Trích từ cuốn sách “Cuộc xâm lược. Sơ lược về lịch sử tin tặc Nga"
Tháng XNUMX năm nay tại nhà xuất bản Individuum nhà báo Daniil Turovsky “Cuộc xâm lược. Sơ lược về lịch sử tin tặc Nga." Nó chứa đựng những câu chuyện từ mặt tối của ngành CNTT Nga - về những anh chàng yêu máy tính, không chỉ học lập trình mà còn học cách cướp người. Cuốn sách phát triển, giống như chính hiện tượng này - từ chủ nghĩa côn đồ của thanh thiếu niên và các đảng phái diễn đàn đến các hoạt động thực thi pháp luật và các vụ bê bối quốc tế.
Daniel đã sưu tầm tài liệu trong nhiều năm, một số câu chuyện , nhờ kể lại các bài báo của Daniel, Andrew Kramer của New York Times đã nhận được giải Pulitzer năm 2017.
Nhưng hack, giống như bất kỳ tội phạm nào, là một chủ đề quá khép kín. Những câu chuyện có thật chỉ được truyền miệng giữa người với người. Và cuốn sách để lại ấn tượng về một sự thiếu hoàn thiện cực kỳ gây tò mò - như thể mỗi anh hùng của nó có thể được biên soạn thành một cuốn sách ba tập về “mọi chuyện thực sự diễn ra như thế nào”.
Với sự cho phép của nhà xuất bản, chúng tôi đang xuất bản một đoạn trích ngắn về nhóm Lurk đã cướp ngân hàng Nga vào năm 2015-16.
Vào mùa hè năm 2015, Ngân hàng Trung ương Nga đã thành lập Fincert, một trung tâm giám sát và ứng phó các sự cố máy tính trong lĩnh vực tài chính và tín dụng. Thông qua đó, các ngân hàng trao đổi thông tin về các cuộc tấn công máy tính, phân tích chúng và nhận được khuyến nghị về cách bảo vệ từ các cơ quan tình báo. Có rất nhiều cuộc tấn công như vậy: Sberbank vào tháng 2016 năm XNUMX Thiệt hại của nền kinh tế Nga do tội phạm mạng lên tới 600 tỷ rúp - cùng lúc đó ngân hàng mua lại một công ty con là Bizon, chuyên giải quyết vấn đề bảo mật thông tin của doanh nghiệp.
Trước hết kết quả nghiên cứu của Fincert (từ tháng 2015 năm 2016 đến tháng 21 năm 12) mô tả XNUMX cuộc tấn công có chủ đích vào cơ sở hạ tầng ngân hàng; Kết quả của những sự kiện này là XNUMX vụ án hình sự đã được khởi xướng. Hầu hết các cuộc tấn công này là công việc của một nhóm, được đặt tên là Lurk để vinh danh loại virus cùng tên, do tin tặc phát triển: với sự trợ giúp của nó, tiền đã bị đánh cắp từ các doanh nghiệp thương mại và ngân hàng.
Cảnh sát và các chuyên gia an ninh mạng đã truy lùng các thành viên của nhóm này từ năm 2011. Trong một thời gian dài, cuộc tìm kiếm không thành công - đến năm 2016, nhóm này đã đánh cắp khoảng ba tỷ rúp từ các ngân hàng Nga, nhiều hơn bất kỳ tin tặc nào khác.
Virus Lurk khác với những loại virus mà các nhà điều tra từng gặp trước đây. Khi chương trình được chạy trong phòng thí nghiệm để thử nghiệm, nó không làm gì cả (đó là lý do tại sao nó được gọi là Lurk - từ tiếng Anh có nghĩa là "ẩn náu"). Sau đó Lurk được thiết kế như một hệ thống mô-đun: chương trình tải dần dần các khối bổ sung với nhiều chức năng khác nhau - từ chặn các ký tự được nhập trên bàn phím, thông tin đăng nhập và mật khẩu cho đến khả năng ghi luồng video từ màn hình của máy tính bị nhiễm virus.
Để phát tán vi-rút, nhóm đã tấn công vào các trang web được nhân viên ngân hàng truy cập: từ phương tiện truyền thông trực tuyến (ví dụ: RIA Novosti và Gazeta.ru) đến các diễn đàn kế toán. Tin tặc khai thác lỗ hổng trong hệ thống để trao đổi biểu ngữ quảng cáo và phát tán phần mềm độc hại thông qua chúng. Trên một số trang web, tin tặc chỉ đăng một liên kết ngắn gọn đến virus: trên diễn đàn của một trong những tạp chí kế toán, nó xuất hiện vào giờ ăn trưa các ngày trong tuần trong hai giờ, nhưng ngay cả trong thời gian này, Lurk đã tìm thấy một số nạn nhân thích hợp.
Bằng cách nhấp vào biểu ngữ, người dùng được đưa đến một trang có các cách khai thác, sau đó thông tin bắt đầu được thu thập trên máy tính bị tấn công - tin tặc chủ yếu quan tâm đến một chương trình ngân hàng từ xa. Thông tin chi tiết trong lệnh thanh toán ngân hàng đã được thay thế bằng thông tin bắt buộc và chuyển khoản trái phép được gửi đến tài khoản của các công ty liên kết với nhóm. Theo Sergei Golovanov từ Kaspersky Lab, thông thường trong những trường hợp như vậy, các nhóm sử dụng các công ty vỏ bọc, “giống như chuyển khoản và rút tiền”: số tiền nhận được sẽ được chuyển thành tiền mặt tại đó, cho vào túi và để lại dấu trang trong các công viên thành phố, nơi tin tặc chiếm lấy. họ . Các thành viên của nhóm siêng năng che giấu hành động của mình: họ mã hóa tất cả thư từ hàng ngày và tên miền đã đăng ký với người dùng giả mạo. Golovanov giải thích: “Những kẻ tấn công sử dụng ba VPN, Tor, các cuộc trò chuyện bí mật, nhưng vấn đề là ngay cả một cơ chế hoạt động tốt cũng không thành công”. - Hoặc VPN bị hỏng, khi đó cuộc trò chuyện bí mật hóa ra không quá bí mật, sau đó một người, thay vì gọi qua Telegram, lại gọi đơn giản từ điện thoại. Đây chính là yếu tố con người. Và khi bạn đã tích lũy cơ sở dữ liệu trong nhiều năm, bạn cần tìm kiếm những tai nạn như vậy. Sau đó, cơ quan thực thi pháp luật có thể liên hệ với các nhà cung cấp để tìm ra ai đã truy cập địa chỉ IP đó và vào thời gian nào. Và sau đó vụ án được xây dựng.”
Bắt giữ hacker từ Lurk như phim hành động. Các nhân viên của Bộ Tình trạng Khẩn cấp đã cắt khóa các ngôi nhà và căn hộ ở nông thôn của tin tặc ở các khu vực khác nhau của Yekaterinburg, sau đó các sĩ quan FSB hét lên, túm lấy tin tặc và ném chúng xuống sàn và khám xét cơ sở. Sau đó, các nghi phạm được đưa lên xe buýt, đưa đến sân bay, đi dọc đường băng và đưa lên máy bay chở hàng cất cánh đi Moscow.
Ô tô được tìm thấy trong gara của tin tặc - những mẫu xe Audi, Cadillac và Mercedes đắt tiền. Một chiếc đồng hồ nạm 272 viên kim cương cũng được phát hiện. đồ trang sức trị giá 12 triệu rúp và vũ khí. Tổng cộng, cảnh sát đã tiến hành khoảng 80 cuộc khám xét ở 15 khu vực và bắt giữ khoảng 50 người.
Đặc biệt, toàn bộ chuyên gia kỹ thuật của nhóm đều bị bắt giữ. Ruslan Stoyanov, một nhân viên của Kaspersky Lab, người từng tham gia điều tra tội phạm Lurk cùng với các cơ quan tình báo, cho biết ban quản lý đã tìm kiếm nhiều người trong số họ trên các trang web thông thường để tuyển dụng nhân sự làm việc từ xa. Các quảng cáo không nói bất cứ điều gì về thực tế rằng công việc này là bất hợp pháp và mức lương ở Lurk được đưa ra cao hơn thị trường và có thể làm việc tại nhà.
Stoyanov mô tả: “Mỗi buổi sáng, ngoại trừ cuối tuần, ở các vùng khác nhau của Nga và Ukraine, mọi người ngồi xuống máy tính và bắt đầu làm việc”. “Các lập trình viên đã điều chỉnh các chức năng của phiên bản tiếp theo [của virus], những người kiểm tra đã kiểm tra nó, sau đó người chịu trách nhiệm về mạng botnet tải mọi thứ lên máy chủ chỉ huy, sau đó các bản cập nhật tự động diễn ra trên các máy tính bot.”
Việc xem xét vụ án của nhóm tại tòa bắt đầu vào mùa thu năm 2017 và tiếp tục vào đầu năm 2019 - do số lượng của vụ án bao gồm khoảng sáu trăm tập. Luật sư hacker giấu tên rằng không ai trong số các nghi phạm sẽ thỏa thuận với cuộc điều tra, nhưng một số đã thừa nhận một phần cáo buộc. Ông giải thích: “Các khách hàng của chúng tôi đã thực hiện công việc phát triển nhiều phần khác nhau của virus Lurk, nhưng nhiều người chỉ đơn giản là không biết rằng đó là một Trojan”. “Ai đó đã tạo ra một phần thuật toán có thể hoạt động thành công trên các công cụ tìm kiếm.”
Vụ án của một trong những hacker của nhóm đã được đưa ra các thủ tục tố tụng riêng biệt và anh ta phải nhận 5 năm tù, bao gồm cả tội hack mạng của sân bay Yekaterinburg.
Trong những thập kỷ gần đây ở Nga, các dịch vụ đặc biệt đã tìm cách đánh bại phần lớn các nhóm hacker lớn vi phạm quy tắc chính - “Không hoạt động trên ru”: Carberp (đã đánh cắp khoảng một tỷ rưỡi rúp từ tài khoản của các ngân hàng Nga), Anunak (đã đánh cắp hơn một tỷ rúp từ tài khoản của các ngân hàng Nga), Paunch (họ đã tạo ra nền tảng cho các cuộc tấn công mà qua đó có tới một nửa số ca lây nhiễm trên toàn thế giới đã vượt qua), v.v. Thu nhập của những nhóm như vậy có thể so sánh với thu nhập của những người buôn bán vũ khí và họ bao gồm hàng chục người, ngoài chính tin tặc - nhân viên bảo vệ, tài xế, nhân viên thu ngân, chủ sở hữu các trang web nơi xuất hiện các hoạt động khai thác mới, v.v.
Nguồn: www.habr.com