Fragment uit het boek 'Invasie. Een korte geschiedenis van Russische hackers"
In mei van dit jaar in uitgeverij Individuum
Daniel verzamelde jarenlang materiaal, enkele verhalen
Maar hacken is – zoals elke misdaad – een te gesloten onderwerp. Echte verhalen worden alleen via mond-tot-mondreclame tussen mensen doorgegeven. En het boek wekt de indruk van een waanzinnig merkwaardige onvolledigheid - alsof elk van zijn helden zou kunnen worden samengevoegd in een driedelig boek over 'hoe het werkelijk was'.
Met toestemming van de uitgever publiceren we een kort fragment over de Lurk-groep, die in 2015-16 Russische banken beroofde.
In de zomer van 2015 richtte de Russische Centrale Bank Fincert op, een centrum voor het monitoren van en reageren op computerincidenten in de krediet- en financiële sector. Via dit platform wisselen banken informatie uit over computeraanvallen, analyseren ze deze en ontvangen ze aanbevelingen over bescherming van inlichtingendiensten. Er zijn veel van dergelijke aanvallen: Sberbank in juni 2016
In de eerste
Politie- en cybersecurityspecialisten zijn sinds 2011 op zoek naar leden van de groep. Lange tijd was de zoektocht niet succesvol: in 2016 stal de groep ongeveer drie miljard roebel van Russische banken, meer dan welke andere hacker dan ook.
Het Lurk-virus was anders dan de onderzoekers eerder waren tegengekomen. Toen het programma in het laboratorium werd uitgevoerd om te testen, deed het niets (daarom heette het Lurk - van het Engelse "to hide"). Later
Om het virus te verspreiden hackte de groep websites die door bankmedewerkers werden bezocht: van online media (bijvoorbeeld RIA Novosti en Gazeta.ru) tot boekhoudfora. Hackers maakten misbruik van een kwetsbaarheid in het systeem om reclamebanners uit te wisselen en verspreidden via hen malware. Op sommige sites plaatsten hackers slechts kortstondig een link naar het virus: op het forum van een van de boekhoudtijdschriften verscheen het op weekdagen tijdens de lunch gedurende twee uur, maar zelfs gedurende deze tijd vond Lurk verschillende geschikte slachtoffers.
Door op de banner te klikken, werd de gebruiker naar een pagina met exploits geleid, waarna informatie over de aangevallen computer werd verzameld - de hackers waren vooral geïnteresseerd in een programma voor bankieren op afstand. Details in bankbetalingsopdrachten werden vervangen door de vereiste, en ongeautoriseerde overboekingen werden verzonden naar de rekeningen van bedrijven die bij de groep waren aangesloten. Volgens Sergei Golovanov van Kaspersky Lab maken groepen in dergelijke gevallen meestal gebruik van lege vennootschappen, “wat hetzelfde is als overmaken en uitbetalen”: het ontvangen geld wordt daar verzilverd, in tassen gestopt en in stadsparken als bladwijzer achtergelaten, waar hackers zij. Leden van de groep verborgen hun acties ijverig: ze versleutelden alle dagelijkse correspondentie en registreerden domeinen met nepgebruikers. “Aanvallers gebruiken triple VPN, Tor en geheime chats, maar het probleem is dat zelfs een goed functionerend mechanisme faalt”, legt Golovanov uit. - Ofwel valt de VPN uit, dan blijkt de geheime chat niet zo geheim te zijn, dan wordt er, in plaats van via Telegram te bellen, gewoon vanaf de telefoon gebeld. Dit is de menselijke factor. En als je al jaren een database aan het opbouwen bent, moet je op zulke ongelukken letten. Hierna kunnen rechtshandhavingsinstanties contact opnemen met providers om erachter te komen wie dat en dat IP-adres heeft bezocht en op welk tijdstip. En dan wordt de zaak gebouwd.”
Detentie van hackers uit Lurk
Er werden auto's gevonden in garages van hackers - dure Audi-, Cadillac- en Mercedes-modellen. Er werd ook een horloge ontdekt dat was ingelegd met 272 diamanten.
In het bijzonder werden alle technische specialisten van de groep gearresteerd. Ruslan Stoyanov, een medewerker van Kaspersky Lab die samen met de inlichtingendiensten betrokken was bij het onderzoek naar Lurk-misdaden, zei dat het management velen van hen op reguliere locaties zocht voor het werven van personeel voor werk op afstand. In de advertenties stond niets over het feit dat het werk illegaal zou zijn, het salaris bij Lurk werd boven marktconform aangeboden en het was mogelijk om vanuit huis te werken.
“Elke ochtend, behalve in het weekend, gingen mensen in verschillende delen van Rusland en Oekraïne achter hun computer zitten en begonnen te werken”, beschreef Stoyanov. “Programmeurs hebben de functies van de volgende versie [van het virus] aangepast, testers hebben het gecontroleerd, waarna de persoon die verantwoordelijk is voor het botnet alles naar de commandoserver heeft geüpload, waarna automatische updates plaatsvonden op de botcomputers.”
De behandeling van de zaak van de groep voor de rechtbank begon in het najaar van 2017 en werd begin 2019 voortgezet - vanwege de omvang van de zaak, die ongeveer zeshonderd delen omvat. Hacker-advocaat verbergt zijn naam
De zaak van een van de hackers van de groep werd in een afzonderlijke procedure gebracht en hij kreeg 5 jaar, onder meer voor het hacken van het netwerk van de luchthaven van Jekaterinenburg.
De afgelopen decennia zijn de speciale diensten er in Rusland in geslaagd de meerderheid van de grote hackergroepen te verslaan die de hoofdregel hebben overtreden: "Werk niet aan ru": Carberp (stal ongeveer anderhalf miljard roebel van de rekeningen van Russische banken), Anunak (stelde meer dan een miljard roebel van de rekeningen van Russische banken), Paunch (ze creëerden platforms voor aanvallen waardoor tot de helft van de infecties wereldwijd verliepen) enzovoort. Het inkomen van dergelijke groepen is vergelijkbaar met de inkomsten van wapenhandelaren, en naast de hackers zelf bestaan ze uit tientallen mensen: bewakers, chauffeurs, cashers, eigenaren van sites waar nieuwe exploits verschijnen, enzovoort.
Bron: www.habr.com