Extras din cartea „Invazie. O scurtă istorie a hackerilor ruși”
În luna mai a acestui an la editura Individuum
Daniel a adunat materiale de câțiva ani, câteva povești
Dar hacking-ul, ca orice crimă, este un subiect prea închis. Poveștile reale se transmit doar prin gură în gură între oameni. Și cartea lasă impresia unei incompletități nebun de curioase - de parcă fiecare dintre eroii săi ar putea fi compilat într-o carte în trei volume despre „cum a fost cu adevărat”.
Cu permisiunea editorului, publicăm un scurt fragment despre grupul Lurk, care a jefuit bănci rusești în 2015-16.
În vara anului 2015, Banca Centrală Rusă a creat Fincert, un centru de monitorizare și răspuns la incidentele informatice din sectorul credit și financiar. Prin intermediul acestuia, băncile fac schimb de informații despre atacurile informatice, le analizează și primesc recomandări privind protecția de la agențiile de informații. Există multe astfel de atacuri: Sberbank în iunie 2016
În primul
Specialiștii din poliție și securitate cibernetică caută membri ai grupului din 2011. Pentru o lungă perioadă de timp, căutarea a eșuat - până în 2016, grupul a furat aproximativ trei miliarde de ruble de la băncile rusești, mai mult decât oricare alți hackeri.
Virusul Lurk era diferit de cei pe care anchetatorii i-au întâlnit înainte. Când programul a fost rulat în laborator pentru testare, nu a făcut nimic (de aceea se numea Lurk - din engleză „a ascunde”). Mai tarziu
Pentru a răspândi virusul, grupul a spart site-uri web vizitate de angajații băncii: de la mass-media online (de exemplu, RIA Novosti și Gazeta.ru) până la forumuri de contabilitate. Hackerii au exploatat o vulnerabilitate din sistem pentru a face schimb de bannere publicitare și au distribuit programe malware prin intermediul lor. Pe unele site-uri, hackerii au postat un link către virus doar pentru scurt timp: pe forumul uneia dintre reviste de contabilitate, acesta a apărut în zilele lucrătoare la prânz timp de două ore, dar chiar și în acest timp, Lurk a găsit mai multe victime potrivite.
Făcând clic pe banner, utilizatorul a fost dus la o pagină cu exploit-uri, după care au început să fie colectate informații pe computerul atacat - hackerii erau interesați în principal de un program pentru operațiuni bancare la distanță. Detaliile din ordinele de plată bancare au fost înlocuite cu cele necesare, iar transferurile neautorizate au fost trimise în conturile companiilor asociate grupului. Potrivit lui Serghei Golovanov de la Kaspersky Lab, de obicei, în astfel de cazuri, grupurile folosesc companii fictive, „care sunt la fel cu transferul și încasarea”: banii primiți sunt încasați acolo, pusi în pungi și lăsați semne de carte în parcuri ale orașului, unde hackerii iau lor . Membrii grupului și-au ascuns cu sârguință acțiunile: au criptat toată corespondența zilnică și au înregistrat domenii cu utilizatori falși. „Atacatorii folosesc triplu VPN, Tor, chat-uri secrete, dar problema este că chiar și un mecanism care funcționează bine eșuează”, explică Golovanov. - Fie VPN-ul cade, apoi chatul secret se dovedește a nu fi atât de secret, apoi unul, în loc să sune prin Telegram, a sunat pur și simplu de pe telefon. Acesta este factorul uman. Și când acumulezi o bază de date de ani de zile, trebuie să cauți astfel de accidente. După aceasta, oamenii legii pot contacta furnizorii pentru a afla cine a vizitat o astfel de adresă IP și la ce oră. Și apoi se construiește cazul.”
Detenția hackerilor de la Lurk
Mașini au fost găsite în garaje aparținând hackerilor - modele scumpe Audi, Cadillac și Mercedes. A fost descoperit și un ceas încrustat cu 272 de diamante.
În special, au fost arestați toți specialiștii tehnici ai grupării. Ruslan Stoyanov, un angajat al Kaspersky Lab care a fost implicat în investigarea crimelor Lurk împreună cu serviciile de informații, a spus că conducerea i-a căutat pe mulți dintre ei pe site-uri obișnuite pentru recrutarea personalului pentru lucru la distanță. Reclamele nu spuneau nimic despre faptul că munca ar fi ilegală, iar salariul de la Lurk era oferit peste cel din piață și se putea lucra de acasă.
„În fiecare dimineață, cu excepția weekendurilor, în diferite părți ale Rusiei și Ucrainei, oamenii s-au așezat la computere și au început să lucreze”, a descris Stoyanov. „Programatorii au modificat funcțiile următoarei versiuni [a virusului], testerii au verificat-o, apoi persoana responsabilă pentru botnet a încărcat totul pe serverul de comandă, după care au avut loc actualizări automate pe computerele bot.”
Examinarea dosarului grupului în instanță a început în toamna anului 2017 și a continuat la începutul lui 2019 - datorită volumului dosarului, care conține aproximativ șase sute de volume. Avocat hacker care își ascunde numele
Cazul unuia dintre hackerii grupului a fost introdus într-o procedură separată, iar acesta a primit 5 ani, inclusiv pentru piratarea rețelei aeroportului Ekaterinburg.
În ultimele decenii în Rusia, serviciile speciale au reușit să învingă majoritatea grupurilor mari de hackeri care au încălcat regula principală - „Nu lucrați la ru”: Carberp (a furat aproximativ un miliard și jumătate de ruble din conturile băncilor rusești), Anunak (a furat peste un miliard de ruble din conturile băncilor rusești), Paunch (au creat platforme pentru atacuri prin care au trecut până la jumătate din infecțiile din întreaga lume) și așa mai departe. Veniturile unor astfel de grupuri sunt comparabile cu câștigurile traficanților de arme și sunt formate din zeci de oameni, pe lângă hackeri înșiși - paznici, șoferi, casieri, proprietari de site-uri unde apar noi exploatații și așa mai departe.
Sursa: www.habr.com