Ištrauka iš knygos „Invazija. Trumpa Rusijos įsilaužėlių istorija“
Šių metų gegužės mėnesį leidykloje „Individuum“. žurnalistas Daniilas Turovskis „Invazija. Trumpa Rusijos įsilaužėlių istorija“. Jame yra istorijos iš tamsiosios Rusijos IT pramonės pusės – apie vaikinus, kurie, įsimylėję kompiuterius, išmoko ne tik programuoti, bet ir apiplėšti žmones. Knyga vystosi, kaip ir pats reiškinys – nuo paauglių chuliganizmo ir forumo vakarėlių iki teisėsaugos operacijų ir tarptautinių skandalų.
Danielis keletą metų rinko medžiagą, keletą istorijų , už Danieliaus straipsnių perpasakojimą Andrew Krameris iš New York Times 2017 m. gavo Pulitzerio premiją.
Tačiau įsilaužimas, kaip ir bet kuris nusikaltimas, yra pernelyg uždara tema. Tikros istorijos tarp žmonių perduodamos tik iš lūpų į lūpas. Ir knyga palieka beprotiškai smalsaus neužbaigtumo įspūdį – tarsi kiekvieną jos herojų būtų galima sujungti į trijų tomų knygą „kaip buvo iš tikrųjų“.
Leidyklai leidus, skelbiame trumpą ištrauką apie „Lurk“ grupę, kuri 2015-16 metais apiplėšė Rusijos bankus.
2015 m. vasarą Rusijos centrinis bankas sukūrė kompiuterinių incidentų kredito ir finansų sektoriuje stebėjimo ir reagavimo į juos centrą „Fincert“. Per ją bankai keičiasi informacija apie kompiuterines atakas, jas analizuoja ir gauna rekomendacijas dėl apsaugos iš žvalgybos agentūrų. Tokių išpuolių yra daug: „Sberbank“ 2016 m. birželio mėn Rusijos ekonomikos nuostoliai dėl kibernetinių nusikaltimų siekė 600 milijardų rublių – tuo pat metu bankas įsigijo dukterinę įmonę Bizon, užsiimančią įmonės informacijos saugumu.
Pirmajame Fincert darbo rezultatai (nuo 2015 m. spalio mėn. iki 2016 m. kovo mėn.) aprašo 21 tikslinę ataką prieš bankų infrastruktūrą; Dėl šių įvykių iškelta 12 baudžiamųjų bylų. Dauguma šių atakų buvo vienos grupės, kuri buvo pavadinta Lurk vardu įsilaužėlių sukurto to paties pavadinimo viruso garbei, darbas: su jos pagalba buvo pavogti pinigai iš komercinių įmonių ir bankų.
Policija ir kibernetinio saugumo specialistai grupuotės narių ieško nuo 2011 m. Ilgą laiką paieškos buvo nesėkmingos – iki 2016 metų grupuotė iš Rusijos bankų pavogė apie tris milijardus rublių, daugiau nei bet kurie kiti įsilaužėliai.
Lurk virusas skyrėsi nuo tų, su kuriais anksčiau susidūrė tyrėjai. Kai programa buvo paleista laboratorijoje testavimui, ji nieko nedarė (todėl ir vadinosi Lurk – iš anglų kalbos „to hide“). Vėliau kad Lurk sukurta kaip modulinė sistema: programa palaipsniui įkelia papildomų blokų su įvairiomis funkcijomis – nuo klaviatūra įvestų simbolių perėmimo, prisijungimų ir slaptažodžių iki galimybės įrašyti vaizdo srautą iš užkrėsto kompiuterio ekrano.
Siekdama platinti virusą, grupuotė įsilaužė į bankų darbuotojų lankomas svetaines: nuo internetinės žiniasklaidos (pavyzdžiui, RIA Novosti ir Gazeta.ru) iki apskaitos forumų. Įsilaužėliai išnaudojo sistemos pažeidžiamumą keisdamiesi reklaminiais baneriais ir per juos platino kenkėjiškas programas. Kai kuriose svetainėse įsilaužėliai nuorodą į virusą patalpino tik trumpai: vieno iš buhalterinių žurnalų forume jis pasirodydavo darbo dienomis pietų metu dvi valandas, tačiau net ir per tą laiką Lurk rado keletą tinkamų aukų.
Paspaudus ant reklamjuostės, vartotojas buvo nukreiptas į puslapį su išnaudojimais, po kurių buvo pradėta rinkti informacija apie užpultą kompiuterį – įsilaužėlius daugiausia domino nuotolinės bankininkystės programa. Banko mokėjimo nurodymuose rekvizitai buvo pakeisti reikiamais, o neautorizuoti pervedimai buvo siunčiami į su grupe susijusių įmonių sąskaitas. Pasak Sergejaus Golovanovo iš „Kaspersky Lab“, dažniausiai tokiais atvejais grupės naudojasi priedangomis, „kas yra tas pats, kas pervesti ir išgryninti“: gauti pinigai ten išgryninami, sudedami į maišus ir paliekamos žymės miesto parkuose, kur įsilaužėliai išneša. juos . Grupės nariai uoliai slėpė savo veiksmus: šifravo visą kasdienę korespondenciją ir registravo domenus su netikrais vartotojais. „Užpuolikai naudoja trigubą VPN, Tor, slaptus pokalbius, tačiau problema ta, kad net gerai veikiantis mechanizmas sugenda“, – aiškina Golovanovas. - Arba VPN nukrenta, tada slaptas pokalbis pasirodo ne toks slaptas, tada vienas, užuot skambinęs per Telegramą, skambino tiesiog iš telefono. Tai yra žmogiškasis faktorius. O kai jau metų metus kaupi duomenų bazę, reikia ieškoti tokių nelaimingų atsitikimų. Po to teisėsauga gali susisiekti su paslaugų teikėjais, kad sužinotų, kas ir kokiu laiku apsilankė tokiu ir tokiu IP adresu. Ir tada byla pastatoma“.
Lurk įsilaužėlių sulaikymas kaip veiksmo filme. Nepaprastųjų situacijų ministerijos darbuotojai įvairiose Jekaterinburgo vietose nukirto spynas įsilaužėlių kaimo namuose ir butuose, po to FSB pareigūnai pratrūko riksmu, sugriebė įsilaužėlius ir numetė ant grindų, o patalpose atliko kratą. Po to įtariamieji buvo susodinti į autobusą, nuvežti į oro uostą, vaikščioti pakilimo taku ir persodinti į krovininį lėktuvą, kuris pakilo į Maskvą.
Įsilaužėliams priklausančiuose garažuose aptikti automobiliai – brangūs Audi, Cadillac, Mercedes modeliai. Taip pat buvo aptiktas laikrodis, inkrustuotas 272 deimantais. 12 milijonų rublių vertės papuošalai ir ginklai. Iš viso policija 80 regionų atliko apie 15 kratų ir sulaikė apie 50 žmonių.
Visų pirma, buvo suimti visi grupės techniniai specialistai. Kaspersky Lab darbuotojas Ruslanas Stojanovas, kartu su žvalgybos tarnybomis dalyvavęs tiriant Lurk nusikaltimus, teigė, kad daugelio jų vadovybė ieškojo įprastose personalo samdymo nuotoliniam darbui svetainėse. Skelbimuose nieko nebuvo rašoma apie tai, kad darbas bus nelegalus, o „Lurke“ buvo siūlomas didesnis atlyginimas nei turgus ir buvo galima dirbti iš namų.
„Kiekvieną rytą, išskyrus savaitgalius, įvairiose Rusijos ir Ukrainos vietose žmonės susėsdavo prie kompiuterių ir pradėdavo dirbti“, – pasakojo Stojanovas. „Programuotojai pakoregavo kitos [viruso] versijos funkcijas, testuotojai ją patikrino, tada už botnetą atsakingas asmuo viską įkėlė į komandų serverį, o po to robotų kompiuteriuose įvyko automatiniai atnaujinimai.
Grupės bylos nagrinėjimas teisme prasidėjo 2017 metų rudenį ir tęsėsi 2019 metų pradžioje – dėl bylos apimties, kurioje yra apie šešis šimtus tomų. Hakerių advokatas slepia savo vardą kad nė vienas iš įtariamųjų nesusitars su tyrimu, tačiau kai kurie pripažino dalį kaltinimų. „Mūsų klientai dirbo kurdami įvairias Lurk viruso dalis, tačiau daugelis tiesiog nežinojo, kad tai Trojos arklys“, – aiškino jis. „Kažkas sukūrė dalį algoritmų, kurie galėtų sėkmingai veikti paieškos sistemose.
Vieno iš grupės įsilaužėlių byla buvo iškelta į atskirą bylą ir jam skirta 5 metai, įskaitant už įsilaužimą į Jekaterinburgo oro uosto tinklą.
Pastaraisiais dešimtmečiais Rusijoje specialiosioms tarnyboms pavyko nugalėti daugumą didelių įsilaužėlių grupių, kurios pažeidė pagrindinę taisyklę - „Nedirbkite ru“: „Carberp“ (pavogė apie pusantro milijardo rublių iš Rusijos bankų sąskaitų), Anunak (pavogė daugiau nei milijardą rublių iš Rusijos bankų sąskaitų), Paunch (jie sukūrė atakų platformas, per kurias praeidavo iki pusės infekcijų visame pasaulyje) ir pan. Tokių grupuočių pajamos prilygsta ginklų prekeivių uždarbiui, o jose, be pačių įsilaužėlių, yra dešimtys žmonių – apsaugos darbuotojai, vairuotojai, kasininkai, svetainių, kuriose atsiranda naujų išnaudojimų, savininkai ir pan.
Šaltinis: www.habr.com