Fragment uit het boek 'Invasie. Een korte geschiedenis van Russische hackers"
In mei van dit jaar in uitgeverij Individuum journalist Daniil Turovsky “Invasie. Een korte geschiedenis van Russische hackers." Het bevat verhalen uit de duistere kant van de Russische IT-industrie - over jongens die, verliefd geworden op computers, niet alleen leerden programmeren, maar ook mensen leerden beroven. Het boek ontwikkelt zich, net als het fenomeen zelf, van tienervandalisme en forumpartijen tot wetshandhavingsoperaties en internationale schandalen.
Daniel verzamelde jarenlang materiaal, enkele verhalen Voor zijn hervertellingen van Daniels artikelen ontving Andrew Kramer van de New York Times in 2017 een Pulitzerprijs.
Maar hacken is – zoals elke misdaad – een te gesloten onderwerp. Echte verhalen worden alleen via mond-tot-mondreclame tussen mensen doorgegeven. En het boek wekt de indruk van een waanzinnig merkwaardige onvolledigheid - alsof elk van zijn helden zou kunnen worden samengevoegd in een driedelig boek over 'hoe het werkelijk was'.
Met toestemming van de uitgever publiceren we een kort fragment over de Lurk-groep, die in 2015-16 Russische banken beroofde.
In de zomer van 2015 richtte de Russische Centrale Bank Fincert op, een centrum voor het monitoren van en reageren op computerincidenten in de krediet- en financiële sector. Via dit platform wisselen banken informatie uit over computeraanvallen, analyseren ze deze en ontvangen ze aanbevelingen over bescherming van inlichtingendiensten. Er zijn veel van dergelijke aanvallen: Sberbank in juni 2016 de verliezen van de Russische economie als gevolg van cybercriminaliteit bedroegen 600 miljard roebel - tegelijkertijd verwierf de bank een dochteronderneming, Bizon, die zich bezighoudt met de informatiebeveiliging van de onderneming.
In de eerste de resultaten van het werk van Fincert (van oktober 2015 tot maart 2016) beschrijven 21 gerichte aanvallen op de bankinfrastructuur; Als gevolg van deze gebeurtenissen werden twaalf strafzaken gestart. De meeste van deze aanvallen waren het werk van één groep, die Lurk heette ter ere van het gelijknamige virus, ontwikkeld door hackers: met zijn hulp werd geld gestolen van commerciële ondernemingen en banken.
Politie- en cybersecurityspecialisten zijn sinds 2011 op zoek naar leden van de groep. Lange tijd was de zoektocht niet succesvol: in 2016 stal de groep ongeveer drie miljard roebel van Russische banken, meer dan welke andere hacker dan ook.
Het Lurk-virus was anders dan de onderzoekers eerder waren tegengekomen. Toen het programma in het laboratorium werd uitgevoerd om te testen, deed het niets (daarom heette het Lurk - van het Engelse "to hide"). Later dat Lurk is ontworpen als een modulair systeem: het programma laadt geleidelijk extra blokken met verschillende functionaliteiten - van het onderscheppen van tekens die op het toetsenbord worden ingevoerd, logins en wachtwoorden tot de mogelijkheid om een videostream op te nemen vanaf het scherm van een geïnfecteerde computer.
Om het virus te verspreiden hackte de groep websites die door bankmedewerkers werden bezocht: van online media (bijvoorbeeld RIA Novosti en Gazeta.ru) tot boekhoudfora. Hackers maakten misbruik van een kwetsbaarheid in het systeem om reclamebanners uit te wisselen en verspreidden via hen malware. Op sommige sites plaatsten hackers slechts kortstondig een link naar het virus: op het forum van een van de boekhoudtijdschriften verscheen het op weekdagen tijdens de lunch gedurende twee uur, maar zelfs gedurende deze tijd vond Lurk verschillende geschikte slachtoffers.
Door op de banner te klikken, werd de gebruiker naar een pagina met exploits geleid, waarna informatie over de aangevallen computer werd verzameld - de hackers waren vooral geïnteresseerd in een programma voor bankieren op afstand. Details in bankbetalingsopdrachten werden vervangen door de vereiste, en ongeautoriseerde overboekingen werden verzonden naar de rekeningen van bedrijven die bij de groep waren aangesloten. Volgens Sergei Golovanov van Kaspersky Lab maken groepen in dergelijke gevallen meestal gebruik van lege vennootschappen, “wat hetzelfde is als overmaken en uitbetalen”: het ontvangen geld wordt daar verzilverd, in tassen gestopt en in stadsparken als bladwijzer achtergelaten, waar hackers zij. Leden van de groep verborgen hun acties ijverig: ze versleutelden alle dagelijkse correspondentie en registreerden domeinen met nepgebruikers. “Aanvallers gebruiken triple VPN, Tor en geheime chats, maar het probleem is dat zelfs een goed functionerend mechanisme faalt”, legt Golovanov uit. - Ofwel valt de VPN uit, dan blijkt de geheime chat niet zo geheim te zijn, dan wordt er, in plaats van via Telegram te bellen, gewoon vanaf de telefoon gebeld. Dit is de menselijke factor. En als je al jaren een database aan het opbouwen bent, moet je op zulke ongelukken letten. Hierna kunnen rechtshandhavingsinstanties contact opnemen met providers om erachter te komen wie dat en dat IP-adres heeft bezocht en op welk tijdstip. En dan wordt de zaak gebouwd.”
Detentie van hackers uit Lurk als een actiefilm. Medewerkers van het Ministerie van Noodsituaties sloten de sloten van landhuizen en appartementen van hackers in verschillende delen van Jekaterinenburg af, waarna FSB-agenten in schreeuwen uitbarsten, de hackers grepen en op de grond gooiden en het pand doorzochten. Hierna werden de verdachten in een bus gezet, naar het vliegveld gebracht, over de landingsbaan gelopen en op een vrachtvliegtuig gezet, dat vertrok naar Moskou.
Er werden auto's gevonden in garages van hackers - dure Audi-, Cadillac- en Mercedes-modellen. Er werd ook een horloge ontdekt dat was ingelegd met 272 diamanten. sieraden ter waarde van 12 miljoen roebel en wapens. In totaal voerde de politie ongeveer 80 huiszoekingen uit in 15 regio’s en arresteerde ongeveer 50 mensen.
In het bijzonder werden alle technische specialisten van de groep gearresteerd. Ruslan Stoyanov, een medewerker van Kaspersky Lab die samen met de inlichtingendiensten betrokken was bij het onderzoek naar Lurk-misdaden, zei dat het management velen van hen op reguliere locaties zocht voor het werven van personeel voor werk op afstand. In de advertenties stond niets over het feit dat het werk illegaal zou zijn, het salaris bij Lurk werd boven marktconform aangeboden en het was mogelijk om vanuit huis te werken.
“Elke ochtend, behalve in het weekend, gingen mensen in verschillende delen van Rusland en Oekraïne achter hun computer zitten en begonnen te werken”, beschreef Stoyanov. “Programmeurs hebben de functies van de volgende versie [van het virus] aangepast, testers hebben het gecontroleerd, waarna de persoon die verantwoordelijk is voor het botnet alles naar de commandoserver heeft geüpload, waarna automatische updates plaatsvonden op de botcomputers.”
De behandeling van de zaak van de groep voor de rechtbank begon in het najaar van 2017 en werd begin 2019 voortgezet - vanwege de omvang van de zaak, die ongeveer zeshonderd delen omvat. Hacker-advocaat verbergt zijn naam dat geen van de verdachten een deal zou sluiten met het onderzoek, maar sommigen gaven een deel van de beschuldigingen toe. “Onze klanten hebben wel gewerkt aan de ontwikkeling van verschillende delen van het Lurk-virus, maar velen waren zich er eenvoudigweg niet van bewust dat het een Trojaans paard was”, legt hij uit. “Iemand heeft deel uitgemaakt van de algoritmen die succesvol zouden kunnen werken in zoekmachines.”
De zaak van een van de hackers van de groep werd in een afzonderlijke procedure gebracht en hij kreeg 5 jaar, onder meer voor het hacken van het netwerk van de luchthaven van Jekaterinenburg.
De afgelopen decennia zijn de speciale diensten er in Rusland in geslaagd de meerderheid van de grote hackergroepen te verslaan die de hoofdregel hebben overtreden: "Werk niet aan ru": Carberp (stal ongeveer anderhalf miljard roebel van de rekeningen van Russische banken), Anunak (stelde meer dan een miljard roebel van de rekeningen van Russische banken), Paunch (ze creëerden platforms voor aanvallen waardoor tot de helft van de infecties wereldwijd verliepen) enzovoort. Het inkomen van dergelijke groepen is vergelijkbaar met de inkomsten van wapenhandelaren, en naast de hackers zelf bestaan ze uit tientallen mensen: bewakers, chauffeurs, cashers, eigenaren van sites waar nieuwe exploits verschijnen, enzovoort.
Bron: www.habr.com