Уривок із книги «Вторгнення. Коротка історія російських хакерів»
У травні цього року у видавництві Individuum журналіста Данила Туровського «Вторгнення. Коротка історія російських хакерів». У ній зібрані історії з темного боку російської IT-індустрії — про хлопців, котрі полюбили комп'ютери, навчилися не просто програмувати, а грабувати людей. Книжка розвивається, як і саме явище — від підліткових хуліганств та форумних тусовок до силових операцій та міжнародних скандалів.
Матеріали Данило збирав кілька років, деякі історії , за перекази статей Данила Ендрю Крамер із New York Times у 2017 році отримав Пулітцерівську премію.
Але хакерство — як і будь-яка злочинність — надто закрита тема. Справжні історії передаються лише з вуст у вуста між своїми. І книга залишає враження неповноти, що шалено розпалює цікавість — начебто про кожного її героя можна скласти тритомник того «як було насправді».
З дозволу видавництва, ми публікуємо невеликий уривок про угруповання Lurk, яке грабувала російські банки у 2015-16 роках.
Влітку 2015 року російський Центральний банк створив Fincert – центр моніторингу та реагування на комп'ютерні інциденти у кредитно-фінансовій сфері. Через нього банки обмінюються інформацією про комп'ютерні атаки, аналізують їх та отримують рекомендації щодо захисту від спецслужб. Таких атак багато: Ощадбанк у червні 2016-го втрати економіки Росії від кіберзлочинності в 600 мільярдів рублів - тоді ж у банку з'явилася дочірня компанія "Бізон", яка займається інформаційною безпекою підприємства.
В першому про результати роботи Fincert (з жовтня 2015-го до березня 2016 року) розповідається про 21 цільову атаку на інфраструктуру банків; за підсумками цих подій було порушено 12 кримінальних справ. Більшість цих атак була справою рук одного угруповання, яке отримало назву Lurk на честь однойменного вірусу, розробленого хакерами: з його допомогою у комерційних підприємств та банків викрадали гроші.
Учасників угруповання поліція та фахівці з кібербезпеки шукали з 2011 року. Довгий час пошуки були безуспішними — до 2016 угрупування викрало у російських банків близько трьох мільярдів рублів, більше, ніж будь-які інші хакери.
Вірус Lurk відрізнявся від тих, які слідчі зустрічали раніше. Коли програму запускали в лабораторії для тесту, вона нічого не робила (тому її і назвали Lurk-від англійської «затаїтися»). Пізніше , Що Lurk влаштований як модульна система: програма поступово завантажує додаткові блоки з різним функціоналом - від перехоплення символів, логінів і паролів, що вводяться на клавіатурі, до можливості записувати відеопотік з екрана зараженого комп'ютера.
Щоб розповсюдити вірус, угруповання зламувало сайти, які відвідували співробітники банків: від інтернет-ЗМІ (наприклад, РІА «Новини» та «Газета.ру») до бухгалтерських форумів. Хакери використовували вразливість у системі обміну рекламними банерами і їх поширювали шкідливу програму. На деяких майданчиках хакери ставили посилання на вірус ненадовго: на форумі одного з журналів для бухгалтерів вона з'являлася в будні в обідню пору на дві години, але і за цей час Lurk знаходив кілька придатних жертв.
Натиснувши на банер, користувач потрапляв на сторінку з експлойтами, після чого на атакованому комп'ютері розпочинався збір інформації — переважно хакерів цікавила програма для дистанційного банківського обслуговування. Реквізити у платіжних дорученнях банків підмінялися на необхідні, і несанкціоновані перекази відправляли на рахунки підприємств, що з угрупованням. За словами Сергія Голованова з «Лабораторії Касперського», зазвичай у таких випадках угруповання користуються компаніями-одноденками, «яким все одно, що переводити і переводити в готівку»: отримані гроші там переводять у готівку, розкладають по сумках і залишають закладки в міських парках, де їх забирають хакери . Члени угруповання старанно приховували свої дії: шифрували все повсякденне листування, реєстрували домени на фальшивих користувачів. «Зловмисники користуються потрійним VPN, Тором, секретними чатами, але проблема в тому, що навіть налагоджений механізм дає збій, — пояснює Голованов. — Чи то VPN відвалиться, чи то секретний чат виявляється не таким секретним, то один замість того, щоб зателефонувати через Telegram, зателефонував просто з телефону. Це є людський фактор. І коли в тебе збирається роками база даних, потрібно шукати такі випадковості. Після цього правоохоронці можуть звертатися до провайдерів, щоб дізнатися, хто ходив на таку IP-адресу і в який час. І тоді вибудовується справа».
Затримання хакерів із Lurk як бойовик. Співробітники МНС зрізали замки у заміських будинках та квартирах хакерів у різних частинах Єкатеринбургу, після чого співробітники ФСБ із криками вривалися всередину, хапали хакерів та кидали на підлогу, обшукували приміщення. Після цього підозрюваних посадили в автобус, привезли до аеропорту, провели злітно-посадковою смугою та завели у вантажний літак, який вилетів до Москви.
У гаражах, що належать хакерам, знайшли автомобілі - дорогі моделі Audi, "кадилак", "мерседесів". Також виявили годинник, інкрустований 272 діамантами. прикраси на 12 мільйонів рублів та зброю. Загалом поліцейські провели близько 80 обшуків у 15 регіонах та затримали близько 50 осіб.
Заарештовано, зокрема, всіх технічних фахівців угруповання. Руслан Стоянов, співробітник «Лабораторії Касперського», який займався розслідуванням злочинів Lurk разом зі спецслужбами, розповідав, що багатьох із них керівництво шукало на звичайних сайтах для підбору персоналу для віддаленої роботи. Про те, що робота буде нелегальною, в оголошеннях нічого не говорилося, а зарплату в Lurk пропонували вище за ринкову, причому працювати можна було з дому.
«Щранку, крім вихідних, у різних частинах Росії та України окремі особи сідали за комп'ютери і починали працювати, — описував Стоянов. — Програмісти докручували функції чергової версії [вірусу], тестувальники її перевіряли, потім відповідальний ботнет завантажував усе на командний сервер, після чого відбувалося автоматичне оновлення на комп'ютерах-ботах».
Розгляд справи угруповання в суді розпочався ще восени 2017 року і продовжувався на початку 2019 року через обсяг справи, в якій близько шестисот томів. Адвокат хакерів, який приховує своє ім'я, , що ніхто з підозрюваних не піде на угоду зі слідством, але дехто визнав частину звинувачень. «Наші клієнти справді виконували роботи з розробки різних частин вірусу Lurk, але багато хто просто не був обізнаний про те, що це троянська програма, — пояснював він. — Хтось робив частину алгоритмів, які могли успішно працювати і в пошукових системах».
Справу одного з хакерів угруповання вивели в окреме провадження, і він отримав 5 років, у тому числі за злом мережі аеропорту Єкатеринбурга.
В останні десятиліття в Росії спецслужбам вдалося розгромити більшість великих угруповань хакерів, які порушили головне правило — «Не працювати по ru»: Carberp (викрали близько півтора мільярда рублів з рахунків російських банків), Anunak (викрали більше мільярда рублів з рахунків російських банків), Paunch (створювали платформи для атак, через які проходили до половини заражень по всьому світу) і таке інше. Доходи таких угруповань можна порівняти із заробітками торговців зброєю, а складаються в них десятки людей, крім самих хакерів — охоронці, водії, обнальники, власники сайтів, на яких з'являються нові експлойти, і так далі.
Джерело: habr.com