Odlomek iz knjige “Invazija. Kratka zgodovina ruskih hekerjev"
Maja letos v založbi Individuum
Daniel je več let zbiral materiale, nekaj zgodb
Toda vdiranje je, kot vsak zločin, preveč zaprta tema. Resnične zgodbe se med ljudmi prenašajo samo od ust do ust. In knjiga pušča vtis blazno radovedne nedokončanosti - kot da bi vsakega od njenih junakov lahko strnili v tri zvezke o tem, "kako je v resnici bilo".
Z dovoljenjem založnika objavljamo kratek izsek o skupini Lurk, ki je v letih 2015-16 oropala ruske banke.
Ruska centralna banka je poleti 2015 ustanovila Fincert, center za spremljanje in odzivanje na računalniške incidente v kreditnem in finančnem sektorju. Preko njega si banke izmenjujejo informacije o računalniških napadih, jih analizirajo in od obveščevalnih služb prejemajo priporočila o zaščiti. Takih napadov je veliko: Sberbank junija 2016
V prvem
Policija in strokovnjaki za kibernetsko varnost člane skupine iščejo od leta 2011. Dolgo časa je bilo iskanje neuspešno - do leta 2016 je skupina iz ruskih bank ukradla približno tri milijarde rubljev, več kot kateri koli drug heker.
Virus Lurk je bil drugačen od tistih, s katerimi so se raziskovalci srečali prej. Ko so program zagnali v laboratoriju za testiranje, ni naredil ničesar (zato so ga poimenovali Lurk – iz angleščine »skriti«). Kasneje
Za širjenje virusa je skupina vdrla v spletna mesta, ki so jih obiskovali bančni uslužbenci: od spletnih medijev (na primer RIA Novosti in Gazeta.ru) do računovodskih forumov. Hekerji so izkoristili ranljivost v sistemu za izmenjavo oglasnih pasic in prek njih razširjali zlonamerno programsko opremo. Na nekaterih straneh so hekerji le na kratko objavili povezavo do virusa: na forumu ene od računovodskih revij se je pojavil ob delavnikih v času kosila za dve uri, a tudi v tem času je Lurk našel več primernih žrtev.
S klikom na pasico je bil uporabnik preusmerjen na stran z exploiti, nato pa so se na napadenem računalniku začeli zbirati podatki - hekerje je zanimal predvsem program za oddaljeno bančništvo. Podatke na bančnih položnicah so zamenjali z zahtevanimi, nepooblaščena nakazila pa nakazali na račune družb, povezanih s skupino. Po besedah Sergeja Golovanova iz Kaspersky Laba običajno v takšnih primerih skupine uporabljajo navidezna podjetja, »kar je enako kot prenos in izplačilo«: prejeti denar tam unovčijo, ga spravijo v vrečke in pustijo zaznamke v mestnih parkih, kamor hekerji odnesejo njim . Člani skupine so svoje početje vestno skrivali: šifrirali so vso dnevno korespondenco in registrirali domene z lažnimi uporabniki. "Napadalci uporabljajo trojni VPN, Tor, skrivne klepete, vendar je težava v tem, da tudi dobro delujoč mehanizem odpove," pojasnjuje Golovanov. - Bodisi VPN odpade, potem se izkaže, da skrivni klepet ni tako skriven, potem je eden namesto klica prek Telegrama poklical preprosto s telefona. To je človeški faktor. In ko že leta zbirate bazo podatkov, morate iskati takšne nesreče. Po tem se lahko organi pregona obrnejo na ponudnike, da ugotovijo, kdo je obiskal ta in ta naslov IP in ob kateri uri. In potem je primer zgrajen.«
Pridržanje hekerjev iz Lurka
V garažah hekerjev so našli avtomobile - drage modele Audi, Cadillac in Mercedes. Odkrili so tudi uro, okrašeno z 272 diamanti.
Še posebej so bili aretirani vsi tehnični strokovnjaki skupine. Ruslan Stoyanov, uslužbenec Kaspersky Laba, ki je sodeloval pri preiskavi zločinov Lurk skupaj z obveščevalnimi službami, je povedal, da je vodstvo mnoge od njih iskalo na običajnih mestih za zaposlovanje osebja za delo na daljavo. V oglasih ni bilo govora o tem, da bo delo na črno, v Lurku pa so ponujali višjo plačo od tržne in je bilo mogoče delati od doma.
"Vsako jutro, razen vikendov, so v različnih delih Rusije in Ukrajine posamezniki sedli za svoje računalnike in začeli delati," je opisal Stoyanov. "Programerji so prilagodili funkcije naslednje različice [virusa], preizkuševalci so jo preverili, nato je oseba, odgovorna za botnet, vse naložila na ukazni strežnik, nato pa so na botovskih računalnikih potekale samodejne posodobitve."
Obravnava primera skupine na sodišču se je začela jeseni 2017 in nadaljevala v začetku leta 2019 - zaradi obsega zadeve, ki vsebuje približno šeststo zvezkov. Hekerski odvetnik skriva svoje ime
Primer enega od hekerjev skupine je bil uveden v ločen postopek in prejel je 5 let, tudi za vdor v omrežje jekaterinburškega letališča.
V zadnjih desetletjih je v Rusiji posebnim službam uspelo premagati večino velikih hekerskih skupin, ki so kršile glavno pravilo - »Ne delaj na ru«: Carberp (ukradel okoli milijardo in pol rubljev z računov ruskih bank), Anunak (ukradel več kot milijardo rubljev z računov ruskih bank), Paunch (ustvarili so platforme za napade, prek katerih je šlo do polovice okužb po vsem svetu) itd. Dohodki takšnih skupin so primerljivi z zaslužki trgovcev z orožjem, sestavljajo pa jih poleg samih hekerjev še na desetine ljudi - varnostniki, vozniki, blagajniki, lastniki strani, kjer se pojavljajo novi podvigi itd.
Vir: www.habr.com