Ištrauka iš knygos „Invazija. Trumpa Rusijos įsilaužėlių istorija“
Šių metų gegužės mėnesį leidykloje „Individuum“.
Danielis keletą metų rinko medžiagą, keletą istorijų
Tačiau įsilaužimas, kaip ir bet kuris nusikaltimas, yra pernelyg uždara tema. Tikros istorijos tarp žmonių perduodamos tik iš lūpų į lūpas. Ir knyga palieka beprotiškai smalsaus neužbaigtumo įspūdį – tarsi kiekvieną jos herojų būtų galima sujungti į trijų tomų knygą „kaip buvo iš tikrųjų“.
Leidyklai leidus, skelbiame trumpą ištrauką apie „Lurk“ grupę, kuri 2015-16 metais apiplėšė Rusijos bankus.
2015 m. vasarą Rusijos centrinis bankas sukūrė kompiuterinių incidentų kredito ir finansų sektoriuje stebėjimo ir reagavimo į juos centrą „Fincert“. Per ją bankai keičiasi informacija apie kompiuterines atakas, jas analizuoja ir gauna rekomendacijas dėl apsaugos iš žvalgybos agentūrų. Tokių išpuolių yra daug: „Sberbank“ 2016 m. birželio mėn
Pirmajame
Policija ir kibernetinio saugumo specialistai grupuotės narių ieško nuo 2011 m. Ilgą laiką paieškos buvo nesėkmingos – iki 2016 metų grupuotė iš Rusijos bankų pavogė apie tris milijardus rublių, daugiau nei bet kurie kiti įsilaužėliai.
Lurk virusas skyrėsi nuo tų, su kuriais anksčiau susidūrė tyrėjai. Kai programa buvo paleista laboratorijoje testavimui, ji nieko nedarė (todėl ir vadinosi Lurk – iš anglų kalbos „to hide“). Vėliau
Siekdama platinti virusą, grupuotė įsilaužė į bankų darbuotojų lankomas svetaines: nuo internetinės žiniasklaidos (pavyzdžiui, RIA Novosti ir Gazeta.ru) iki apskaitos forumų. Įsilaužėliai išnaudojo sistemos pažeidžiamumą keisdamiesi reklaminiais baneriais ir per juos platino kenkėjiškas programas. Kai kuriose svetainėse įsilaužėliai nuorodą į virusą patalpino tik trumpai: vieno iš buhalterinių žurnalų forume jis pasirodydavo darbo dienomis pietų metu dvi valandas, tačiau net ir per tą laiką Lurk rado keletą tinkamų aukų.
Paspaudus ant reklamjuostės, vartotojas buvo nukreiptas į puslapį su išnaudojimais, po kurių buvo pradėta rinkti informacija apie užpultą kompiuterį – įsilaužėlius daugiausia domino nuotolinės bankininkystės programa. Banko mokėjimo nurodymuose rekvizitai buvo pakeisti reikiamais, o neautorizuoti pervedimai buvo siunčiami į su grupe susijusių įmonių sąskaitas. Pasak Sergejaus Golovanovo iš „Kaspersky Lab“, dažniausiai tokiais atvejais grupės naudojasi priedangomis, „kas yra tas pats, kas pervesti ir išgryninti“: gauti pinigai ten išgryninami, sudedami į maišus ir paliekamos žymės miesto parkuose, kur įsilaužėliai išneša. juos . Grupės nariai uoliai slėpė savo veiksmus: šifravo visą kasdienę korespondenciją ir registravo domenus su netikrais vartotojais. „Užpuolikai naudoja trigubą VPN, Tor, slaptus pokalbius, tačiau problema ta, kad net gerai veikiantis mechanizmas sugenda“, – aiškina Golovanovas. - Arba VPN nukrenta, tada slaptas pokalbis pasirodo ne toks slaptas, tada vienas, užuot skambinęs per Telegramą, skambino tiesiog iš telefono. Tai yra žmogiškasis faktorius. O kai jau metų metus kaupi duomenų bazę, reikia ieškoti tokių nelaimingų atsitikimų. Po to teisėsauga gali susisiekti su paslaugų teikėjais, kad sužinotų, kas ir kokiu laiku apsilankė tokiu ir tokiu IP adresu. Ir tada byla pastatoma“.
Lurk įsilaužėlių sulaikymas
Įsilaužėliams priklausančiuose garažuose aptikti automobiliai – brangūs Audi, Cadillac, Mercedes modeliai. Taip pat buvo aptiktas laikrodis, inkrustuotas 272 deimantais.
Visų pirma, buvo suimti visi grupės techniniai specialistai. Kaspersky Lab darbuotojas Ruslanas Stojanovas, kartu su žvalgybos tarnybomis dalyvavęs tiriant Lurk nusikaltimus, teigė, kad daugelio jų vadovybė ieškojo įprastose personalo samdymo nuotoliniam darbui svetainėse. Skelbimuose nieko nebuvo rašoma apie tai, kad darbas bus nelegalus, o „Lurke“ buvo siūlomas didesnis atlyginimas nei turgus ir buvo galima dirbti iš namų.
„Kiekvieną rytą, išskyrus savaitgalius, įvairiose Rusijos ir Ukrainos vietose žmonės susėsdavo prie kompiuterių ir pradėdavo dirbti“, – pasakojo Stojanovas. „Programuotojai pakoregavo kitos [viruso] versijos funkcijas, testuotojai ją patikrino, tada už botnetą atsakingas asmuo viską įkėlė į komandų serverį, o po to robotų kompiuteriuose įvyko automatiniai atnaujinimai.
Grupės bylos nagrinėjimas teisme prasidėjo 2017 metų rudenį ir tęsėsi 2019 metų pradžioje – dėl bylos apimties, kurioje yra apie šešis šimtus tomų. Hakerių advokatas slepia savo vardą
Vieno iš grupės įsilaužėlių byla buvo iškelta į atskirą bylą ir jam skirta 5 metai, įskaitant už įsilaužimą į Jekaterinburgo oro uosto tinklą.
Pastaraisiais dešimtmečiais Rusijoje specialiosioms tarnyboms pavyko nugalėti daugumą didelių įsilaužėlių grupių, kurios pažeidė pagrindinę taisyklę - „Nedirbkite ru“: „Carberp“ (pavogė apie pusantro milijardo rublių iš Rusijos bankų sąskaitų), Anunak (pavogė daugiau nei milijardą rublių iš Rusijos bankų sąskaitų), Paunch (jie sukūrė atakų platformas, per kurias praeidavo iki pusės infekcijų visame pasaulyje) ir pan. Tokių grupuočių pajamos prilygsta ginklų prekeivių uždarbiui, o jose, be pačių įsilaužėlių, yra dešimtys žmonių – apsaugos darbuotojai, vairuotojai, kasininkai, svetainių, kuriose atsiranda naujų išnaudojimų, savininkai ir pan.
Šaltinis: www.habr.com