Petikan daripada buku “Invasion. Sejarah Ringkas Penggodam Rusia"
Pada bulan Mei tahun ini di rumah penerbitan Individuum wartawan Daniil Turovsky “Pencerobohan. Sejarah Ringkas Penggodam Rusia." Ia mengandungi cerita dari sisi gelap industri IT Rusia - tentang lelaki yang, setelah jatuh cinta dengan komputer, belajar bukan sahaja untuk memprogram, tetapi untuk merompak orang. Buku ini berkembang, seperti fenomena itu sendiri - daripada hooliganisme remaja dan pesta forum kepada operasi penguatkuasaan undang-undang dan skandal antarabangsa.
Daniel mengumpul bahan selama beberapa tahun, beberapa cerita , untuk penceritaan semula artikel Daniel, Andrew Kramer dari New York Times menerima Hadiah Pulitzer pada 2017.
Tetapi penggodaman, seperti mana-mana jenayah, adalah topik yang terlalu tertutup. Kisah sebenar diturunkan hanya melalui mulut ke mulut antara manusia. Dan buku itu meninggalkan kesan ketidaklengkapan yang luar biasa ingin tahu - seolah-olah setiap wiranya boleh disusun menjadi buku tiga jilid "bagaimana keadaannya sebenarnya."
Dengan kebenaran penerbit, kami menerbitkan petikan ringkas tentang kumpulan Lurk, yang merompak bank Rusia pada 2015-16.
Pada musim panas 2015, Bank Pusat Rusia mencipta Fincert, sebuah pusat untuk memantau dan bertindak balas terhadap insiden komputer dalam sektor kredit dan kewangan. Melaluinya, bank bertukar maklumat tentang serangan komputer, menganalisisnya dan menerima cadangan mengenai perlindungan daripada agensi perisikan. Terdapat banyak serangan sedemikian: Sberbank pada Jun 2016 kerugian ekonomi Rusia daripada jenayah siber berjumlah 600 bilion rubel - pada masa yang sama bank itu memperoleh anak syarikat, Bizon, yang berurusan dengan keselamatan maklumat perusahaan.
Pada mulanya hasil kerja Fincert (dari Oktober 2015 hingga Mac 2016) menerangkan 21 serangan yang disasarkan ke atas infrastruktur bank; Hasil daripada peristiwa ini, 12 kes jenayah telah dimulakan. Kebanyakan serangan ini adalah kerja satu kumpulan, yang dinamakan Lurk sebagai penghormatan kepada virus dengan nama yang sama, yang dibangunkan oleh penggodam: dengan bantuannya, wang dicuri dari perusahaan komersial dan bank.
Pakar polis dan keselamatan siber telah mencari ahli kumpulan itu sejak 2011. Untuk masa yang lama, carian tidak berjaya - menjelang 2016, kumpulan itu mencuri kira-kira tiga bilion rubel dari bank Rusia, lebih banyak daripada penggodam lain.
Virus Lurk berbeza daripada penyiasat yang pernah ditemui sebelum ini. Apabila program dijalankan di makmal untuk ujian, ia tidak melakukan apa-apa (itu sebabnya ia dipanggil Lurk - daripada bahasa Inggeris "to hide"). Nanti bahawa Lurk direka sebagai sistem modular: program ini secara beransur-ansur memuatkan blok tambahan dengan pelbagai fungsi - daripada memintas aksara yang dimasukkan pada papan kekunci, log masuk dan kata laluan kepada keupayaan untuk merakam aliran video dari skrin komputer yang dijangkiti.
Untuk menyebarkan virus itu, kumpulan itu menggodam tapak web yang dilawati oleh pekerja bank: daripada media dalam talian (contohnya, RIA Novosti dan Gazeta.ru) ke forum perakaunan. Penggodam mengeksploitasi kelemahan dalam sistem untuk menukar sepanduk pengiklanan dan mengedarkan perisian hasad melaluinya. Di sesetengah tapak, penggodam menyiarkan pautan ke virus hanya secara ringkas: di forum salah satu majalah perakaunan, ia muncul pada hari bekerja pada waktu makan tengah hari selama dua jam, tetapi walaupun pada masa ini, Lurk menemui beberapa mangsa yang sesuai.
Dengan mengklik pada sepanduk, pengguna dibawa ke halaman dengan eksploitasi, selepas itu maklumat mula dikumpulkan pada komputer yang diserang - penggodam terutamanya berminat dalam program untuk perbankan jauh. Butiran dalam pesanan pembayaran bank telah digantikan dengan yang diperlukan, dan pemindahan tanpa kebenaran telah dihantar ke akaun syarikat yang dikaitkan dengan kumpulan itu. Menurut Sergei Golovanov dari Kaspersky Lab, biasanya dalam kes sedemikian, kumpulan menggunakan syarikat shell, "yang sama seperti memindahkan dan mengeluarkan wang": wang yang diterima ditunaikan di sana, dimasukkan ke dalam beg dan meninggalkan penanda halaman di taman bandar, tempat penggodam mengambil mereka . Ahli kumpulan itu tekun menyembunyikan tindakan mereka: mereka menyulitkan semua surat-menyurat harian dan domain berdaftar dengan pengguna palsu. "Penyerang menggunakan VPN tiga kali ganda, Tor, sembang rahsia, tetapi masalahnya ialah walaupun mekanisme yang berfungsi dengan baik gagal," jelas Golovanov. - Sama ada VPN jatuh, kemudian sembang rahsia ternyata tidak begitu rahsia, kemudian satu, bukannya memanggil melalui Telegram, dipanggil hanya dari telefon. Ini adalah faktor manusia. Dan apabila anda telah mengumpul pangkalan data selama bertahun-tahun, anda perlu mencari kemalangan tersebut. Selepas ini, penguatkuasa undang-undang boleh menghubungi penyedia untuk mengetahui siapa yang melawat alamat IP itu dan pada masa apa. Dan kemudian kes itu dibina.
Penahanan penggodam dari Lurk macam filem aksi. Kakitangan Kementerian Situasi Kecemasan memotong kunci di rumah desa dan pangsapuri penggodam di bahagian berlainan Yekaterinburg, selepas itu pegawai FSB menjerit, menangkap penggodam dan melemparkannya ke lantai, dan menggeledah premis itu. Selepas ini, suspek dimasukkan ke dalam bas, dibawa ke lapangan terbang, berjalan di sepanjang landasan dan dibawa ke pesawat kargo, yang berlepas ke Moscow.
Kereta ditemui di garaj milik penggodam - model Audi, Cadillac dan Mercedes yang mahal. Sebuah jam tangan bertatahkan 272 berlian turut ditemui. barang kemas bernilai 12 juta rubel dan senjata. Secara keseluruhan, polis menjalankan kira-kira 80 carian di 15 wilayah dan menahan kira-kira 50 orang.
Khususnya, semua pakar teknikal kumpulan itu telah ditangkap. Ruslan Stoyanov, pekerja Kaspersky Lab yang terlibat dalam penyiasatan jenayah Lurk bersama-sama dengan perkhidmatan perisikan, berkata bahawa pengurusan mencari kebanyakan mereka di tapak biasa untuk merekrut kakitangan untuk kerja jauh. Iklan itu tidak menyatakan apa-apa tentang fakta bahawa kerja itu akan menyalahi undang-undang, dan gaji di Lurk ditawarkan melebihi pasaran, dan ia boleh bekerja dari rumah.
"Setiap pagi, kecuali hujung minggu, di bahagian yang berbeza di Rusia dan Ukraine, individu duduk di depan komputer mereka dan mula bekerja," jelas Stoyanov. "Pengaturcara mengubah fungsi versi seterusnya [virus], penguji menyemaknya, kemudian orang yang bertanggungjawab untuk botnet memuat naik segala-galanya ke pelayan arahan, selepas itu kemas kini automatik berlaku pada komputer bot."
Pertimbangan kes kumpulan itu di mahkamah bermula pada musim gugur 2017 dan diteruskan pada awal 2019 - disebabkan jumlah kes itu, yang mengandungi kira-kira enam ratus jilid. Peguam penggodam menyembunyikan namanya bahawa tiada seorang pun daripada suspek akan membuat perjanjian dengan penyiasatan, tetapi ada yang mengakui sebahagian daripada pertuduhan itu. "Pelanggan kami melakukan kerja membangunkan pelbagai bahagian virus Lurk, tetapi ramai yang tidak menyedari bahawa ia adalah Trojan," jelasnya. "Seseorang menjadikan sebahagian daripada algoritma yang boleh berfungsi dengan jayanya dalam enjin carian."
Kes salah seorang penggodam kumpulan itu dibawa ke prosiding berasingan, dan dia menerima 5 tahun, termasuk kerana menggodam rangkaian lapangan terbang Yekaterinburg.
Dalam beberapa dekad kebelakangan ini di Rusia, perkhidmatan khas berjaya mengalahkan majoriti kumpulan penggodam besar yang melanggar peraturan utama - "Jangan bekerja pada ru": Carberp (mencuri kira-kira satu setengah bilion rubel dari akaun bank Rusia), Anunak (mencuri lebih daripada satu bilion rubel dari akaun bank Rusia), Paunch (mereka mencipta platform untuk serangan yang melaluinya sehingga separuh daripada jangkitan di seluruh dunia berlalu) dan sebagainya. Pendapatan kumpulan sedemikian adalah setanding dengan pendapatan peniaga senjata, dan mereka terdiri daripada berpuluh-puluh orang sebagai tambahan kepada penggodam itu sendiri - pengawal keselamatan, pemandu, juruwang, pemilik tapak di mana eksploitasi baru muncul, dan sebagainya.
Sumber: www.habr.com