Одломак из књиге „Инвазија. Кратка историја руских хакера"
У мају ове године у издавачкој кући Индивидуум новинар Даниил Туровски „Инвазија. Кратка историја руских хакера“. Садржи приче са мрачне стране руске ИТ индустрије - о момцима који су, заљубивши се у рачунаре, научили не само да програмирају, већ и да пљачкају људе. Књига се развија, као и сам феномен - од тинејџерског хулиганизма и форумских партија до операција за спровођење закона и међународних скандала.
Данијел је неколико година прикупљао материјале, неке приче , за своје препричавање Данијелових чланака, Ендру Крамер из Њујорк тајмса добио је Пулицерову награду 2017. године.
Али хаковање, као и сваки злочин, превише је затворена тема. Праве приче се преносе само усменом предајом међу људима. А књига оставља утисак лудо чудне недовршености – као да би сваки њен јунак могао да се састави у тротомну књигу „како је заиста било“.
Уз дозволу издавача, објављујемо кратак извод о групи Лурк, која је опљачкала руске банке 2015-16.
Руска централна банка је у лето 2015. године створила Финцерт, центар за праћење и реаговање на компјутерске инциденте у кредитном и финансијском сектору. Преко њега банке размењују информације о компјутерским нападима, анализирају их и добијају препоруке о заштити од обавештајних агенција. Много је таквих напада: Сбербанка у јуну 2016 губици руске привреде од сајбер криминала износили су 600 милијарди рубаља - у исто време банка је купила ћерку компанију Бизон, која се бави информационом безбедношћу предузећа.
У првом резултати Финцертовог рада (од октобра 2015. до марта 2016.) описују 21 циљани напад на инфраструктуру банке; Као резултат ових догађаја, покренуто је 12 кривичних предмета. Већина ових напада дело је једне групе, која је названа Лурк у част истоименог вируса, који су развили хакери: уз његову помоћ украден је новац из комерцијалних предузећа и банака.
Полиција и стручњаци за сајбер безбедност трагају за члановима групе од 2011. године. Дуго времена потрага је била неуспешна – до 2016. група је украла око три милијарде рубаља из руских банака, више него било који други хакер.
Вирус Лурк је био другачији од оних са којима су се истражитељи раније сусрели. Када је програм покренут у лабораторији ради тестирања, није урадио ништа (зато се и звао Лурк – од енглеског „сакрити се“). Касније да је Лурк дизајниран као модуларни систем: програм постепено учитава додатне блокове са различитим функционалностима – од пресретања знакова унетих на тастатури, пријављивања и лозинки до могућности снимања видео стрима са екрана зараженог рачунара.
Да би ширила вирус, група је хаковала веб-сајтове које посећују запослени у банкама: од онлајн медија (на пример, РИА Новости и Газета.ру) до рачуноводствених форума. Хакери су искористили рањивост у систему за размену рекламних банера и преко њих дистрибуирали малвер. На неким сајтовима хакери су само накратко поставили везу до вируса: на форуму једног од рачуноводствених часописа, она се појављивала радним данима у време ручка по два сата, али чак и за то време Лурк је пронашао неколико одговарајућих жртава.
Кликом на банер корисник је пребачен на страницу са експлоатацијом, након чега су на нападнутом рачунару почеле да се прикупљају информације – хакере је углавном занимао програм за даљинско банкарство. Подаци у налозима банке замењени су потребним, а неовлашћени трансфери су послати на рачуне компанија повезаних са групом. Према Сергеју Голованову из Касперски Лаб-а, обично у таквим случајевима групе користе фиктивне компаније, „што је исто што и преношење и уновчавање“: примљени новац се тамо уновчи, стави у кесе и остави обележиваче у градским парковима, где хакери узимају њих . Чланови групе су марљиво скривали своје поступке: шифровали су сву дневну преписку и регистровали домене са лажним корисницима. „Нападачи користе троструки ВПН, Тор, тајне разговоре, али проблем је што чак и механизам који добро функционише“, објашњава Голованов. - Или отпадне ВПН, онда се испостави да тајни разговор није толико тајан, па се један, уместо да зове преко Телеграма, зове једноставно са телефона. Ово је људски фактор. А када годинама гомилате базу података, треба тражити такве незгоде. Након тога, органи за спровођење закона могу контактирати провајдере да сазнају ко је посетио ту и такву ИП адресу и у које време. А онда је случај изграђен."
Притварање хакера из Лурка као акциони филм. Запослени у Министарству за ванредне ситуације одсекли су браве у сеоским кућама и становима хакера у различитим деловима Јекатеринбурга, након чега су службеници ФСБ-а урлали, зграбили хакере и бацили на под и претражили просторије. Након тога, осумњичени су убачени у аутобус, одвезени на аеродром, прошетали уз писту и укрцани у теретни авион, који је полетео за Москву.
У хакерским гаражама пронађени су аутомобили - скупи модели Аудија, Кадилака, Мерцедеса. Откривен је и сат опточен са 272 дијаманта. накит у вредности од 12 милиона рубаља и оружје. Полиција је укупно извршила око 80 претреса у 15 региона и привела око 50 људи.
Конкретно, ухапшени су сви технички стручњаци групе. Руслан Стојанов, радник Касперски Лаб-а који је заједно са обавештајним службама био укључен у истрагу злочина Лурка, рекао је да је менаџмент многе од њих тражио на редовним сајтовима за регрутовање особља за рад на даљину. У огласима се ништа не говори о томе да ће посао бити на црно, а плата у Лурку је понуђена изнад тржишне, а могло се радити и од куће.
„Свако јутро, осим викенда, у различитим деловима Русије и Украјине, појединци су сели за своје рачунаре и почели да раде“, описао је Стојанов. „Програмери су подесили функције следеће верзије [вируса], тестери су је проверили, затим је особа одговорна за ботнет све отпремила на командни сервер, након чега су се аутоматска ажурирања одвијала на бот рачунарима.“
Разматрање предмета групе на суду почело је у јесен 2017. и настављено почетком 2019. године – због обима предмета који садржи око шест стотина томова. Хакерски адвокат крије своје име да се нико од осумњичених неће нагодити са истрагом, али су неки признали део оптужби. „Наши клијенти су радили на развоју различитих делова вируса Лурк, али многи једноставно нису били свесни да је у питању тројанац“, објаснио је он. „Неко је направио део алгоритама који би могли успешно да раде у претраживачима.
Случај једног од хакера групе доведен је у посебан поступак и добио је 5 година, укључујући и хаковање мреже аеродрома Јекатеринбург.
Последњих деценија у Русији специјалне службе успеле су да победе већину великих хакерских група које су прекршиле главно правило - „Не ради на ру“: Царберп (украо око милијарду и по рубаља са рачуна руских банака), Анунак (украо више од милијарду рубаља са рачуна руских банака), Паунцх (створили су платформе за нападе кроз које је пролазило до половине зараза широм света) и тако даље. Приходи оваквих група су упоредиви са зарадама трговаца оружјем, а чине их и десетине људи поред самих хакера – обезбеђења, возача, благајника, власника сајтова на којима се појављују нови експлоати итд.
Извор: ввв.хабр.цом