摘自《入侵》一書。 俄羅斯駭客簡史》
今年XNUMX月在Individuum出版社 記者丹尼爾·圖羅夫斯基“入侵。 俄羅斯黑客簡史。” 它包含了俄羅斯 IT 行業陰暗面的故事 - 有些人愛上了計算機,不僅學會了編程,還學會了搶劫。 這本書的發展就像現象本身一樣——從青少年流氓行為和論壇派對到執法行動和國際醜聞。
大牛收集了幾年的素材,一些故事 因重述丹尼爾的文章,《紐約時報》的安德魯‧克萊默 (Andrew Kramer) 於 2017 年獲得普立茲獎。
但與任何犯罪一樣,駭客攻擊是一個過於封閉的話題。 真實的故事只能透過人與人之間的口耳相傳。 這本書給人留下了一種極其好奇的不完整的印象——就好像書中的每個英雄都可以被編成一本關於「真實情況」的三卷書。
經出版商許可,我們將發布有關 Lurk 組織的簡短摘錄,該組織在 2015-16 年搶劫了俄羅斯銀行。
2015年夏天,俄羅斯中央銀行創建了Fincert,這是一個監控和回應信貸和金融領域電腦事件的中心。 透過它,銀行可以交換有關電腦攻擊的信息,對其進行分析並從情報機構獲得有關保護的建議。 這類攻擊有很多:Sberbank,2016 年 XNUMX 月 俄羅斯經濟因網路犯罪而遭受的損失達600億盧布,同時該銀行也收購了一家負責企業資訊安全的子公司Bizon。
在第一個 Fincert 的工作結果(2015 年 2016 月至 21 年 12 月)描述了 XNUMX 起針對銀行基礎設施的針對性攻擊; 這些事件引發了 XNUMX 起刑事案件。 這些攻擊大部分是由一個組織所為,該組織被命名為 Lurk,以紀念由駭客開發的同名病毒:在該組織的幫助下,商業企業和銀行的資金被盜。
自 2011 年以來,警方和網路安全專家一直在尋找該組織的成員。 很長一段時間以來,搜索行動都沒有成功——到 2016 年,該組織從俄羅斯銀行竊取了約 XNUMX 億盧布,比其他任何駭客都多。
潛伏病毒與調查人員先前遇到的病毒不同。 當該程序在實驗室中運行進行測試時,它什麼也沒做(這就是為什麼它被稱為 Lurk - 來自英語“隱藏”)。 之後 Lurk 被設計為一個模組化系統:該程式逐漸加載具有各種功能的附加區塊 - 從攔截鍵盤上輸入的字元、登入名稱和密碼到從受感染電腦的螢幕記錄視訊串流的能力。
為了傳播病毒,該組織侵入了銀行員工造訪的網站:從線上媒體(例如 RIA Novosti 和 Gazeta.ru)到會計論壇。 駭客利用系統中的漏洞交換廣告橫幅並透過它們分發惡意軟體。 在一些網站上,駭客只是簡單地發布了該病毒的連結:在一本會計雜誌的論壇上,該病毒在工作日的午餐時間出現了兩個小時,但即使在這段時間裡,Lurk 也發現了幾個合適的受害者。
透過點擊橫幅,使用者會被帶到一個存在漏洞的頁面,之後開始在受攻擊的電腦上收集資訊 - 駭客主要對遠端銀行程式感興趣。 銀行付款單中的詳細資訊被替換為所需的詳細信息,未經授權的轉帳被發送到與該集團關聯的公司的帳戶。 卡巴斯基實驗室的謝爾蓋·戈洛瓦諾夫表示,通常在這種情況下,團夥會使用空殼公司,「這與轉帳和套現是一樣的」:收到的錢在那裡兌現,裝進袋子裡,並在城市公園留下書籤,黑客在那裡拿走他們 。 該組織的成員努力隱藏他們的行為:他們加密所有日常通訊並用虛假用戶註冊網域。 「攻擊者使用三重 VPN、Tor、秘密聊天,但問題是即使運作良好的機制也會失敗,」Golovanov 解釋道。 - 要么 VPN 失效,要么秘密聊天變得不那麼秘密,然後,不再透過 Telegram 撥打電話,而是直接透過電話撥打電話。 這就是人的因素。 當你多年累積資料庫時,你需要尋找此類意外情況。 此後,執法部門可以聯繫提供者,找出誰在何時訪問了某個 IP 位址。 然後案件就成立了。”
Lurk 駭客被拘留 就像動作片一樣。 緊急情況部的工作人員切斷了葉卡捷琳堡不同地區的黑客鄉村別墅和公寓的鎖,隨後FSB官員尖叫起來,抓住駭客並將他們扔在地板上,並搜查了房屋。 隨後,嫌犯被送上巴士,帶到機場,沿著跑道走上一架貨機,飛往莫斯科。
在駭客的車庫裡發現了一些汽車——昂貴的奧迪、凱迪拉克和梅賽德斯車型。 還發現了一隻鑲有 272 顆鑽石的手錶。 價值12萬盧布的珠寶和武器。 警方總共在 80 個地區進行了約 15 次搜查,並拘留了約 50 人。
特別是,該團伙的所有技術專家均被逮捕。 卡巴斯基實驗室員工魯斯蘭·斯托亞諾夫(Ruslan Stoyanov)與情報部門一起參與了「潛伏者」犯罪的調查,他表示,管理層在常規網站上尋找了許多潛伏者,以招聘遠端工作人員。 廣告上並沒有說明這項工作是非法的,而且 Lurk 的工資高於市場工資,而且可以在家工作。
「每天早上,除了週末,在俄羅斯和烏克蘭的不同地區,人們都會坐在電腦前開始工作,」斯托亞諾夫描述道。 “程式設計師調整了[病毒]下一版本的功能,測試人員對其進行了檢查,然後殭屍網路的負責人將所有內容上傳到命令伺服器,之後殭屍電腦上發生了自動更新。”
由於案件體積龐大(約六百卷),法院於 2017 年秋季開始審理該集團的案件,並於 2019 年初繼續審理。 駭客律師隱藏自己的名字 沒有嫌疑人願意接受調查,但有些人承認了部分指控。 「我們的客戶確實開發了 Lurk 病毒的各個部分,但許多人根本不知道這是一個特洛伊木馬,」他解釋道。 “有人製作了可以在搜尋引擎中成功運行的演算法的一部分。”
該組織的一名駭客的案件被單獨審理,他被判 5 年徒刑,其中包括駭客入侵葉卡捷琳堡機場網路的罪名。
近幾十年來,俄羅斯的特種部隊成功擊敗了大多數違反主要規則的大型黑客組織 - “不要在 ru 上工作”:Carberp(從俄羅斯銀行帳戶中竊取了約 XNUMX 億盧布), Anunak(從俄羅斯銀行帳戶竊取了超過XNUMX 億盧布)、Paunch(他們創建了攻擊平台,全球多達一半的感染透過這些平台傳播)等等。 這些團體的收入與軍火商的收入相當,除了駭客本身之外,他們還包括數十人——保全、司機、收銀員、出現新漏洞的網站所有者等等。
來源: www.habr.com