Fragment książki „Inwazja. Krótka historia rosyjskich hakerów”
W maju tego roku w wydawnictwie Individuum dziennikarz Daniił Turowski „Inwazja. Krótka historia rosyjskich hakerów”. Zawiera historie z ciemnej strony rosyjskiej branży IT - o facetach, którzy zakochawszy się w komputerach, nauczyli się nie tylko programować, ale także okradać ludzi. Książka rozwija się, podobnie jak samo zjawisko, od nastoletnich chuligaństwa i imprez forumowych po działania organów ścigania i międzynarodowe skandale.
Daniel przez kilka lat zbierał materiały, jakieś historie za powtórzenie artykułów Daniela Andrew Kramer z „New York Timesa” otrzymał w 2017 r. nagrodę Pulitzera.
Ale hakowanie, jak każde przestępstwo, jest tematem zbyt zamkniętym. Prawdziwe historie przekazywane są wyłącznie pocztą pantoflową między ludźmi. A książka pozostawia wrażenie szalenie ciekawej niekompletności – jakby każdego z jej bohaterów można było złożyć w trzytomową książkę o „jak było naprawdę”.
Za zgodą wydawcy publikujemy krótki fragment dotyczący grupy Lurk, która w latach 2015-16 rabowała rosyjskie banki.
Latem 2015 roku Rosyjski Bank Centralny utworzył Fincert, centrum monitorowania i reagowania na incydenty komputerowe w sektorze kredytowym i finansowym. Za jego pośrednictwem banki wymieniają informacje o atakach komputerowych, analizują je i otrzymują rekomendacje dotyczące ochrony przed agencjami wywiadowczymi. Takich ataków jest wiele: Sbierbank w czerwcu 2016 r straty rosyjskiej gospodarki spowodowane cyberprzestępczością wyniosły 600 miliardów rubli – w tym samym czasie bank przejął spółkę zależną Bizon, która zajmuje się bezpieczeństwem informacji przedsiębiorstwa.
W pierwszym wyniki prac Fincerta (od października 2015 r. do marca 2016 r.) opisują 21 ataków ukierunkowanych na infrastrukturę bankową; W wyniku tych wydarzeń wszczęto 12 spraw karnych. Większość tych ataków była dziełem jednej grupy, która otrzymała nazwę Lurk na cześć opracowanego przez hakerów wirusa o tej samej nazwie: przy jej pomocy skradziono pieniądze z przedsiębiorstw komercyjnych i banków.
Członków grupy poszukiwała policja i specjaliści ds. cyberbezpieczeństwa od 2011 roku. Przez długi czas poszukiwania kończyły się niepowodzeniem – do 2016 roku grupa ukradła z rosyjskich banków około trzech miliardów rubli, więcej niż jakikolwiek inny haker.
Wirus Lurk różnił się od tych, z którymi badacze spotkali się wcześniej. Kiedy program został uruchomiony w laboratorium w celu testów, nie zrobił nic (dlatego nazwano go Lurk – od angielskiego „ukryć”). Później że Lurk jest zaprojektowany jako system modułowy: program stopniowo ładuje dodatkowe bloki o różnej funkcjonalności - od przechwytywania znaków wprowadzanych z klawiatury, loginów i haseł po możliwość nagrywania strumienia wideo z ekranu zainfekowanego komputera.
Aby rozprzestrzenić wirusa, grupa włamywała się do stron internetowych odwiedzanych przez pracowników banków: od mediów internetowych (np. RIA Novosti i Gazeta.ru) po fora księgowe. Hakerzy wykorzystali lukę w systemie do wymiany banerów reklamowych i rozpowszechniali za ich pośrednictwem szkodliwe oprogramowanie. Na niektórych stronach hakerzy zamieścili link do wirusa tylko na krótko: na forum jednego z magazynów księgowych pojawiał się on w dni powszednie w porze lunchu na dwie godziny, ale nawet w tym czasie Lurk znalazł kilka odpowiednich ofiar.
Kliknięcie banera przenosiło użytkownika na stronę zawierającą exploity, po czym na zaatakowanym komputerze zaczęto zbierać informacje – hakerów interesował głównie program do zdalnej bankowości. Dane w bankowych zleceniach płatniczych zastąpiono wymaganymi, a nieautoryzowane przelewy trafiały na rachunki spółek powiązanych z grupą. Według Siergieja Gołowanowa z Kaspersky Lab zazwyczaj w takich przypadkach grupy korzystają z firm fasadowych, „co jest równoznaczne z przelewem i wypłatą”: otrzymane pieniądze są tam spieniężone, wkładane do worków i pozostawiane zakładki w parkach miejskich, gdzie hakerzy pobierają ich . Członkowie grupy skrupulatnie ukrywali swoje działania: szyfrowali całą codzienną korespondencję i rejestrowali domeny z fałszywymi użytkownikami. „Napastnicy korzystają z potrójnej sieci VPN, Tora i tajnych czatów, ale problem polega na tym, że nawet dobrze działający mechanizm zawodzi” – wyjaśnia Golovanov. - Albo VPN odpada, wtedy tajny czat okazuje się nie taki tajny, a potem zamiast dzwonić przez Telegram, dzwoni się po prostu z telefonu. To jest czynnik ludzki. A gdy latami gromadzisz bazę danych, to takich wypadków trzeba szukać. Następnie organy ścigania mogą skontaktować się z dostawcami, aby dowiedzieć się, kto odwiedził dany adres IP i o której godzinie. A potem sprawa jest budowana.”
Zatrzymanie hakerów z Lurk jak film akcji. Pracownicy Ministerstwa Sytuacji Nadzwyczajnych odcięli zamki w wiejskich domach i mieszkaniach hakerów w różnych częściach Jekaterynburga, po czym funkcjonariusze FSB wpadli z krzykiem, złapali hakerów, rzucili ich na podłogę i przeszukali pomieszczenia. Następnie podejrzanych wsadzono do autobusu, zawieziono na lotnisko, przeszli pasem startowym i zabrano na samolot transportowy, który poleciał do Moskwy.
W garażach hakerów znaleziono samochody - drogie modele Audi, Cadillac i Mercedes. Odkryto także zegarek wysadzany 272 diamentami. biżuteria o wartości 12 milionów rubli i broń. Łącznie policja przeprowadziła ok. 80 rewizji w 15 województwach i zatrzymała ok. 50 osób.
W szczególności aresztowano wszystkich specjalistów technicznych grupy. Rusłan Stojanow, pracownik Kaspersky Lab, który wraz ze służbami wywiadowczymi był zaangażowany w dochodzenie w sprawie przestępstw Lurk, powiedział, że kierownictwo regularnie szukało wielu z nich na stronach internetowych w celu rekrutacji personelu do pracy zdalnej. W ogłoszeniach nic nie mówiło o tym, że praca będzie nielegalna, a pensja w Lurk oferowana była powyżej rynkowej i można było pracować z domu.
„Każdego ranka, z wyjątkiem weekendów, w różnych częściach Rosji i Ukrainy ludzie siadali do komputerów i zaczynali pracować” – opisał Stoyanov. „Programiści poprawili funkcje kolejnej wersji [wirusa], testerzy to sprawdzili, następnie osoba odpowiedzialna za botnet wgrała wszystko na serwer dowodzenia, po czym na komputerach botów nastąpiły automatyczne aktualizacje”.
Rozpatrywanie sprawy grupy w sądzie rozpoczęło się jesienią 2017 roku i było kontynuowane na początku 2019 roku – ze względu na objętość sprawy, która liczy około sześciuset tomów. Prawnik hakera ukrywający swoje imię i nazwisko że żaden z podejrzanych nie zgodzi się na śledztwo, ale niektórzy przyznali się do części zarzutów. „Nasi klienci rzeczywiście pracowali nad różnymi częściami wirusa Lurk, ale wielu po prostu nie było świadomych, że jest to trojan” – wyjaśnił. „Ktoś stworzył część algorytmów, które mogły z powodzeniem działać w wyszukiwarkach.”
Sprawa jednego z hakerów grupy została wniesiona do odrębnego postępowania i dostał on 5 lat, m.in. za włamanie do sieci lotniska w Jekaterynburgu.
W ostatnich dziesięcioleciach w Rosji służbom specjalnym udało się pokonać większość dużych grup hakerskich, które naruszyły główną zasadę „Nie pracuj na ru”: Carberp (ukradł około półtora miliarda rubli z rachunków rosyjskich banków), Anunak (ukradł ponad miliard rubli z kont rosyjskich banków), Paunch (stworzyli platformy do ataków, przez które przeszła nawet połowa infekcji na całym świecie) i tak dalej. Dochody takich grup są porównywalne z zarobkami handlarzy bronią i oprócz samych hakerów składają się z kilkudziesięciu osób - ochroniarzy, kierowców, kasjerów, właścicieli witryn, na których pojawiają się nowe exploity i tak dalej.
Źródło: www.habr.com