Уривок із книги «Вторгнення. Коротка історія російських хакерів»
У травні цього року у видавництві Individuum
Матеріали Данило збирав кілька років, деякі історії
Але хакерство — як і будь-яка злочинність — надто закрита тема. Справжні історії передаються лише з вуст у вуста між своїми. І книга залишає враження неповноти, що шалено розпалює цікавість — начебто про кожного її героя можна скласти тритомник того «як було насправді».
З дозволу видавництва, ми публікуємо невеликий уривок про угруповання Lurk, яке грабувала російські банки у 2015-16 роках.
Влітку 2015 року російський Центральний банк створив Fincert – центр моніторингу та реагування на комп'ютерні інциденти у кредитно-фінансовій сфері. Через нього банки обмінюються інформацією про комп'ютерні атаки, аналізують їх та отримують рекомендації щодо захисту від спецслужб. Таких атак багато: Ощадбанк у червні 2016-го
В першому
Учасників угруповання поліція та фахівці з кібербезпеки шукали з 2011 року. Довгий час пошуки були безуспішними — до 2016 угрупування викрало у російських банків близько трьох мільярдів рублів, більше, ніж будь-які інші хакери.
Вірус Lurk відрізнявся від тих, які слідчі зустрічали раніше. Коли програму запускали в лабораторії для тесту, вона нічого не робила (тому її і назвали Lurk-від англійської «затаїтися»). Пізніше
Щоб розповсюдити вірус, угруповання зламувало сайти, які відвідували співробітники банків: від інтернет-ЗМІ (наприклад, РІА «Новини» та «Газета.ру») до бухгалтерських форумів. Хакери використовували вразливість у системі обміну рекламними банерами і їх поширювали шкідливу програму. На деяких майданчиках хакери ставили посилання на вірус ненадовго: на форумі одного з журналів для бухгалтерів вона з'являлася в будні в обідню пору на дві години, але і за цей час Lurk знаходив кілька придатних жертв.
Натиснувши на банер, користувач потрапляв на сторінку з експлойтами, після чого на атакованому комп'ютері розпочинався збір інформації — переважно хакерів цікавила програма для дистанційного банківського обслуговування. Реквізити у платіжних дорученнях банків підмінялися на необхідні, і несанкціоновані перекази відправляли на рахунки підприємств, що з угрупованням. За словами Сергія Голованова з «Лабораторії Касперського», зазвичай у таких випадках угруповання користуються компаніями-одноденками, «яким все одно, що переводити і переводити в готівку»: отримані гроші там переводять у готівку, розкладають по сумках і залишають закладки в міських парках, де їх забирають хакери . Члени угруповання старанно приховували свої дії: шифрували все повсякденне листування, реєстрували домени на фальшивих користувачів. «Зловмисники користуються потрійним VPN, Тором, секретними чатами, але проблема в тому, що навіть налагоджений механізм дає збій, — пояснює Голованов. — Чи то VPN відвалиться, чи то секретний чат виявляється не таким секретним, то один замість того, щоб зателефонувати через Telegram, зателефонував просто з телефону. Це є людський фактор. І коли в тебе збирається роками база даних, потрібно шукати такі випадковості. Після цього правоохоронці можуть звертатися до провайдерів, щоб дізнатися, хто ходив на таку IP-адресу і в який час. І тоді вибудовується справа».
Затримання хакерів із Lurk
У гаражах, що належать хакерам, знайшли автомобілі - дорогі моделі Audi, "кадилак", "мерседесів". Також виявили годинник, інкрустований 272 діамантами.
Заарештовано, зокрема, всіх технічних фахівців угруповання. Руслан Стоянов, співробітник «Лабораторії Касперського», який займався розслідуванням злочинів Lurk разом зі спецслужбами, розповідав, що багатьох із них керівництво шукало на звичайних сайтах для підбору персоналу для віддаленої роботи. Про те, що робота буде нелегальною, в оголошеннях нічого не говорилося, а зарплату в Lurk пропонували вище за ринкову, причому працювати можна було з дому.
«Щранку, крім вихідних, у різних частинах Росії та України окремі особи сідали за комп'ютери і починали працювати, — описував Стоянов. — Програмісти докручували функції чергової версії [вірусу], тестувальники її перевіряли, потім відповідальний ботнет завантажував усе на командний сервер, після чого відбувалося автоматичне оновлення на комп'ютерах-ботах».
Розгляд справи угруповання в суді розпочався ще восени 2017 року і продовжувався на початку 2019 року через обсяг справи, в якій близько шестисот томів. Адвокат хакерів, який приховує своє ім'я,
Справу одного з хакерів угруповання вивели в окреме провадження, і він отримав 5 років, у тому числі за злом мережі аеропорту Єкатеринбурга.
В останні десятиліття в Росії спецслужбам вдалося розгромити більшість великих угруповань хакерів, які порушили головне правило — «Не працювати по ru»: Carberp (викрали близько півтора мільярда рублів з рахунків російських банків), Anunak (викрали більше мільярда рублів з рахунків російських банків), Paunch (створювали платформи для атак, через які проходили до половини заражень по всьому світу) і таке інше. Доходи таких угруповань можна порівняти із заробітками торговців зброєю, а складаються в них десятки людей, крім самих хакерів — охоронці, водії, обнальники, власники сайтів, на яких з'являються нові експлойти, і так далі.
Джерело: habr.com