Petikan daripada buku “Invasion. Sejarah Ringkas Penggodam Rusia"
Pada bulan Mei tahun ini di rumah penerbitan Individuum
Daniel mengumpul bahan selama beberapa tahun, beberapa cerita
Tetapi penggodaman, seperti mana-mana jenayah, adalah topik yang terlalu tertutup. Kisah sebenar diturunkan hanya melalui mulut ke mulut antara manusia. Dan buku itu meninggalkan kesan ketidaklengkapan yang luar biasa ingin tahu - seolah-olah setiap wiranya boleh disusun menjadi buku tiga jilid "bagaimana keadaannya sebenarnya."
Dengan kebenaran penerbit, kami menerbitkan petikan ringkas tentang kumpulan Lurk, yang merompak bank Rusia pada 2015-16.
Pada musim panas 2015, Bank Pusat Rusia mencipta Fincert, sebuah pusat untuk memantau dan bertindak balas terhadap insiden komputer dalam sektor kredit dan kewangan. Melaluinya, bank bertukar maklumat tentang serangan komputer, menganalisisnya dan menerima cadangan mengenai perlindungan daripada agensi perisikan. Terdapat banyak serangan sedemikian: Sberbank pada Jun 2016
Pada mulanya
Pakar polis dan keselamatan siber telah mencari ahli kumpulan itu sejak 2011. Untuk masa yang lama, carian tidak berjaya - menjelang 2016, kumpulan itu mencuri kira-kira tiga bilion rubel dari bank Rusia, lebih banyak daripada penggodam lain.
Virus Lurk berbeza daripada penyiasat yang pernah ditemui sebelum ini. Apabila program dijalankan di makmal untuk ujian, ia tidak melakukan apa-apa (itu sebabnya ia dipanggil Lurk - daripada bahasa Inggeris "to hide"). Nanti
Untuk menyebarkan virus itu, kumpulan itu menggodam tapak web yang dilawati oleh pekerja bank: daripada media dalam talian (contohnya, RIA Novosti dan Gazeta.ru) ke forum perakaunan. Penggodam mengeksploitasi kelemahan dalam sistem untuk menukar sepanduk pengiklanan dan mengedarkan perisian hasad melaluinya. Di sesetengah tapak, penggodam menyiarkan pautan ke virus hanya secara ringkas: di forum salah satu majalah perakaunan, ia muncul pada hari bekerja pada waktu makan tengah hari selama dua jam, tetapi walaupun pada masa ini, Lurk menemui beberapa mangsa yang sesuai.
Dengan mengklik pada sepanduk, pengguna dibawa ke halaman dengan eksploitasi, selepas itu maklumat mula dikumpulkan pada komputer yang diserang - penggodam terutamanya berminat dalam program untuk perbankan jauh. Butiran dalam pesanan pembayaran bank telah digantikan dengan yang diperlukan, dan pemindahan tanpa kebenaran telah dihantar ke akaun syarikat yang dikaitkan dengan kumpulan itu. Menurut Sergei Golovanov dari Kaspersky Lab, biasanya dalam kes sedemikian, kumpulan menggunakan syarikat shell, "yang sama seperti memindahkan dan mengeluarkan wang": wang yang diterima ditunaikan di sana, dimasukkan ke dalam beg dan meninggalkan penanda halaman di taman bandar, tempat penggodam mengambil mereka . Ahli kumpulan itu tekun menyembunyikan tindakan mereka: mereka menyulitkan semua surat-menyurat harian dan domain berdaftar dengan pengguna palsu. "Penyerang menggunakan VPN tiga kali ganda, Tor, sembang rahsia, tetapi masalahnya ialah walaupun mekanisme yang berfungsi dengan baik gagal," jelas Golovanov. - Sama ada VPN jatuh, kemudian sembang rahsia ternyata tidak begitu rahsia, kemudian satu, bukannya memanggil melalui Telegram, dipanggil hanya dari telefon. Ini adalah faktor manusia. Dan apabila anda telah mengumpul pangkalan data selama bertahun-tahun, anda perlu mencari kemalangan tersebut. Selepas ini, penguatkuasa undang-undang boleh menghubungi penyedia untuk mengetahui siapa yang melawat alamat IP itu dan pada masa apa. Dan kemudian kes itu dibina.
Penahanan penggodam dari Lurk
Kereta ditemui di garaj milik penggodam - model Audi, Cadillac dan Mercedes yang mahal. Sebuah jam tangan bertatahkan 272 berlian turut ditemui.
Khususnya, semua pakar teknikal kumpulan itu telah ditangkap. Ruslan Stoyanov, pekerja Kaspersky Lab yang terlibat dalam penyiasatan jenayah Lurk bersama-sama dengan perkhidmatan perisikan, berkata bahawa pengurusan mencari kebanyakan mereka di tapak biasa untuk merekrut kakitangan untuk kerja jauh. Iklan itu tidak menyatakan apa-apa tentang fakta bahawa kerja itu akan menyalahi undang-undang, dan gaji di Lurk ditawarkan melebihi pasaran, dan ia boleh bekerja dari rumah.
"Setiap pagi, kecuali hujung minggu, di bahagian yang berbeza di Rusia dan Ukraine, individu duduk di depan komputer mereka dan mula bekerja," jelas Stoyanov. "Pengaturcara mengubah fungsi versi seterusnya [virus], penguji menyemaknya, kemudian orang yang bertanggungjawab untuk botnet memuat naik segala-galanya ke pelayan arahan, selepas itu kemas kini automatik berlaku pada komputer bot."
Pertimbangan kes kumpulan itu di mahkamah bermula pada musim gugur 2017 dan diteruskan pada awal 2019 - disebabkan jumlah kes itu, yang mengandungi kira-kira enam ratus jilid. Peguam penggodam menyembunyikan namanya
Kes salah seorang penggodam kumpulan itu dibawa ke prosiding berasingan, dan dia menerima 5 tahun, termasuk kerana menggodam rangkaian lapangan terbang Yekaterinburg.
Dalam beberapa dekad kebelakangan ini di Rusia, perkhidmatan khas berjaya mengalahkan majoriti kumpulan penggodam besar yang melanggar peraturan utama - "Jangan bekerja pada ru": Carberp (mencuri kira-kira satu setengah bilion rubel dari akaun bank Rusia), Anunak (mencuri lebih daripada satu bilion rubel dari akaun bank Rusia), Paunch (mereka mencipta platform untuk serangan yang melaluinya sehingga separuh daripada jangkitan di seluruh dunia berlalu) dan sebagainya. Pendapatan kumpulan sedemikian adalah setanding dengan pendapatan peniaga senjata, dan mereka terdiri daripada berpuluh-puluh orang sebagai tambahan kepada penggodam itu sendiri - pengawal keselamatan, pemandu, juruwang, pemilik tapak di mana eksploitasi baru muncul, dan sebagainya.
Sumber: www.habr.com