Odlomek iz knjige “Invazija. Kratka zgodovina ruskih hekerjev"
Maja letos v založbi Individuum novinar Daniil Turovsky "Invazija. Kratka zgodovina ruskih hekerjev." Vsebuje zgodbe s temne strani ruske IT industrije - o fantih, ki so se, ko so se zaljubili v računalnike, naučili ne samo programirati, ampak tudi ropati ljudi. Knjiga se razvija, tako kot fenomen sam - od najstniškega huliganstva in forumskih zabav do operacij pregona in mednarodnih škandalov.
Daniel je več let zbiral materiale, nekaj zgodb , za svoje pripovedi Danielovih člankov je Andrew Kramer iz New York Timesa leta 2017 prejel Pulitzerjevo nagrado.
Toda vdiranje je, kot vsak zločin, preveč zaprta tema. Resnične zgodbe se med ljudmi prenašajo samo od ust do ust. In knjiga pušča vtis blazno radovedne nedokončanosti - kot da bi vsakega od njenih junakov lahko strnili v tri zvezke o tem, "kako je v resnici bilo".
Z dovoljenjem založnika objavljamo kratek izsek o skupini Lurk, ki je v letih 2015-16 oropala ruske banke.
Ruska centralna banka je poleti 2015 ustanovila Fincert, center za spremljanje in odzivanje na računalniške incidente v kreditnem in finančnem sektorju. Preko njega si banke izmenjujejo informacije o računalniških napadih, jih analizirajo in od obveščevalnih služb prejemajo priporočila o zaščiti. Takih napadov je veliko: Sberbank junija 2016 izgube ruskega gospodarstva zaradi kibernetske kriminalitete so znašale 600 milijard rubljev - hkrati je banka kupila hčerinsko podjetje Bizon, ki se ukvarja z informacijsko varnostjo podjetja.
V prvem rezultati Fincertovega dela (od oktobra 2015 do marca 2016) opisujejo 21 ciljnih napadov na bančno infrastrukturo; Zaradi teh dogodkov je bilo sproženih 12 kazenskih zadev. Večina teh napadov je bila delo ene skupine, ki so jo poimenovali Lurk v čast istoimenskega virusa, ki so ga razvili hekerji: z njegovo pomočjo so ukradli denar iz komercialnih podjetij in bank.
Policija in strokovnjaki za kibernetsko varnost člane skupine iščejo od leta 2011. Dolgo časa je bilo iskanje neuspešno - do leta 2016 je skupina iz ruskih bank ukradla približno tri milijarde rubljev, več kot kateri koli drug heker.
Virus Lurk je bil drugačen od tistih, s katerimi so se raziskovalci srečali prej. Ko so program zagnali v laboratoriju za testiranje, ni naredil ničesar (zato so ga poimenovali Lurk – iz angleščine »skriti«). Kasneje da je Lurk zasnovan kot modularen sistem: program postopoma nalaga dodatne bloke z različnimi funkcionalnostmi – od prestrezanja znakov, vnesenih na tipkovnici, prijav in gesel do zmožnosti snemanja video toka z zaslona okuženega računalnika.
Za širjenje virusa je skupina vdrla v spletna mesta, ki so jih obiskovali bančni uslužbenci: od spletnih medijev (na primer RIA Novosti in Gazeta.ru) do računovodskih forumov. Hekerji so izkoristili ranljivost v sistemu za izmenjavo oglasnih pasic in prek njih razširjali zlonamerno programsko opremo. Na nekaterih straneh so hekerji le na kratko objavili povezavo do virusa: na forumu ene od računovodskih revij se je pojavil ob delavnikih v času kosila za dve uri, a tudi v tem času je Lurk našel več primernih žrtev.
S klikom na pasico je bil uporabnik preusmerjen na stran z exploiti, nato pa so se na napadenem računalniku začeli zbirati podatki - hekerje je zanimal predvsem program za oddaljeno bančništvo. Podatke na bančnih položnicah so zamenjali z zahtevanimi, nepooblaščena nakazila pa nakazali na račune družb, povezanih s skupino. Po besedah Sergeja Golovanova iz Kaspersky Laba običajno v takšnih primerih skupine uporabljajo navidezna podjetja, »kar je enako kot prenos in izplačilo«: prejeti denar tam unovčijo, ga spravijo v vrečke in pustijo zaznamke v mestnih parkih, kamor hekerji odnesejo njim . Člani skupine so svoje početje vestno skrivali: šifrirali so vso dnevno korespondenco in registrirali domene z lažnimi uporabniki. "Napadalci uporabljajo trojni VPN, Tor, skrivne klepete, vendar je težava v tem, da tudi dobro delujoč mehanizem odpove," pojasnjuje Golovanov. - Bodisi VPN odpade, potem se izkaže, da skrivni klepet ni tako skriven, potem je eden namesto klica prek Telegrama poklical preprosto s telefona. To je človeški faktor. In ko že leta zbirate bazo podatkov, morate iskati takšne nesreče. Po tem se lahko organi pregona obrnejo na ponudnike, da ugotovijo, kdo je obiskal ta in ta naslov IP in ob kateri uri. In potem je primer zgrajen.«
Pridržanje hekerjev iz Lurka kot akcijski film. Uslužbenci ministrstva za izredne razmere so odrezali ključavnice v podeželskih hišah in stanovanjih hekerjev v različnih delih Jekaterinburga, nakar so policisti FSB planili v krik, zgrabili hekerje in jih vrgli na tla ter preiskali prostore. Po tem so osumljence namestili na avtobus, jih odpeljali na letališče, se sprehodili po pristajalni stezi in odpeljali na tovorno letalo, ki je vzletelo proti Moskvi.
V garažah hekerjev so našli avtomobile - drage modele Audi, Cadillac in Mercedes. Odkrili so tudi uro, okrašeno z 272 diamanti. nakit v vrednosti 12 milijonov rubljev in orožje. Skupaj je policija izvedla približno 80 preiskav v 15 regijah in pridržala približno 50 ljudi.
Še posebej so bili aretirani vsi tehnični strokovnjaki skupine. Ruslan Stoyanov, uslužbenec Kaspersky Laba, ki je sodeloval pri preiskavi zločinov Lurk skupaj z obveščevalnimi službami, je povedal, da je vodstvo mnoge od njih iskalo na običajnih mestih za zaposlovanje osebja za delo na daljavo. V oglasih ni bilo govora o tem, da bo delo na črno, v Lurku pa so ponujali višjo plačo od tržne in je bilo mogoče delati od doma.
"Vsako jutro, razen vikendov, so v različnih delih Rusije in Ukrajine posamezniki sedli za svoje računalnike in začeli delati," je opisal Stoyanov. "Programerji so prilagodili funkcije naslednje različice [virusa], preizkuševalci so jo preverili, nato je oseba, odgovorna za botnet, vse naložila na ukazni strežnik, nato pa so na botovskih računalnikih potekale samodejne posodobitve."
Obravnava primera skupine na sodišču se je začela jeseni 2017 in nadaljevala v začetku leta 2019 - zaradi obsega zadeve, ki vsebuje približno šeststo zvezkov. Hekerski odvetnik skriva svoje ime da se nobeden od osumljencev ne bo pogodil s preiskavo, so pa nekateri del obtožb priznali. »Naše stranke so sicer delale pri razvoju različnih delov virusa Lurk, vendar se mnogi preprosto niso zavedali, da gre za trojanca,« je pojasnil. "Nekdo je naredil del algoritmov, ki bi lahko uspešno delovali v iskalnikih."
Primer enega od hekerjev skupine je bil uveden v ločen postopek in prejel je 5 let, tudi za vdor v omrežje jekaterinburškega letališča.
V zadnjih desetletjih je v Rusiji posebnim službam uspelo premagati večino velikih hekerskih skupin, ki so kršile glavno pravilo - »Ne delaj na ru«: Carberp (ukradel okoli milijardo in pol rubljev z računov ruskih bank), Anunak (ukradel več kot milijardo rubljev z računov ruskih bank), Paunch (ustvarili so platforme za napade, prek katerih je šlo do polovice okužb po vsem svetu) itd. Dohodki takšnih skupin so primerljivi z zaslužki trgovcev z orožjem, sestavljajo pa jih poleg samih hekerjev še na desetine ljudi - varnostniki, vozniki, blagajniki, lastniki strani, kjer se pojavljajo novi podvigi itd.
Vir: www.habr.com