摘自《入侵》一书。 俄罗斯黑客简史》
今年XNUMX月在Individuum出版社 记者丹尼尔·图罗夫斯基“入侵。 俄罗斯黑客简史。” 它包含了俄罗斯 IT 行业阴暗面的故事 - 一些人爱上了计算机,不仅学会了编程,还学会了抢劫。 这本书的发展就像现象本身一样——从青少年流氓行为和论坛派对到执法行动和国际丑闻。
大牛收集了几年的素材,一些故事 因重述丹尼尔的文章,《纽约时报》的安德鲁·克莱默 (Andrew Kramer) 于 2017 年获得普利策奖。
但黑客攻击——就像任何犯罪一样——是一个过于封闭的话题。 真实的故事只能通过人与人之间的口口相传。 这本书给人留下了一种极其好奇的不完整的印象——就好像书中的每一个英雄都可以被编成一本关于“真实情况”的三卷书。
经出版商许可,我们将发布有关 Lurk 组织的简短摘录,该组织在 2015-16 年抢劫了俄罗斯银行。
2015 年夏天,俄罗斯中央银行创建了 Fincert,这是一个监控和响应信贷和金融领域计算机事件的中心。 通过它,银行可以交换有关计算机攻击的信息,对其进行分析并从情报机构获得有关保护的建议。 此类攻击有很多:Sberbank,2016 年 XNUMX 月 俄罗斯经济因网络犯罪而遭受的损失达600亿卢布,同时该银行还收购了一家负责企业信息安全的子公司Bizon。
在第一个 Fincert 的工作结果(2015 年 2016 月至 21 年 12 月)描述了 XNUMX 起针对银行基础设施的针对性攻击; 这些事件引发了 XNUMX 起刑事案件。 这些攻击大部分是由一个组织所为,该组织被命名为 Lurk,以纪念由黑客开发的同名病毒:在该组织的帮助下,商业企业和银行的资金被盗。
自 2011 年以来,警方和网络安全专家一直在寻找该组织的成员。 很长一段时间以来,搜查行动均未成功——到 2016 年,该组织从俄罗斯银行窃取了约 XNUMX 亿卢布,比任何其他黑客都多。
潜伏病毒与调查人员之前遇到的病毒不同。 当该程序在实验室中运行进行测试时,它什么也没做(这就是为什么它被称为 Lurk - 来自英语“隐藏”)。 之后 Lurk 被设计为一个模块化系统:该程序逐渐加载具有各种功能的附加块 - 从拦截键盘上输入的字符、登录名和密码到从受感染计算机的屏幕记录视频流的能力。
为了传播病毒,该组织侵入了银行员工访问的网站:从在线媒体(例如 RIA Novosti 和 Gazeta.ru)到会计论坛。 黑客利用系统中的漏洞交换广告横幅并通过它们分发恶意软件。 在一些网站上,黑客只是简单地发布了该病毒的链接:在一本会计杂志的论坛上,该病毒在工作日的午餐时间出现了两个小时,但即使在这段时间里,Lurk 也发现了几个合适的受害者。
通过单击横幅,用户会被带到一个存在漏洞的页面,之后开始在受攻击的计算机上收集信息 - 黑客主要对远程银行程序感兴趣。 银行付款单中的详细信息被替换为所需的详细信息,未经授权的转账被发送到与该集团关联的公司的账户。 卡巴斯基实验室的谢尔盖·戈洛瓦诺夫表示,通常在这种情况下,团伙会使用空壳公司,“这与转账和套现是一样的”:收到的钱在那里兑现,装进袋子里,并在城市公园留下书签,黑客在那里拿走他们。 该组织的成员努力隐藏他们的行为:他们加密所有日常通信并用虚假用户注册域名。 “攻击者使用三重 VPN、Tor、秘密聊天,但问题是即使运行良好的机制也会失败,”Golovanov 解释道。 - 要么 VPN 失效,要么秘密聊天变得不那么秘密,然后,不再通过 Telegram 拨打电话,而是直接通过电话拨打电话。 这就是人的因素。 当你多年积累数据库时,你需要寻找此类意外情况。 此后,执法部门可以联系提供商,了解谁在何时访问了某个 IP 地址。 然后案件就成立了。”
Lurk 黑客被拘留 就像动作片一样。 紧急情况部的工作人员切断了叶卡捷琳堡不同地区的黑客乡村别墅和公寓的锁,随后FSB官员尖叫起来,抓住黑客并将他们扔在地板上,并搜查了房屋。 随后,嫌疑人被送上巴士,带到机场,沿着跑道走上一架货机,飞往莫斯科。
在黑客的车库里发现了一些汽车——昂贵的奥迪、凯迪拉克和梅赛德斯车型。 还发现了一块镶有 272 颗钻石的手表。 价值12万卢布的珠宝和武器。 警方总共在 80 个地区进行了约 15 次搜查,并拘留了约 50 人。
特别是,该团伙的所有技术专家均被逮捕。 卡巴斯基实验室员工鲁斯兰·斯托亚诺夫(Ruslan Stoyanov)与情报部门一起参与了“潜伏者”犯罪的调查,他表示,管理层在常规网站上寻找了许多潜伏者,以招聘远程工作人员。 广告上并没有说明这项工作是非法的,而且 Lurk 的工资高于市场工资,而且可以在家工作。
“每天早上,除了周末,在俄罗斯和乌克兰的不同地区,人们都会坐在电脑前开始工作,”斯托亚诺夫描述道。 “程序员调整了[病毒]下一版本的功能,测试人员对其进行了检查,然后僵尸网络的负责人将所有内容上传到命令服务器,之后僵尸计算机上发生了自动更新。”
由于案件体积庞大(约六百卷),法院于 2017 年秋季开始审理该集团的案件,并于 2019 年初继续审理。 黑客律师隐藏自己的名字 没有嫌疑人愿意接受调查,但一些人承认了部分指控。 “我们的客户确实开发了 Lurk 病毒的各个部分,但许多人根本不知道这是一个特洛伊木马,”他解释道。 “有人制作了可以在搜索引擎中成功运行的算法的一部分。”
该组织的一名黑客的案件被单独审理,他被判 5 年徒刑,其中包括黑客入侵叶卡捷琳堡机场网络的罪名。
近几十年来,俄罗斯的特种部队成功击败了大多数违反主要规则的大型黑客组织 - “不要在 ru 上工作”:Carberp(从俄罗斯银行账户中窃取了约 XNUMX 亿卢布), Anunak(从俄罗斯银行账户窃取了超过 XNUMX 亿卢布)、Paunch(他们创建了攻击平台,全球多达一半的感染通过这些平台传播)等等。 这些团体的收入与军火商的收入相当,除了黑客本身之外,他们还包括数十人——保安、司机、收银员、出现新漏洞的网站所有者等等。
来源: habr.com