Trecho do livro “Invasão. Uma breve história dos hackers russos"
Em maio deste ano na editora Individuum
Daniel coletou materiais durante vários anos, algumas histórias
Mas o hacking, como qualquer crime, é um assunto muito fechado. Histórias reais são transmitidas apenas de boca em boca entre as pessoas. E o livro deixa a impressão de uma incompletude insanamente curiosa - como se cada um de seus heróis pudesse ser compilado em um livro de três volumes sobre “como realmente era”.
Com a permissão do editor, publicamos um pequeno trecho sobre o grupo Lurk, que roubou bancos russos em 2015-16.
No verão de 2015, o Banco Central Russo criou o Fincert, um centro de monitorização e resposta a incidentes informáticos no setor financeiro e de crédito. Através dele, os bancos trocam informações sobre ataques informáticos, analisam-nos e recebem recomendações sobre proteção das agências de inteligência. Existem muitos desses ataques: Sberbank em junho de 2016
No primeiro
Especialistas em polícia e segurança cibernética procuram membros do grupo desde 2011. Por muito tempo, a busca não teve sucesso - em 2016, o grupo roubou cerca de três bilhões de rublos de bancos russos, mais do que qualquer outro hacker.
O vírus Lurk era diferente daqueles que os investigadores encontraram antes. Quando o programa foi rodado em laboratório para testes, ele não fez nada (por isso foi chamado de Lurk - do inglês “esconder”). Mais tarde
Para espalhar o vírus, o grupo invadiu sites visitados por bancários: desde meios de comunicação online (por exemplo, RIA Novosti e Gazeta.ru) até fóruns de contabilidade. Os hackers exploraram uma vulnerabilidade no sistema de troca de banners publicitários e distribuíram malware por meio deles. Em alguns sites, os hackers postaram um link para o vírus apenas brevemente: no fórum de uma das revistas de contabilidade, ele aparecia durante a semana na hora do almoço por duas horas, mas mesmo nesse horário Lurk encontrou várias vítimas adequadas.
Ao clicar no banner, o usuário era direcionado para uma página com exploits, após a qual começaram a ser coletadas informações sobre o computador atacado - os hackers estavam interessados principalmente em um programa de banco remoto. Os dados das ordens de pagamento bancário foram substituídos pelos exigidos e foram enviadas transferências não autorizadas para contas de empresas associadas ao grupo. Segundo Sergei Golovanov, da Kaspersky Lab, geralmente nesses casos os grupos usam empresas de fachada, “que são o mesmo que transferir e sacar”: o dinheiro recebido é descontado lá, colocado em sacolas e deixado marcadores nos parques da cidade, onde os hackers levam eles . Os membros do grupo esconderam diligentemente suas ações: criptografaram toda a correspondência diária e registraram domínios com usuários falsos. “Os invasores usam VPN tripla, Tor, bate-papos secretos, mas o problema é que mesmo um mecanismo que funciona bem falha”, explica Golovanov. - Ou a VPN cai, aí o chat secreto acaba não sendo tão secreto, aí um, em vez de ligar pelo Telegram, liga simplesmente do telefone. Este é o fator humano. E quando você acumula um banco de dados há anos, precisa procurar esses acidentes. Depois disso, as autoridades podem entrar em contato com os provedores para descobrir quem visitou tal ou tal endereço IP e a que horas. E então o caso está construído.”
Detenção de hackers do Lurk
Carros foram encontrados em garagens pertencentes a hackers - caros modelos Audi, Cadillac e Mercedes. Também foi descoberto um relógio incrustado com 272 diamantes.
Em particular, todos os técnicos do grupo foram presos. Ruslan Stoyanov, funcionário da Kaspersky Lab que esteve envolvido na investigação dos crimes de Lurk em conjunto com os serviços de inteligência, disse que a administração procurava muitos deles em sites regulares de recrutamento de pessoal para trabalho remoto. Os anúncios nada diziam sobre o fato de o trabalho ser ilegal, o salário na Lurk ser oferecido acima do mercado e ser possível trabalhar em casa.
“Todas as manhãs, exceto nos fins de semana, em diferentes partes da Rússia e da Ucrânia, as pessoas sentavam-se em frente aos seus computadores e começavam a trabalhar”, descreveu Stoyanov. “Os programadores ajustaram as funções da próxima versão [do vírus], os testadores verificaram e, em seguida, a pessoa responsável pela botnet carregou tudo no servidor de comando, após o que ocorreram atualizações automáticas nos computadores bot.”
A apreciação do caso do grupo em tribunal começou no outono de 2017 e continuou no início de 2019 - devido ao volume do caso, que contém cerca de seiscentos volumes. Advogado hacker escondendo seu nome
O caso de um dos hackers do grupo foi levado a um processo separado, e ele recebeu 5 anos, inclusive por hackear a rede do aeroporto de Yekaterinburg.
Nas últimas décadas, na Rússia, os serviços especiais conseguiram derrotar a maioria dos grandes grupos de hackers que violaram a regra principal - “Não trabalhe em ru”: Carberp (roubou cerca de um bilhão e meio de rublos das contas de bancos russos), Anunak (roubou mais de um bilhão de rublos das contas de bancos russos), Paunch (eles criaram plataformas de ataques pelas quais passaram até metade das infecções em todo o mundo) e assim por diante. A renda desses grupos é comparável à dos traficantes de armas, e eles consistem em dezenas de pessoas além dos próprios hackers - guardas de segurança, motoristas, caixas, proprietários de sites onde aparecem novas explorações e assim por diante.
Fonte: habr.com