Lurk ウイルスは銀行をハッキングしたが、このウイルスは一般のリモート ワーカーが雇って作成したものだった

著書「侵略」より抜粋。 ロシアのハッカーの歴史」

今年XNUMX月に出版社Individuumで 本が出た ジャーナリスト、ダニール・トゥロフスキー「侵略。 ロシアのハッカーの簡単な歴史。」 この本には、ロシアの IT 業界の暗い側面からの物語が含まれています。コンピューターに恋に落ち、プログラムだけでなく、人を盗むことも学んだ男たちの物語です。 この本は、現象そのものと同じように、XNUMX代のフーリガニズムやフォーラムパーティーから法執行活動や国際的なスキャンダルまで展開します。

ダニエルは数年間にわたっていくつかの物語を集めた資料を集めました メドゥーザで放映されました、ダニエルの記事の再話により、ニューヨーク・タイムズのアンドリュー・クレイマーは2017年にピューリッツァー賞を受賞した。

しかし、ハッキングは他の犯罪と同様、あまりにも閉じられたテーマです。 本当の物語は人々の間で口頭でのみ伝えられます。 そしてこの本は、まるで登場人物たちのそれぞれが「実際はどうだったのか」を XNUMX 巻の本にまとめられるかのように、非常に奇妙な不完全さの印象を残しています。

出版社の許可を得て、2015年から16年にかけてロシアの銀行を襲ったラークグループに関する短い抜粋を掲載します。

2015 年の夏、ロシア中央銀行は、信用および金融部門におけるコンピューター インシデントを監視し、対応するためのセンターである Fincert を設立しました。 これを通じて、銀行はコンピューター攻撃に関する情報を交換し、分析し、諜報機関から保護に関する推奨事項を受け取ります。 このような攻撃は数多くあります: 2016 年 XNUMX 月のズベルバンク 感謝します サイバー犯罪によるロシア経済の損失は600億ルーブルに達し、同時に銀行は企業の情報セキュリティを扱う子会社Bizonを買収した。

最初の レポート Fincert の調査結果 (2015 年 2016 月から 21 年 12 月まで) には、銀行インフラに対する XNUMX 件の標的型攻撃が記載されています。 これらの出来事の結果、XNUMX件の刑事訴訟が開始された。 これらの攻撃のほとんどは、ハッカーによって開発された同名のウイルスにちなんで Lurk と名付けられたあるグループの仕業であり、その助けを借りて営利企業や銀行から資金が盗まれました。

警察とサイバーセキュリティの専門家は2011年からこのグループのメンバーを探している。 長い間、捜索は失敗に終わり、2016年までにこのグループはロシアの銀行から約XNUMX億ルーブルを盗み、これは他のどのハッカーよりも多かった。

Lurk ウイルスは、研究者が以前に遭遇したウイルスとは異なりました。 このプログラムを実験室でテストのために実行したところ、何も起こりませんでした（そのため、英語の「隠す」という意味からこのプログラムは Lurk と呼ばれました）。 後で それが判明したLurk はモジュラー システムとして設計されているということです。このプログラムは、キーボードで入力された文字、ログイン、パスワードの傍受から、感染したコンピューターの画面からビデオ ストリームを録画する機能まで、さまざまな機能を備えた追加のブロックを徐々に読み込みます。

ウイルスを拡散させるために、このグループはオンライン メディア (RIA Novosti や Gazeta.ru など) から会計フォーラムまで、銀行員が訪問する Web サイトをハッキングしました。 ハッカーはシステムの脆弱性を悪用して広告バナーを交換し、それを介してマルウェアを配布しました。 一部のサイトでは、ハッカーがこのウイルスへのリンクを短時間だけ投稿しました。ある会計雑誌のフォーラムでは、平日の昼休みの XNUMX 時間にわたってウイルスが出現しましたが、この時間帯でも、Lurk は適切な被害者を数人見つけました。

バナーをクリックすると、ユーザーはエクスプロイトのあるページに移動し、その後、攻撃されたコンピュータ上で情報が収集され始めました。ハッカーは主にリモート バンキング用のプログラムに興味を持っていました。 銀行支払い命令の詳細が必要なものに置き換えられ、グループに関連する企業の口座に不正な送金が送信されました。 カスペルスキーのセルゲイ・ゴロバノフ氏によると、こうしたケースでは通常、グループは「送金や現金化と同じ」ダミー会社を利用する。受け取った金はそこで現金化され、バッグに入れられ、都市の公園にブックマークが残され、そこからハッカーが持ち出すという。彼ら 。 グループのメンバーは自分たちの行動を熱心に隠蔽しました。日々のやり取りをすべて暗号化し、偽のユーザーでドメインを登録しました。 「攻撃者は VPN、Tor、秘密チャットを XNUMX 重に使用しますが、問題は、うまく機能するメカニズムでも機能しないことです」とゴロバノフ氏は説明します。 - VPN が切断され、秘密のチャットがそれほど秘密ではないことが判明し、テレグラム経由で通話する代わりに単に電話から通話するかのいずれかです。 これは人的要因です。 そして、何年もデータベースを蓄積していると、そのような事故を探す必要があります。 その後、法執行機関はプロバイダーに連絡して、誰がいつその IP アドレスにアクセスしたかを知ることができます。 そして訴訟が構築されるのです。」

Lurkからのハッカーの拘束 見えた アクション映画のように。 非常事態省の職員らがエカテリンブルクの各地でハッカーの別荘やアパートの鍵を遮断し、その後ＦＳＢ職員が叫び声を上げて突入し、ハッカーを掴んで床に投げつけ、敷地内を捜索した。 この後、容疑者らはバスに乗せられ、空港に連れて行かれ、滑走路に沿って歩いて貨物機に乗せられ、モスクワに向けて離陸した。

ハッカー所有の車がガレージで発見され、その中には高価なアウディ、キャデラック、メルセデスのモデルが含まれていた。 272個のダイヤモンドがちりばめられた時計も発見された。 押収された 12万ルーブル相当の宝石と武器。 警察は80の地域で合計約15件の捜索を実施し、約50人を拘束した。

特に、グループの技術専門家全員が逮捕された。 諜報機関とともにラーク犯罪の捜査に携わったカスペルスキーの従業員、ルスラン・ストヤノフ氏は、経営陣がリモートワークの人員を募集する通常のサイトでラーク犯罪者の多くを探したと語った。 広告には、その仕事が違法であるという事実については何も書かれておらず、Lurk での給与は相場よりも高く、在宅勤務も可能でした。

「ロシアとウクライナのさまざまな地域では、週末を除いて毎朝、人々がコンピューターに座って仕事を始めた」とストヤノフ氏は説明した。 「プログラマーが（ウイルスの）次のバージョンの機能を微調整し、テスターがそれをチェックした後、ボットネットの責任者がすべてをコマンドサーバーにアップロードし、その後ボットコンピューターで自動更新が行われました。」

法廷でのグループの訴訟の検討は2017年の秋に始まり、約2019冊に及ぶ訴訟のボリュームのため、XNUMX年の初めまで継続された。 名前を隠したハッカー弁護士 請求された容疑者の誰も捜査に応じようとしなかったが、容疑の一部を認めた者もいた。 「私たちのクライアントは、Lurk ウイルスのさまざまな部分の開発に取り組んでいましたが、多くはそれがトロイの木馬であることを単に認識していませんでした」と彼は説明しました。 「誰かが、検索エンジンで正常に動作するアルゴリズムの一部を作成しました。」

グループのハッカーの一人の事件は別の訴訟に持ち込まれ、エカテリンブルク空港のネットワークをハッキングした罪などで５年の懲役刑を受けた。

ロシアではここ数十年、特別機関が「ロシアでは仕事をしてはならない」という主要ルールに違反した大規模なハッカー集団の大半を打ち負かすことができた。カーベルプ（ロシアの銀行口座から約XNUMX億ルーブルを盗んだ）、アヌナク（ロシアの銀行口座からXNUMX億ルーブル以上を盗んだ）、パウンチ（彼らは世界中の感染の最大半分が通過した攻撃用のプラットフォームを作成した）など。 このようなグループの収入は武器商人の収入に匹敵し、ハッカー自身に加えて警備員、運転手、レジ係、新たなエクスプロイトが出現するサイトの所有者など数十人で構成されています。

出所： habr.com