Extras din cartea „Invazie. O scurtă istorie a hackerilor ruși”
În luna mai a acestui an la editura Individuum jurnalistul Daniil Turovsky „Invazie. O scurtă istorie a hackerilor ruși.” Conține povești din partea întunecată a industriei IT din Rusia - despre tipi care, îndrăgostiți de computere, au învățat nu doar să programeze, ci să jefuiască oamenii. Cartea se dezvoltă, ca și fenomenul în sine - de la huliganism al adolescenților și petreceri pe forum la operațiuni de aplicare a legii și scandaluri internaționale.
Daniel a adunat materiale de câțiva ani, câteva povești , pentru povestirile sale despre articolele lui Daniel, Andrew Kramer de la New York Times a primit un premiu Pulitzer în 2017.
Dar hacking-ul, ca orice crimă, este un subiect prea închis. Poveștile reale se transmit doar prin gură în gură între oameni. Și cartea lasă impresia unei incompletități nebun de curioase - de parcă fiecare dintre eroii săi ar putea fi compilat într-o carte în trei volume despre „cum a fost cu adevărat”.
Cu permisiunea editorului, publicăm un scurt fragment despre grupul Lurk, care a jefuit bănci rusești în 2015-16.
În vara anului 2015, Banca Centrală Rusă a creat Fincert, un centru de monitorizare și răspuns la incidentele informatice din sectorul credit și financiar. Prin intermediul acestuia, băncile fac schimb de informații despre atacurile informatice, le analizează și primesc recomandări privind protecția de la agențiile de informații. Există multe astfel de atacuri: Sberbank în iunie 2016 pierderile economiei ruse din cauza criminalității cibernetice s-au ridicat la 600 de miliarde de ruble - în același timp, banca a achiziționat o companie subsidiară, Bizon, care se ocupă de securitatea informațiilor întreprinderii.
În primul rezultatele muncii Fincert (din octombrie 2015 până în martie 2016) descriu 21 de atacuri direcționate asupra infrastructurii bancare; În urma acestor evenimente au fost deschise 12 dosare penale. Cele mai multe dintre aceste atacuri au fost opera unui grup, care a fost numit Lurk în onoarea virusului cu același nume, dezvoltat de hackeri: cu ajutorul acestuia, banii au fost furați de la întreprinderi comerciale și bănci.
Specialiștii din poliție și securitate cibernetică caută membri ai grupului din 2011. Pentru o lungă perioadă de timp, căutarea a eșuat - până în 2016, grupul a furat aproximativ trei miliarde de ruble de la băncile rusești, mai mult decât oricare alți hackeri.
Virusul Lurk era diferit de cei pe care anchetatorii i-au întâlnit înainte. Când programul a fost rulat în laborator pentru testare, nu a făcut nimic (de aceea se numea Lurk - din engleză „a ascunde”). Mai tarziu că Lurk este conceput ca un sistem modular: programul încarcă treptat blocuri suplimentare cu diverse funcționalități - de la interceptarea caracterelor introduse pe tastatură, login-uri și parole până la capacitatea de a înregistra un flux video de pe ecranul unui computer infectat.
Pentru a răspândi virusul, grupul a spart site-uri web vizitate de angajații băncii: de la mass-media online (de exemplu, RIA Novosti și Gazeta.ru) până la forumuri de contabilitate. Hackerii au exploatat o vulnerabilitate din sistem pentru a face schimb de bannere publicitare și au distribuit programe malware prin intermediul lor. Pe unele site-uri, hackerii au postat un link către virus doar pentru scurt timp: pe forumul uneia dintre reviste de contabilitate, acesta a apărut în zilele lucrătoare la prânz timp de două ore, dar chiar și în acest timp, Lurk a găsit mai multe victime potrivite.
Făcând clic pe banner, utilizatorul a fost dus la o pagină cu exploit-uri, după care au început să fie colectate informații pe computerul atacat - hackerii erau interesați în principal de un program pentru operațiuni bancare la distanță. Detaliile din ordinele de plată bancare au fost înlocuite cu cele necesare, iar transferurile neautorizate au fost trimise în conturile companiilor asociate grupului. Potrivit lui Serghei Golovanov de la Kaspersky Lab, de obicei, în astfel de cazuri, grupurile folosesc companii fictive, „care sunt la fel cu transferul și încasarea”: banii primiți sunt încasați acolo, pusi în pungi și lăsați semne de carte în parcuri ale orașului, unde hackerii iau lor . Membrii grupului și-au ascuns cu sârguință acțiunile: au criptat toată corespondența zilnică și au înregistrat domenii cu utilizatori falși. „Atacatorii folosesc triplu VPN, Tor, chat-uri secrete, dar problema este că chiar și un mecanism care funcționează bine eșuează”, explică Golovanov. - Fie VPN-ul cade, apoi chatul secret se dovedește a nu fi atât de secret, apoi unul, în loc să sune prin Telegram, a sunat pur și simplu de pe telefon. Acesta este factorul uman. Și când acumulezi o bază de date de ani de zile, trebuie să cauți astfel de accidente. După aceasta, oamenii legii pot contacta furnizorii pentru a afla cine a vizitat o astfel de adresă IP și la ce oră. Și apoi se construiește cazul.”
Detenția hackerilor de la Lurk ca un film de actiune. Angajații Ministerului Situațiilor de Urgență au tăiat încuietorile caselor de țară și apartamentelor hackerilor din diferite părți ale Ekaterinburg, după care ofițerii FSB au izbucnit în țipete, i-au prins pe hackeri și i-au aruncat pe jos și au percheziționat localul. După aceasta, suspecții au fost urcați într-un autobuz, duși la aeroport, au mers pe pistă și au fost duși într-un avion de marfă, care a decolat spre Moscova.
Mașini au fost găsite în garaje aparținând hackerilor - modele scumpe Audi, Cadillac și Mercedes. A fost descoperit și un ceas încrustat cu 272 de diamante. bijuterii în valoare de 12 milioane de ruble și arme. În total, poliția a efectuat aproximativ 80 de percheziții în 15 regiuni și a reținut aproximativ 50 de persoane.
În special, au fost arestați toți specialiștii tehnici ai grupării. Ruslan Stoyanov, un angajat al Kaspersky Lab care a fost implicat în investigarea crimelor Lurk împreună cu serviciile de informații, a spus că conducerea i-a căutat pe mulți dintre ei pe site-uri obișnuite pentru recrutarea personalului pentru lucru la distanță. Reclamele nu spuneau nimic despre faptul că munca ar fi ilegală, iar salariul de la Lurk era oferit peste cel din piață și se putea lucra de acasă.
„În fiecare dimineață, cu excepția weekendurilor, în diferite părți ale Rusiei și Ucrainei, oamenii s-au așezat la computere și au început să lucreze”, a descris Stoyanov. „Programatorii au modificat funcțiile următoarei versiuni [a virusului], testerii au verificat-o, apoi persoana responsabilă pentru botnet a încărcat totul pe serverul de comandă, după care au avut loc actualizări automate pe computerele bot.”
Examinarea dosarului grupului în instanță a început în toamna anului 2017 și a continuat la începutul lui 2019 - datorită volumului dosarului, care conține aproximativ șase sute de volume. Avocat hacker care își ascunde numele că niciunul dintre suspecți nu ar face o înțelegere cu ancheta, dar unii au recunoscut o parte din acuzații. „Clienții noștri au lucrat în dezvoltarea diferitelor părți ale virusului Lurk, dar mulți pur și simplu nu știau că este un troian”, a explicat el. „Cineva a făcut parte din algoritmii care ar putea funcționa cu succes în motoarele de căutare.”
Cazul unuia dintre hackerii grupului a fost introdus într-o procedură separată, iar acesta a primit 5 ani, inclusiv pentru piratarea rețelei aeroportului Ekaterinburg.
În ultimele decenii în Rusia, serviciile speciale au reușit să învingă majoritatea grupurilor mari de hackeri care au încălcat regula principală - „Nu lucrați la ru”: Carberp (a furat aproximativ un miliard și jumătate de ruble din conturile băncilor rusești), Anunak (a furat peste un miliard de ruble din conturile băncilor rusești), Paunch (au creat platforme pentru atacuri prin care au trecut până la jumătate din infecțiile din întreaga lume) și așa mai departe. Veniturile unor astfel de grupuri sunt comparabile cu câștigurile traficanților de arme și sunt formate din zeci de oameni, pe lângă hackeri înșiși - paznici, șoferi, casieri, proprietari de site-uri unde apar noi exploatații și așa mai departe.
Sursa: www.habr.com