Fragment książki „Inwazja. Krótka historia rosyjskich hakerów”
W maju tego roku w wydawnictwie Individuum
Daniel przez kilka lat zbierał materiały, jakieś historie
Ale hakowanie, jak każde przestępstwo, jest tematem zbyt zamkniętym. Prawdziwe historie przekazywane są wyłącznie pocztą pantoflową między ludźmi. A książka pozostawia wrażenie szalenie ciekawej niekompletności – jakby każdego z jej bohaterów można było złożyć w trzytomową książkę o „jak było naprawdę”.
Za zgodą wydawcy publikujemy krótki fragment dotyczący grupy Lurk, która w latach 2015-16 rabowała rosyjskie banki.
Latem 2015 roku Rosyjski Bank Centralny utworzył Fincert, centrum monitorowania i reagowania na incydenty komputerowe w sektorze kredytowym i finansowym. Za jego pośrednictwem banki wymieniają informacje o atakach komputerowych, analizują je i otrzymują rekomendacje dotyczące ochrony przed agencjami wywiadowczymi. Takich ataków jest wiele: Sbierbank w czerwcu 2016 r
W pierwszym
Członków grupy poszukiwała policja i specjaliści ds. cyberbezpieczeństwa od 2011 roku. Przez długi czas poszukiwania kończyły się niepowodzeniem – do 2016 roku grupa ukradła z rosyjskich banków około trzech miliardów rubli, więcej niż jakikolwiek inny haker.
Wirus Lurk różnił się od tych, z którymi badacze spotkali się wcześniej. Kiedy program został uruchomiony w laboratorium w celu testów, nie zrobił nic (dlatego nazwano go Lurk – od angielskiego „ukryć”). Później
Aby rozprzestrzenić wirusa, grupa włamywała się do stron internetowych odwiedzanych przez pracowników banków: od mediów internetowych (np. RIA Novosti i Gazeta.ru) po fora księgowe. Hakerzy wykorzystali lukę w systemie do wymiany banerów reklamowych i rozpowszechniali za ich pośrednictwem szkodliwe oprogramowanie. Na niektórych stronach hakerzy zamieścili link do wirusa tylko na krótko: na forum jednego z magazynów księgowych pojawiał się on w dni powszednie w porze lunchu na dwie godziny, ale nawet w tym czasie Lurk znalazł kilka odpowiednich ofiar.
Kliknięcie banera przenosiło użytkownika na stronę zawierającą exploity, po czym na zaatakowanym komputerze zaczęto zbierać informacje – hakerów interesował głównie program do zdalnej bankowości. Dane w bankowych zleceniach płatniczych zastąpiono wymaganymi, a nieautoryzowane przelewy trafiały na rachunki spółek powiązanych z grupą. Według Siergieja Gołowanowa z Kaspersky Lab zazwyczaj w takich przypadkach grupy korzystają z firm fasadowych, „co jest równoznaczne z przelewem i wypłatą”: otrzymane pieniądze są tam spieniężone, wkładane do worków i pozostawiane zakładki w parkach miejskich, gdzie hakerzy pobierają ich . Członkowie grupy skrupulatnie ukrywali swoje działania: szyfrowali całą codzienną korespondencję i rejestrowali domeny z fałszywymi użytkownikami. „Napastnicy korzystają z potrójnej sieci VPN, Tora i tajnych czatów, ale problem polega na tym, że nawet dobrze działający mechanizm zawodzi” – wyjaśnia Golovanov. - Albo VPN odpada, wtedy tajny czat okazuje się nie taki tajny, a potem zamiast dzwonić przez Telegram, dzwoni się po prostu z telefonu. To jest czynnik ludzki. A gdy latami gromadzisz bazę danych, to takich wypadków trzeba szukać. Następnie organy ścigania mogą skontaktować się z dostawcami, aby dowiedzieć się, kto odwiedził dany adres IP i o której godzinie. A potem sprawa jest budowana.”
Zatrzymanie hakerów z Lurk
W garażach hakerów znaleziono samochody - drogie modele Audi, Cadillac i Mercedes. Odkryto także zegarek wysadzany 272 diamentami.
W szczególności aresztowano wszystkich specjalistów technicznych grupy. Rusłan Stojanow, pracownik Kaspersky Lab, który wraz ze służbami wywiadowczymi był zaangażowany w dochodzenie w sprawie przestępstw Lurk, powiedział, że kierownictwo regularnie szukało wielu z nich na stronach internetowych w celu rekrutacji personelu do pracy zdalnej. W ogłoszeniach nic nie mówiło o tym, że praca będzie nielegalna, a pensja w Lurk oferowana była powyżej rynkowej i można było pracować z domu.
„Każdego ranka, z wyjątkiem weekendów, w różnych częściach Rosji i Ukrainy ludzie siadali do komputerów i zaczynali pracować” – opisał Stoyanov. „Programiści poprawili funkcje kolejnej wersji [wirusa], testerzy to sprawdzili, następnie osoba odpowiedzialna za botnet wgrała wszystko na serwer dowodzenia, po czym na komputerach botów nastąpiły automatyczne aktualizacje”.
Rozpatrywanie sprawy grupy w sądzie rozpoczęło się jesienią 2017 roku i było kontynuowane na początku 2019 roku – ze względu na objętość sprawy, która liczy około sześciuset tomów. Prawnik hakera ukrywający swoje imię i nazwisko
Sprawa jednego z hakerów grupy została wniesiona do odrębnego postępowania i dostał on 5 lat, m.in. za włamanie do sieci lotniska w Jekaterynburgu.
W ostatnich dziesięcioleciach w Rosji służbom specjalnym udało się pokonać większość dużych grup hakerskich, które naruszyły główną zasadę „Nie pracuj na ru”: Carberp (ukradł około półtora miliarda rubli z rachunków rosyjskich banków), Anunak (ukradł ponad miliard rubli z kont rosyjskich banków), Paunch (stworzyli platformy do ataków, przez które przeszła nawet połowa infekcji na całym świecie) i tak dalej. Dochody takich grup są porównywalne z zarobkami handlarzy bronią i oprócz samych hakerów składają się z kilkudziesięciu osób - ochroniarzy, kierowców, kasjerów, właścicieli witryn, na których pojawiają się nowe exploity i tak dalej.
Źródło: www.habr.com