Utdrag fra boken «Invasjon. En kort historie om russiske hackere"
I mai i år i forlaget Individuum
Daniel samlet materiale i flere år, noen historier
Men hacking, som enhver kriminalitet, er et for lukket emne. Virkelige historier blir bare gitt mund til munn mellom mennesker. Og boken etterlater inntrykk av en sinnsykt merkelig ufullstendighet - som om hver av heltene kunne settes sammen til en trebinders bok om "hvordan det egentlig var."
Med tillatelse fra forlaget publiserer vi et kort utdrag om Lurk-gruppen, som ranet russiske banker i 2015-16.
Sommeren 2015 opprettet den russiske sentralbanken Fincert, et senter for overvåking og respons på datahendelser i kreditt- og finanssektoren. Gjennom den utveksler banker informasjon om dataangrep, analyserer dem og mottar anbefalinger om beskyttelse fra etterretningsbyråer. Det er mange slike angrep: Sberbank i juni 2016
I den første
Politi og cybersikkerhetsspesialister har lett etter medlemmer av gruppen siden 2011. I lang tid var søket mislykket - i 2016 stjal gruppen rundt tre milliarder rubler fra russiske banker, mer enn noen andre hackere.
Lurk-viruset var annerledes enn de etterforskerne hadde møtt før. Da programmet ble kjørt i laboratoriet for testing, gjorde det ingenting (det var derfor det ble kalt Lurk - fra engelsk "to hide"). Seinere
For å spre viruset hacket gruppen seg inn på nettsider besøkt av bankansatte: fra nettbaserte medier (for eksempel RIA Novosti og Gazeta.ru) til regnskapsfora. Hackere utnyttet en sårbarhet i systemet for å utveksle reklamebannere og distribuerte skadelig programvare gjennom dem. På noen nettsteder la hackere ut en lenke til viruset bare kort: på forumet til et av regnskapsmagasinene dukket det opp på hverdager ved lunsjtid i to timer, men selv i løpet av denne tiden fant Lurk flere passende ofre.
Ved å klikke på banneret ble brukeren ført til en side med utnyttelser, hvoretter informasjon begynte å samles inn på den angrepne datamaskinen - hackerne var hovedsakelig interessert i et program for ekstern bankvirksomhet. Detaljer i bankbetalingsordrer ble erstattet med de nødvendige, og uautoriserte overføringer ble sendt til kontoene til selskaper tilknyttet konsernet. I følge Sergei Golovanov fra Kaspersky Lab bruker grupper vanligvis i slike tilfeller skallselskaper, «som er det samme som å overføre og ta ut»: pengene som mottas blir innbetalt der, lagt i poser og lagt igjen bokmerker i byparker, der hackere tar dem. Medlemmer av gruppen gjemte flittig handlingene sine: de krypterte all daglig korrespondanse og registrerte domener med falske brukere. "Angripere bruker trippel VPN, Tor, hemmelige chatter, men problemet er at selv en velfungerende mekanisme svikter," forklarer Golovanov. – Enten faller VPN-en av, så viser den hemmelige chatten seg å ikke være så hemmelig, så ringte man, i stedet for å ringe gjennom Telegram, ganske enkelt fra telefonen. Dette er den menneskelige faktoren. Og når du har samlet en database i årevis, må du se etter slike ulykker. Etter dette kan rettshåndhevelse kontakte tilbydere for å finne ut hvem som har besøkt en slik og en slik IP-adresse og på hvilket tidspunkt. Og så er saken bygget.»
Tilbakeholdelse av hackere fra Lurk
Biler ble funnet i garasjer tilhørende hackere - dyre Audi-, Cadillac- og Mercedes-modeller. En klokke med 272 diamanter ble også oppdaget.
Spesielt ble alle de tekniske spesialistene i gruppen arrestert. Ruslan Stoyanov, en ansatt i Kaspersky Lab som var involvert i etterforskningen av Lurk-forbrytelser sammen med etterretningstjenestene, sa at ledelsen så etter mange av dem på vanlige nettsteder for å rekruttere personell til fjernarbeid. Annonsene sa ikke noe om at arbeidet ville være ulovlig, og lønnen på Lurk ble tilbudt over markedsen, og det var mulig å jobbe hjemmefra.
"Hver morgen, unntatt helger, i forskjellige deler av Russland og Ukraina, satte enkeltpersoner seg ned ved datamaskinene sine og begynte å jobbe," beskrev Stoyanov. "Programmører finjusterte funksjonene til neste versjon [av viruset], testere sjekket det, så lastet personen som var ansvarlig for botnettet opp alt til kommandoserveren, hvoretter automatiske oppdateringer fant sted på bot-datamaskinene."
Behandlingen av gruppens sak i retten startet høsten 2017 og fortsatte i begynnelsen av 2019 – på grunn av saksvolumet, som inneholder rundt seks hundre bind. Hackeradvokat skjuler navnet hans
Saken til en av hackerne i gruppen ble brakt inn i en separat sak, og han fikk 5 år, inkludert for å ha hacket nettverket til flyplassen i Jekaterinburg.
De siste tiårene i Russland klarte spesialtjenestene å beseire flertallet av store hackergrupper som brøt hovedregelen - "Ikke jobb på ru": Carberp (stjal omtrent halvannen milliard rubler fra kontoene til russiske banker), Anunak (stjal mer enn en milliard rubler fra kontoene til russiske banker), Paunch (de opprettet plattformer for angrep der opptil halvparten av infeksjonene over hele verden gikk gjennom) og så videre. Inntektene til slike grupper er sammenlignbare med inntektene til våpenhandlere, og de består av dusinvis av mennesker i tillegg til hackerne selv - sikkerhetsvakter, sjåfører, kasserere, eiere av nettsteder der nye utnyttelser dukker opp, og så videre.
Kilde: www.habr.com