Trecho do livro “Invasão. Uma breve história dos hackers russos"
Em maio deste ano na editora Individuum jornalista Daniil Turovsky “Invasão. Uma Breve História dos Hackers Russos." Ele contém histórias do lado negro da indústria russa de TI - sobre caras que, tendo se apaixonado por computadores, aprenderam não apenas a programar, mas a roubar pessoas. O livro se desenvolve, como o próprio fenômeno - desde o hooliganismo adolescente e festas em fóruns até operações de aplicação da lei e escândalos internacionais.
Daniel coletou materiais durante vários anos, algumas histórias , por suas recontagens dos artigos de Daniel, Andrew Kramer, do New York Times, recebeu o Prêmio Pulitzer em 2017.
Mas o hacking, como qualquer crime, é um assunto muito fechado. Histórias reais são transmitidas apenas de boca em boca entre as pessoas. E o livro deixa a impressão de uma incompletude insanamente curiosa - como se cada um de seus heróis pudesse ser compilado em um livro de três volumes sobre “como realmente era”.
Com a permissão do editor, publicamos um pequeno trecho sobre o grupo Lurk, que roubou bancos russos em 2015-16.
No verão de 2015, o Banco Central Russo criou o Fincert, um centro de monitorização e resposta a incidentes informáticos no setor financeiro e de crédito. Através dele, os bancos trocam informações sobre ataques informáticos, analisam-nos e recebem recomendações sobre proteção das agências de inteligência. Existem muitos desses ataques: Sberbank em junho de 2016 as perdas da economia russa com o crime cibernético totalizaram 600 bilhões de rublos - ao mesmo tempo, o banco adquiriu uma subsidiária, a Bizon, que lida com a segurança da informação da empresa.
No primeiro os resultados do trabalho da Fincert (de outubro de 2015 a março de 2016) descrevem 21 ataques direcionados à infraestrutura bancária; Como resultado desses eventos, foram iniciados 12 processos criminais. A maioria desses ataques foi obra de um grupo, batizado de Lurk em homenagem ao vírus de mesmo nome, desenvolvido por hackers: com sua ajuda, dinheiro foi roubado de empresas comerciais e bancos.
Especialistas em polícia e segurança cibernética procuram membros do grupo desde 2011. Por muito tempo, a busca não teve sucesso - em 2016, o grupo roubou cerca de três bilhões de rublos de bancos russos, mais do que qualquer outro hacker.
O vírus Lurk era diferente daqueles que os investigadores encontraram antes. Quando o programa foi rodado em laboratório para testes, ele não fez nada (por isso foi chamado de Lurk - do inglês “esconder”). Mais tarde que o Lurk foi projetado como um sistema modular: o programa carrega gradualmente blocos adicionais com diversas funcionalidades - desde a interceptação de caracteres inseridos no teclado, logins e senhas até a capacidade de gravar um fluxo de vídeo da tela de um computador infectado.
Para espalhar o vírus, o grupo invadiu sites visitados por bancários: desde meios de comunicação online (por exemplo, RIA Novosti e Gazeta.ru) até fóruns de contabilidade. Os hackers exploraram uma vulnerabilidade no sistema de troca de banners publicitários e distribuíram malware por meio deles. Em alguns sites, os hackers postaram um link para o vírus apenas brevemente: no fórum de uma das revistas de contabilidade, ele aparecia durante a semana na hora do almoço por duas horas, mas mesmo nesse horário Lurk encontrou várias vítimas adequadas.
Ao clicar no banner, o usuário era direcionado para uma página com exploits, após a qual começaram a ser coletadas informações sobre o computador atacado - os hackers estavam interessados principalmente em um programa de banco remoto. Os dados das ordens de pagamento bancário foram substituídos pelos exigidos e foram enviadas transferências não autorizadas para contas de empresas associadas ao grupo. Segundo Sergei Golovanov, da Kaspersky Lab, geralmente nesses casos os grupos usam empresas de fachada, “que são o mesmo que transferir e sacar”: o dinheiro recebido é descontado lá, colocado em sacolas e deixado marcadores nos parques da cidade, onde os hackers levam eles . Os membros do grupo esconderam diligentemente suas ações: criptografaram toda a correspondência diária e registraram domínios com usuários falsos. “Os invasores usam VPN tripla, Tor, bate-papos secretos, mas o problema é que mesmo um mecanismo que funciona bem falha”, explica Golovanov. - Ou a VPN cai, aí o chat secreto acaba não sendo tão secreto, aí um, em vez de ligar pelo Telegram, liga simplesmente do telefone. Este é o fator humano. E quando você acumula um banco de dados há anos, precisa procurar esses acidentes. Depois disso, as autoridades podem entrar em contato com os provedores para descobrir quem visitou tal ou tal endereço IP e a que horas. E então o caso está construído.”
Detenção de hackers do Lurk como um filme de ação. Funcionários do Ministério de Situações de Emergência cortaram as fechaduras de casas de campo e apartamentos de hackers em diferentes partes de Yekaterinburg, após o que os oficiais do FSB começaram a gritar, agarraram os hackers e os jogaram no chão, e revistaram as instalações. Depois disso, os suspeitos foram colocados em um ônibus, levados ao aeroporto, caminharam pela pista e embarcaram em um avião cargueiro, que decolou com destino a Moscou.
Carros foram encontrados em garagens pertencentes a hackers - caros modelos Audi, Cadillac e Mercedes. Também foi descoberto um relógio incrustado com 272 diamantes. joias no valor de 12 milhões de rublos e armas. No total, a polícia realizou cerca de 80 buscas em 15 regiões e deteve cerca de 50 pessoas.
Em particular, todos os técnicos do grupo foram presos. Ruslan Stoyanov, funcionário da Kaspersky Lab que esteve envolvido na investigação dos crimes de Lurk em conjunto com os serviços de inteligência, disse que a administração procurava muitos deles em sites regulares de recrutamento de pessoal para trabalho remoto. Os anúncios nada diziam sobre o fato de o trabalho ser ilegal, o salário na Lurk ser oferecido acima do mercado e ser possível trabalhar em casa.
“Todas as manhãs, exceto nos fins de semana, em diferentes partes da Rússia e da Ucrânia, as pessoas sentavam-se em frente aos seus computadores e começavam a trabalhar”, descreveu Stoyanov. “Os programadores ajustaram as funções da próxima versão [do vírus], os testadores verificaram e, em seguida, a pessoa responsável pela botnet carregou tudo no servidor de comando, após o que ocorreram atualizações automáticas nos computadores bot.”
A apreciação do caso do grupo em tribunal começou no outono de 2017 e continuou no início de 2019 - devido ao volume do caso, que contém cerca de seiscentos volumes. Advogado hacker escondendo seu nome que nenhum dos suspeitos faria acordo com a investigação, mas alguns admitiram parte das acusações. “Nossos clientes trabalharam no desenvolvimento de várias partes do vírus Lurk, mas muitos simplesmente não sabiam que se tratava de um Trojan”, explicou ele. “Alguém fez parte dos algoritmos que poderiam funcionar com sucesso nos motores de busca.”
O caso de um dos hackers do grupo foi levado a um processo separado, e ele recebeu 5 anos, inclusive por hackear a rede do aeroporto de Yekaterinburg.
Nas últimas décadas, na Rússia, os serviços especiais conseguiram derrotar a maioria dos grandes grupos de hackers que violaram a regra principal - “Não trabalhe em ru”: Carberp (roubou cerca de um bilhão e meio de rublos das contas de bancos russos), Anunak (roubou mais de um bilhão de rublos das contas de bancos russos), Paunch (eles criaram plataformas de ataques pelas quais passaram até metade das infecções em todo o mundo) e assim por diante. A renda desses grupos é comparável à dos traficantes de armas, e eles consistem em dezenas de pessoas além dos próprios hackers - guardas de segurança, motoristas, caixas, proprietários de sites onde aparecem novas explorações e assim por diante.
Fonte: habr.com