Utdrag ur boken "Invasion. En kort historia om ryska hackare"
I maj i år i förlaget Individuum
Daniel samlade på material under flera år, några berättelser
Men hacking, som alla brott, är ett alltför slutet ämne. Verkliga berättelser förs vidare endast via mun till mun mellan människor. Och boken lämnar intrycket av en vansinnigt märklig ofullständighet - som om var och en av dess hjältar kunde sammanställas till en trevolymsbok om "hur det verkligen var."
Med förlagets tillstånd publicerar vi ett kort utdrag om Lurk-gruppen som rånade ryska banker 2015-16.
Sommaren 2015 skapade den ryska centralbanken Fincert, ett centrum för att övervaka och svara på datorincidenter inom kredit- och finanssektorn. Genom den utbyter banker information om dataangrepp, analyserar dem och får rekommendationer om skydd från underrättelsebyråer. Det finns många sådana attacker: Sberbank i juni 2016
I den första
Polis och cybersäkerhetsspecialister har letat efter medlemmar i gruppen sedan 2011. Under en lång tid misslyckades sökningen - 2016 stal gruppen cirka tre miljarder rubel från ryska banker, mer än någon annan hackare.
Lurk-viruset skilde sig från de som utredarna hade stött på tidigare. När programmet kördes i laboratoriet för testning gjorde det ingenting (det var därför det hette Lurk - från engelskan "to hide"). Senare
För att sprida viruset hackade gruppen in på webbplatser som besöktes av bankanställda: från onlinemedia (till exempel RIA Novosti och Gazeta.ru) till redovisningsforum. Hackare utnyttjade en sårbarhet i systemet för att utbyta reklambanner och distribuerade skadlig programvara genom dem. På vissa webbplatser publicerade hackare en länk till viruset bara kort: på forumet för en av bokföringstidningarna dök det upp på vardagar vid lunchtid i två timmar, men även under denna tid hittade Lurk flera lämpliga offer.
Genom att klicka på bannern fördes användaren till en sida med bedrifter, varefter information började samlas in på den attackerade datorn – hackarna var främst intresserade av ett program för fjärrbank. Uppgifterna i bankbetalningsuppdrag ersattes med de erforderliga, och obehöriga överföringar skickades till konton hos företag som är associerade med koncernen. Enligt Sergei Golovanov från Kaspersky Lab använder grupper vanligtvis i sådana fall skalföretag, "vilket är samma sak som att överföra och ta ut": de mottagna pengarna inkasseras där, stoppas i påsar och lämnas bokmärken i stadsparker, dit hackare tar dem. Medlemmar i gruppen gömde flitigt sina handlingar: de krypterade all daglig korrespondens och registrerade domäner med falska användare. "Angripare använder trippel VPN, Tor, hemliga chattar, men problemet är att även en väl fungerande mekanism misslyckas", förklarar Golovanov. – Antingen faller VPN av, då visar sig den hemliga chatten inte vara så hemlig, då ringde man, istället för att ringa via Telegram, helt enkelt från telefonen. Detta är den mänskliga faktorn. Och när du har samlat på dig en databas i flera år måste du leta efter sådana olyckor. Efter detta kan brottsbekämpande myndigheter kontakta leverantörer för att ta reda på vem som besökt en sådan och en sådan IP-adress och vid vilken tidpunkt. Och sedan är fallet byggt.”
Förvar av hackare från Lurk
Bilar hittades i garage som tillhör hackare - dyra Audi-, Cadillac- och Mercedes-modeller. En klocka täckt med 272 diamanter upptäcktes också.
I synnerhet greps alla tekniska specialister i gruppen. Ruslan Stoyanov, en anställd på Kaspersky Lab som var involverad i utredningen av Lurk-brott tillsammans med underrättelsetjänsterna, sa att ledningen letade efter många av dem på vanliga platser för att rekrytera personal för distansarbete. I annonserna stod det inget om att arbetet skulle vara olagligt och lönen på Lurk erbjöds över marknaden och det gick att jobba hemifrån.
"Varje morgon, utom helger, i olika delar av Ryssland och Ukraina satte sig individer vid sina datorer och började arbeta", beskrev Stoyanov. "Programmerare finjusterade funktionerna i nästa version [av viruset], testare kontrollerade det, sedan laddade personen som ansvarade för botnätet upp allt till kommandoservern, varefter automatiska uppdateringar skedde på botdatorerna."
Behandlingen av gruppens ärende i domstol påbörjades hösten 2017 och fortsatte i början av 2019 – på grund av ärendets volym som innehåller cirka sexhundra volymer. Hackeradvokat som döljer sitt namn
Fallet med en av gruppens hackare fördes i separata förfaranden och han fick 5 år, inklusive för att ha hackat nätverket på flygplatsen i Jekaterinburg.
Under de senaste decennierna i Ryssland lyckades specialtjänsterna besegra majoriteten av stora hackergrupper som bröt mot huvudregeln - "Arbeta inte på ru": Carberp (stal cirka en och en halv miljard rubel från ryska bankers konton), Anunak (stal mer än en miljard rubel från ryska bankers konton), Paunch (de skapade plattformar för attacker genom vilka upp till hälften av infektionerna över hela världen passerade) och så vidare. Inkomsten för sådana grupper är jämförbar med inkomsterna för vapenhandlare, och de består av dussintals personer förutom hackarna själva - säkerhetsvakter, chaufförer, kassörer, ägare av sajter där nya bedrifter dyker upp och så vidare.
Källa: will.com