incassato lì, messo in borse e lasciato segnalibri nei parchi cittadini, dove gli hacker prendono loro. I membri del gruppo hanno diligentemente nascosto le loro azioni: hanno crittografato tutta la corrispondenza quotidiana e registrato i domini con utenti falsi. "Gli aggressori utilizzano tripla VPN, Tor, chat segrete, ma il problema è che anche un meccanismo ben funzionante fallisce", spiega Golovanov. - O la VPN cade, quindi la chat segreta risulta non essere così segreta, quindi uno, invece di chiamare tramite Telegram, chiama semplicemente dal telefono. Questo è il fattore umano. E quando accumuli un database da anni, devi cercare tali incidenti. Successivamente le forze dell'ordine possono contattare i fornitori per scoprire chi ha visitato questo o quell'indirizzo IP e a che ora. E poi il caso è costruito”.
Detenzione di hacker di Lurk come un film d'azione. I dipendenti del Ministero per le situazioni di emergenza hanno tagliato le serrature nelle case di campagna e negli appartamenti degli hacker in diverse parti di Ekaterinburg, dopo di che gli agenti dell'FSB hanno fatto irruzione urlando, hanno afferrato gli hacker e li hanno gettati a terra e hanno perquisito i locali. Successivamente, i sospettati sono stati caricati su un autobus, portati all'aeroporto, hanno camminato lungo la pista e caricati su un aereo cargo, decollato per Mosca.
Nei garage degli hacker sono state trovate automobili: costosi modelli Audi, Cadillac e Mercedes. È stato scoperto anche un orologio tempestato di 272 diamanti. gioielli del valore di 12 milioni di rubli e armi. In totale, la polizia ha condotto circa 80 perquisizioni in 15 regioni e ha arrestato circa 50 persone.
In particolare sono stati arrestati tutti i tecnici specializzati del gruppo. Ruslan Stoyanov, un dipendente di Kaspersky Lab coinvolto nelle indagini sui crimini Lurk insieme ai servizi di intelligence, ha affermato che la direzione ha cercato molti di loro in siti regolari per il reclutamento di personale per il lavoro a distanza. Gli annunci non dicevano nulla del fatto che il lavoro sarebbe stato illegale, e lo stipendio a Lurk era superiore a quello di mercato, ed era possibile lavorare da casa.
"Ogni mattina, tranne i fine settimana, in diverse parti della Russia e dell'Ucraina, le persone si sedevano al computer e cominciavano a lavorare", ha descritto Stoyanov. "I programmatori hanno modificato le funzioni della prossima versione [del virus], i tester l'hanno verificata, quindi il responsabile della botnet ha caricato tutto sul server di comando, dopodiché hanno avuto luogo gli aggiornamenti automatici sui computer bot."
L'esame del caso del gruppo in tribunale è iniziato nell'autunno del 2017 ed è continuato all'inizio del 2019, a causa del volume del caso, che contiene circa seicento volumi. Avvocato hacker che nasconde il suo nome che nessuno dei sospettati avrebbe accettato un accordo con le indagini, ma alcuni hanno ammesso parte delle accuse. "I nostri clienti hanno lavorato allo sviluppo di varie parti del virus Lurk, ma molti semplicemente non erano consapevoli che si trattasse di un trojan", ha spiegato. "Qualcuno ha creato parte degli algoritmi che potrebbero funzionare con successo nei motori di ricerca."
Il caso di uno degli hacker del gruppo è stato portato in un procedimento separato e ha ricevuto 5 anni, anche per aver hackerato la rete dell'aeroporto di Ekaterinburg.
Negli ultimi decenni in Russia, i servizi speciali sono riusciti a sconfiggere la maggior parte dei grandi gruppi di hacker che hanno violato la regola principale: "Non lavorare su ru": Carberp (ha rubato circa un miliardo e mezzo di rubli dai conti delle banche russe), Anunak (ha rubato più di un miliardo di rubli dai conti delle banche russe), Paunch (hanno creato piattaforme di attacco attraverso le quali è passata fino alla metà delle infezioni in tutto il mondo) e così via. Il reddito di tali gruppi è paragonabile ai guadagni dei trafficanti di armi e sono costituiti da dozzine di persone oltre agli stessi hacker: guardie di sicurezza, autisti, cassieri, proprietari di siti in cui compaiono nuovi exploit e così via.
Fonte: habr.com