“İstila” kitabından alıntı. Rus Hackerların Kısa Tarihi"
Bu yılın mayıs ayında Individuum yayınevinde gazeteci Daniil Turovsky “İstila. Rus Hackerların Kısa Tarihi." Rus BT endüstrisinin karanlık tarafından hikayeler içeriyor - bilgisayarlara aşık olan, sadece programlamayı değil, insanları soymayı da öğrenen adamlar hakkında. Kitap, tıpkı fenomenin kendisi gibi, gençlik holiganlığından ve forum partilerinden kolluk kuvvetleri operasyonlarına ve uluslararası skandallara kadar gelişiyor.
Daniel birkaç yıl boyunca materyal topladı, bazı hikayeler New York Times'tan Andrew Kramer, Daniel'in makalelerini yeniden anlattığı için 2017'de Pulitzer Ödülü'nü aldı.
Ancak bilgisayar korsanlığı - her suç gibi - fazlasıyla kapalı bir konu. Gerçek hikayeler insanlar arasında yalnızca ağızdan ağza aktarılır. Ve kitap delicesine tuhaf bir eksiklik izlenimi bırakıyor - sanki kahramanlarının her biri "gerçekte nasıl olduğunu" anlatan üç ciltlik bir kitapta toplanabilirmiş gibi.
Yayıncının izniyle 2015-16'da Rus bankalarını soyan Lurk grubu hakkında kısa bir alıntı yayınlıyoruz.
2015 yazında Rusya Merkez Bankası, kredi ve finans sektöründeki bilgisayar olaylarını izleme ve bunlara müdahale etme merkezi olan Fincert'i kurdu. Bu sayede bankalar bilgisayar saldırıları hakkında bilgi alışverişinde bulunuyor, bunları analiz ediyor ve istihbarat teşkilatlarından korunma konusunda tavsiyeler alıyor. Buna benzer pek çok saldırı var: Haziran 2016'da Sberbank Rusya ekonomisinin siber suçlardan kaynaklanan kayıpları 600 milyar rubleye ulaştı - aynı zamanda banka, işletmenin bilgi güvenliğiyle ilgilenen bir yan kuruluş olan Bizon'u satın aldı.
İlk Fincert'in çalışmasının sonuçları (Ekim 2015'ten Mart 2016'ya kadar) banka altyapısına yönelik 21 hedefli saldırıyı tanımlıyor; Bu olaylar sonucunda 12 ceza davası açıldı. Bu saldırıların çoğu, bilgisayar korsanları tarafından geliştirilen aynı adı taşıyan virüsün onuruna Lurk adı verilen bir grubun işiydi: onun yardımıyla ticari işletmelerden ve bankalardan para çalındı.
Polis ve siber güvenlik uzmanları 2011'den bu yana grubun üyelerini arıyor. Arama uzun süre başarısız oldu - 2016 yılına gelindiğinde grup Rus bankalarından diğer bilgisayar korsanlarından daha fazla yaklaşık üç milyar ruble çaldı.
Lurk virüsü, araştırmacıların daha önce karşılaştığı virüslerden farklıydı. Program laboratuvarda test için çalıştırıldığında hiçbir şey yapmadı (bu yüzden buna İngilizce'den "saklanmak" anlamına gelen Lurk adı verildi). Daha sonra Lurk'un modüler bir sistem olarak tasarlandığı: program, klavyede girilen karakterlerin, oturum açma bilgilerinin ve şifrelerin ele geçirilmesinden virüs bulaşmış bir bilgisayarın ekranından bir video akışını kaydetme yeteneğine kadar çeşitli işlevlere sahip ek blokları yavaş yavaş yükler.
Grup, virüsü yaymak için banka çalışanlarının ziyaret ettiği web sitelerini hackledi: çevrimiçi medyadan (örneğin RIA Novosti ve Gazeta.ru) muhasebe forumlarına kadar. Bilgisayar korsanları, reklam afişlerini değiş tokuş etmek ve bunlar aracılığıyla kötü amaçlı yazılım dağıtmak için sistemdeki bir güvenlik açığından yararlandı. Bazı sitelerde, bilgisayar korsanları virüsün bağlantısını yalnızca kısaca yayınladılar: muhasebe dergilerinden birinin forumunda hafta içi öğle yemeğinde iki saat boyunca göründü, ancak bu süre zarfında bile Lurk birkaç uygun kurban buldu.
Banner'a tıklandığında kullanıcı, açıkların olduğu bir sayfaya yönlendirildi ve ardından saldırıya uğrayan bilgisayarda bilgiler toplanmaya başlandı - bilgisayar korsanları esas olarak uzaktan bankacılık için bir programla ilgileniyordu. Banka ödeme talimatlarındaki detaylar gerekli bilgilerle değiştirilmiş, gruba bağlı şirketlerin hesaplarına yetkisiz transferler yapılmıştır. Kaspersky Lab'dan Sergei Golovanov'a göre, genellikle bu gibi durumlarda gruplar paravan şirketleri kullanıyor; bunlar "transfer etme ve nakde çevirmeyle aynı şey": Alınan para orada nakde çevriliyor, çantalara konuluyor ve bilgisayar korsanlarının götürdüğü şehir parklarına yer imleri bırakılıyor. onlar. Grubun üyeleri eylemlerini özenle sakladılar: tüm günlük yazışmaları ve kayıtlı alan adlarını sahte kullanıcılarla şifrelediler. Golovanov, "Saldırganlar üçlü VPN, Tor ve gizli sohbetler kullanıyor, ancak sorun şu ki, iyi işleyen bir mekanizma bile başarısız oluyor" diye açıklıyor. - Ya VPN kesilir, sonra gizli sohbetin o kadar da gizli olmadığı ortaya çıkar, sonra Telegram aracılığıyla aramak yerine sadece telefondan aranır. Bu insan faktörüdür. Ve yıllardır veri tabanı biriktiriyorsanız bu tür kazaları aramanız gerekir. Bundan sonra kolluk kuvvetleri, böyle bir IP adresini kimin ve ne zaman ziyaret ettiğini öğrenmek için sağlayıcılarla iletişime geçebilir. Ve sonra dava inşa edildi.
Lurk'tan hackerların gözaltına alınması aksiyon filmi gibi. Acil Durumlar Bakanlığı çalışanları, Yekaterinburg'un farklı yerlerinde hackerların kır evleri ve dairelerinin kilitlerini kestikten sonra FSB memurları çığlık atarak hackerları yakalayıp yere fırlattı ve binayı aradı. Daha sonra şüpheliler otobüse bindirilerek havalimanına götürüldü, pist boyunca yürüdü ve Moskova'ya hareket edecek kargo uçağına bindirildi.
Bilgisayar korsanlarına ait garajlarda pahalı Audi, Cadillac ve Mercedes modelleri arabalar bulundu. Ayrıca 272 elmasla süslenmiş bir saat de keşfedildi. 12 milyon ruble değerinde mücevher ve silahlar. Toplamda 80 bölgede 15'e yakın arama yapan polis, 50'ye yakın kişiyi gözaltına aldı.
Özellikle grubun tüm teknik uzmanları tutuklandı. İstihbarat servisleriyle birlikte Lurk suçlarının soruşturulmasında yer alan Kaspersky Lab çalışanı Ruslan Stoyanov, yönetimin uzaktan çalışma için personel alımı amacıyla bunların çoğunu düzenli sitelerde aradığını söyledi. Reklamlarda işin yasadışı olacağı, Lurk'ta maaşın piyasa fiyatının üzerinde teklif edildiği ve evden çalışmanın mümkün olduğu konusunda hiçbir şey yazmıyordu.
Stoyanov, "Rusya ve Ukrayna'nın farklı yerlerinde hafta sonları hariç her sabah bireyler bilgisayarlarının başına oturup çalışmaya başladılar" dedi. "Programcılar [virüsün] bir sonraki sürümünün işlevleri üzerinde ayarlamalar yaptı, test uzmanları bunu kontrol etti, ardından botnet'ten sorumlu kişi her şeyi komut sunucusuna yükledi ve ardından bot bilgisayarlarında otomatik güncellemeler gerçekleşti."
Grubun davasının mahkemede değerlendirilmesi 2017 sonbaharında başladı ve yaklaşık altı yüz ciltten oluşan davanın hacmi nedeniyle 2019'un başında devam etti. Hacker avukat adını saklıyor Şüphelilerden hiçbirinin soruşturmayla anlaşma yapmayacağını ancak bazıları suçlamaların bir kısmını kabul etti. "Müşterilerimiz Lurk virüsünün çeşitli bölümlerini geliştirmek için çalışmalar yaptı ancak birçoğu bunun bir Truva atı olduğunun farkında değildi" diye açıkladı. "Birisi arama motorlarında başarıyla çalışabilecek algoritmaların bir parçası oldu."
Grubun bilgisayar korsanlarından birinin davası ayrı bir davaya açıldı ve Yekaterinburg havaalanı ağını hacklemek de dahil olmak üzere 5 yıl hapis cezasına çarptırıldı.
Son yıllarda Rusya'da özel servisler, ana kuralı ihlal eden büyük hacker gruplarının çoğunu yenmeyi başardı - "Ru üzerinde çalışma": Carberp (Rus bankalarının hesaplarından yaklaşık bir buçuk milyar ruble çaldı), Anunak (Rus bankalarının hesaplarından bir milyar rubleden fazla çaldı), Paunch (dünya çapında enfeksiyonların yarısının geçtiği saldırılar için platformlar oluşturdular) vb. Bu tür grupların geliri, silah satıcılarının kazançlarıyla karşılaştırılabilir ve bunlar, bilgisayar korsanlarının yanı sıra güvenlik görevlileri, sürücüler, kasiyerler, yeni istismarların ortaya çıktığı sitelerin sahipleri vb. düzinelerce insandan oluşuyor.
Kaynak: habr.com