Utdrag fra boken «Invasjon. En kort historie om russiske hackere"
I mai i år i forlaget Individuum journalist Daniil Turovsky "Invasjon. En kort historie om russiske hackere." Den inneholder historier fra den mørke siden av den russiske IT-industrien - om gutter som, etter å ha blitt forelsket i datamaskiner, lærte ikke bare å programmere, men å rane folk. Boken utvikler seg, i likhet med fenomenet i seg selv - fra tenåringshooliganisme og forumfester til rettshåndhevelsesoperasjoner og internasjonale skandaler.
Daniel samlet materiale i flere år, noen historier , for sine gjenfortellinger av Daniels artikler, mottok Andrew Kramer fra New York Times en Pulitzer-pris i 2017.
Men hacking, som enhver kriminalitet, er et for lukket emne. Virkelige historier blir bare gitt mund til munn mellom mennesker. Og boken etterlater inntrykk av en sinnsykt merkelig ufullstendighet - som om hver av heltene kunne settes sammen til en trebinders bok om "hvordan det egentlig var."
Med tillatelse fra forlaget publiserer vi et kort utdrag om Lurk-gruppen, som ranet russiske banker i 2015-16.
Sommeren 2015 opprettet den russiske sentralbanken Fincert, et senter for overvåking og respons på datahendelser i kreditt- og finanssektoren. Gjennom den utveksler banker informasjon om dataangrep, analyserer dem og mottar anbefalinger om beskyttelse fra etterretningsbyråer. Det er mange slike angrep: Sberbank i juni 2016 tap av den russiske økonomien fra nettkriminalitet utgjorde 600 milliarder rubler - samtidig kjøpte banken et datterselskap, Bizon, som omhandler informasjonssikkerheten til bedriften.
I den første resultatene av Fincerts arbeid (fra oktober 2015 til mars 2016) beskriver 21 målrettede angrep på bankinfrastruktur; Som følge av disse hendelsene ble det opprettet 12 straffesaker. De fleste av disse angrepene var arbeidet til en gruppe, som ble kalt Lurk til ære for viruset med samme navn, utviklet av hackere: med dens hjelp ble penger stjålet fra kommersielle foretak og banker.
Politi og cybersikkerhetsspesialister har lett etter medlemmer av gruppen siden 2011. I lang tid var søket mislykket - i 2016 stjal gruppen rundt tre milliarder rubler fra russiske banker, mer enn noen andre hackere.
Lurk-viruset var annerledes enn de etterforskerne hadde møtt før. Da programmet ble kjørt i laboratoriet for testing, gjorde det ingenting (det var derfor det ble kalt Lurk - fra engelsk "to hide"). Seinere at Lurk er utformet som et modulært system: Programmet laster gradvis inn flere blokker med forskjellig funksjonalitet – fra avskjæring av tegn som legges inn på tastaturet, pålogginger og passord til muligheten til å ta opp en videostrøm fra skjermen til en infisert datamaskin.
For å spre viruset hacket gruppen seg inn på nettsider besøkt av bankansatte: fra nettbaserte medier (for eksempel RIA Novosti og Gazeta.ru) til regnskapsfora. Hackere utnyttet en sårbarhet i systemet for å utveksle reklamebannere og distribuerte skadelig programvare gjennom dem. På noen nettsteder la hackere ut en lenke til viruset bare kort: på forumet til et av regnskapsmagasinene dukket det opp på hverdager ved lunsjtid i to timer, men selv i løpet av denne tiden fant Lurk flere passende ofre.
Ved å klikke på banneret ble brukeren ført til en side med utnyttelser, hvoretter informasjon begynte å samles inn på den angrepne datamaskinen - hackerne var hovedsakelig interessert i et program for ekstern bankvirksomhet. Detaljer i bankbetalingsordrer ble erstattet med de nødvendige, og uautoriserte overføringer ble sendt til kontoene til selskaper tilknyttet konsernet. I følge Sergei Golovanov fra Kaspersky Lab bruker grupper vanligvis i slike tilfeller skallselskaper, «som er det samme som å overføre og ta ut»: pengene som mottas blir innbetalt der, lagt i poser og lagt igjen bokmerker i byparker, der hackere tar dem. Medlemmer av gruppen gjemte flittig handlingene sine: de krypterte all daglig korrespondanse og registrerte domener med falske brukere. "Angripere bruker trippel VPN, Tor, hemmelige chatter, men problemet er at selv en velfungerende mekanisme svikter," forklarer Golovanov. – Enten faller VPN-en av, så viser den hemmelige chatten seg å ikke være så hemmelig, så ringte man, i stedet for å ringe gjennom Telegram, ganske enkelt fra telefonen. Dette er den menneskelige faktoren. Og når du har samlet en database i årevis, må du se etter slike ulykker. Etter dette kan rettshåndhevelse kontakte tilbydere for å finne ut hvem som har besøkt en slik og en slik IP-adresse og på hvilket tidspunkt. Og så er saken bygget.»
Tilbakeholdelse av hackere fra Lurk som en actionfilm. Ansatte i departementet for beredskapssituasjoner kuttet av låsene i landsteder og leiligheter til hackere i forskjellige deler av Jekaterinburg, hvoretter FSB-offiserer brøt ut i skrik, tok tak i hackerne og kastet dem på gulvet og ransaket lokalene. Etter dette ble de mistenkte satt på en buss, ført til flyplassen, gikk langs rullebanen og tatt med på et lastefly, som tok av mot Moskva.
Biler ble funnet i garasjer tilhørende hackere - dyre Audi-, Cadillac- og Mercedes-modeller. En klokke med 272 diamanter ble også oppdaget. smykker verdt 12 millioner rubler og våpen. Totalt gjennomførte politiet rundt 80 søk i 15 regioner og arresterte rundt 50 personer.
Spesielt ble alle de tekniske spesialistene i gruppen arrestert. Ruslan Stoyanov, en ansatt i Kaspersky Lab som var involvert i etterforskningen av Lurk-forbrytelser sammen med etterretningstjenestene, sa at ledelsen så etter mange av dem på vanlige nettsteder for å rekruttere personell til fjernarbeid. Annonsene sa ikke noe om at arbeidet ville være ulovlig, og lønnen på Lurk ble tilbudt over markedsen, og det var mulig å jobbe hjemmefra.
"Hver morgen, unntatt helger, i forskjellige deler av Russland og Ukraina, satte enkeltpersoner seg ned ved datamaskinene sine og begynte å jobbe," beskrev Stoyanov. "Programmører finjusterte funksjonene til neste versjon [av viruset], testere sjekket det, så lastet personen som var ansvarlig for botnettet opp alt til kommandoserveren, hvoretter automatiske oppdateringer fant sted på bot-datamaskinene."
Behandlingen av gruppens sak i retten startet høsten 2017 og fortsatte i begynnelsen av 2019 – på grunn av saksvolumet, som inneholder rundt seks hundre bind. Hackeradvokat skjuler navnet hans at ingen av de mistenkte ville gjøre en avtale med etterforskningen, men noen innrømmet deler av siktelsen. "Kunderne våre jobbet med å utvikle ulike deler av Lurk-viruset, men mange var rett og slett ikke klar over at det var en trojaner," forklarte han. "Noen har gjort en del av algoritmene som kan fungere vellykket i søkemotorer."
Saken til en av hackerne i gruppen ble brakt inn i en separat sak, og han fikk 5 år, inkludert for å ha hacket nettverket til flyplassen i Jekaterinburg.
De siste tiårene i Russland klarte spesialtjenestene å beseire flertallet av store hackergrupper som brøt hovedregelen - "Ikke jobb på ru": Carberp (stjal omtrent halvannen milliard rubler fra kontoene til russiske banker), Anunak (stjal mer enn en milliard rubler fra kontoene til russiske banker), Paunch (de opprettet plattformer for angrep der opptil halvparten av infeksjonene over hele verden gikk gjennom) og så videre. Inntektene til slike grupper er sammenlignbare med inntektene til våpenhandlere, og de består av dusinvis av mennesker i tillegg til hackerne selv - sikkerhetsvakter, sjåfører, kasserere, eiere av nettsteder der nye utnyttelser dukker opp, og så videre.
Kilde: www.habr.com