Utdrag ur boken "Invasion. En kort historia om ryska hackare"
I maj i år i förlaget Individuum journalisten Daniil Turovsky "Invasion. En kort historia om ryska hackare." Den innehåller berättelser från den mörka sidan av den ryska IT-branschen - om killar som, efter att ha blivit kära i datorer, lärde sig inte bara att programmera, utan att råna människor. Boken utvecklas, liksom fenomenet självt - från tonårshuliganism och forumfester till brottsbekämpande insatser och internationella skandaler.
Daniel samlade på material under flera år, några berättelser , för sina återberättelser av Daniels artiklar fick Andrew Kramer från New York Times ett Pulitzerpris 2017.
Men hacking, som alla brott, är ett alltför slutet ämne. Verkliga berättelser förs vidare endast via mun till mun mellan människor. Och boken lämnar intrycket av en vansinnigt märklig ofullständighet - som om var och en av dess hjältar kunde sammanställas till en trevolymsbok om "hur det verkligen var."
Med förlagets tillstånd publicerar vi ett kort utdrag om Lurk-gruppen som rånade ryska banker 2015-16.
Sommaren 2015 skapade den ryska centralbanken Fincert, ett centrum för att övervaka och svara på datorincidenter inom kredit- och finanssektorn. Genom den utbyter banker information om dataangrepp, analyserar dem och får rekommendationer om skydd från underrättelsebyråer. Det finns många sådana attacker: Sberbank i juni 2016 förlusterna av den ryska ekonomin från cyberbrottslighet uppgick till 600 miljarder rubel - samtidigt förvärvade banken ett dotterbolag, Bizon, som hanterar företagets informationssäkerhet.
I den första resultaten av Fincerts arbete (från oktober 2015 till mars 2016) beskriver 21 riktade attacker mot bankinfrastruktur; Till följd av dessa händelser inleddes 12 brottmål. De flesta av dessa attacker var arbetet av en grupp, som fick namnet Lurk för att hedra viruset med samma namn, utvecklat av hackare: med dess hjälp stals pengar från kommersiella företag och banker.
Polis och cybersäkerhetsspecialister har letat efter medlemmar i gruppen sedan 2011. Under en lång tid misslyckades sökningen - 2016 stal gruppen cirka tre miljarder rubel från ryska banker, mer än någon annan hackare.
Lurk-viruset skilde sig från de som utredarna hade stött på tidigare. När programmet kördes i laboratoriet för testning gjorde det ingenting (det var därför det hette Lurk - från engelskan "to hide"). Senare att Lurk är designat som ett modulärt system: programmet laddar gradvis ytterligare block med olika funktioner – från att fånga upp tecken som anges på tangentbordet, inloggningar och lösenord till möjligheten att spela in en videoström från skärmen på en infekterad dator.
För att sprida viruset hackade gruppen in på webbplatser som besöktes av bankanställda: från onlinemedia (till exempel RIA Novosti och Gazeta.ru) till redovisningsforum. Hackare utnyttjade en sårbarhet i systemet för att utbyta reklambanner och distribuerade skadlig programvara genom dem. På vissa webbplatser publicerade hackare en länk till viruset bara kort: på forumet för en av bokföringstidningarna dök det upp på vardagar vid lunchtid i två timmar, men även under denna tid hittade Lurk flera lämpliga offer.
Genom att klicka på bannern fördes användaren till en sida med bedrifter, varefter information började samlas in på den attackerade datorn – hackarna var främst intresserade av ett program för fjärrbank. Uppgifterna i bankbetalningsuppdrag ersattes med de erforderliga, och obehöriga överföringar skickades till konton hos företag som är associerade med koncernen. Enligt Sergei Golovanov från Kaspersky Lab använder grupper vanligtvis i sådana fall skalföretag, "vilket är samma sak som att överföra och ta ut": de mottagna pengarna inkasseras där, stoppas i påsar och lämnas bokmärken i stadsparker, dit hackare tar dem. Medlemmar i gruppen gömde flitigt sina handlingar: de krypterade all daglig korrespondens och registrerade domäner med falska användare. "Angripare använder trippel VPN, Tor, hemliga chattar, men problemet är att även en väl fungerande mekanism misslyckas", förklarar Golovanov. – Antingen faller VPN av, då visar sig den hemliga chatten inte vara så hemlig, då ringde man, istället för att ringa via Telegram, helt enkelt från telefonen. Detta är den mänskliga faktorn. Och när du har samlat på dig en databas i flera år måste du leta efter sådana olyckor. Efter detta kan brottsbekämpande myndigheter kontakta leverantörer för att ta reda på vem som besökt en sådan och en sådan IP-adress och vid vilken tidpunkt. Och sedan är fallet byggt.”
Förvar av hackare från Lurk som en actionfilm. Anställda vid ministeriet för nödsituationer skar av låsen i lanthus och lägenheter för hackare i olika delar av Jekaterinburg, varefter FSB-tjänstemän brast ut i skrik, tog tag i hackarna och kastade dem på golvet och sökte igenom lokalerna. Efter detta sattes de misstänkta på en buss, fördes till flygplatsen, gick längs landningsbanan och fördes in på ett lastplan, som lyfte mot Moskva.
Bilar hittades i garage som tillhör hackare - dyra Audi-, Cadillac- och Mercedes-modeller. En klocka täckt med 272 diamanter upptäcktes också. smycken värda 12 miljoner rubel och vapen. Totalt genomförde polisen cirka 80 husrannsakningar i 15 regioner och frihetsberövade cirka 50 personer.
I synnerhet greps alla tekniska specialister i gruppen. Ruslan Stoyanov, en anställd på Kaspersky Lab som var involverad i utredningen av Lurk-brott tillsammans med underrättelsetjänsterna, sa att ledningen letade efter många av dem på vanliga platser för att rekrytera personal för distansarbete. I annonserna stod det inget om att arbetet skulle vara olagligt och lönen på Lurk erbjöds över marknaden och det gick att jobba hemifrån.
"Varje morgon, utom helger, i olika delar av Ryssland och Ukraina satte sig individer vid sina datorer och började arbeta", beskrev Stoyanov. "Programmerare finjusterade funktionerna i nästa version [av viruset], testare kontrollerade det, sedan laddade personen som ansvarade för botnätet upp allt till kommandoservern, varefter automatiska uppdateringar skedde på botdatorerna."
Behandlingen av gruppens ärende i domstol påbörjades hösten 2017 och fortsatte i början av 2019 – på grund av ärendets volym som innehåller cirka sexhundra volymer. Hackeradvokat som döljer sitt namn att ingen av de misstänkta skulle göra en uppgörelse med utredningen, men några erkände en del av anklagelserna. "Våra kunder arbetade med att utveckla olika delar av Lurk-viruset, men många var helt enkelt inte medvetna om att det var en trojan", förklarade han. "Någon gjorde en del av algoritmerna som kunde fungera framgångsrikt i sökmotorer."
Fallet med en av gruppens hackare fördes i separata förfaranden och han fick 5 år, inklusive för att ha hackat nätverket på flygplatsen i Jekaterinburg.
Under de senaste decennierna i Ryssland lyckades specialtjänsterna besegra majoriteten av stora hackergrupper som bröt mot huvudregeln - "Arbeta inte på ru": Carberp (stal cirka en och en halv miljard rubel från ryska bankers konton), Anunak (stal mer än en miljard rubel från ryska bankers konton), Paunch (de skapade plattformar för attacker genom vilka upp till hälften av infektionerna över hela världen passerade) och så vidare. Inkomsten för sådana grupper är jämförbar med inkomsterna för vapenhandlare, och de består av dussintals personer förutom hackarna själva - säkerhetsvakter, chaufförer, kassörer, ägare av sajter där nya bedrifter dyker upp och så vidare.
Källa: will.com