Вирус Lurk взламывал банки, пока его писали обычные удаленщики по найму

Отрывок из книги «Вторжение. Краткая история русских хакеров»


image

В мае этого года в издательстве Individuum вышла книга журналиста Даниила Туровского «Вторжение. Краткая история русских хакеров». В ней собраны истории с темной стороны российской IT-индустрии — о ребятах, которые полюбив компьютеры, научились не просто программировать, а грабить людей. Книга развивается, как и самое явление — от подростковых хулиганств и форумных тусовок до силовых операций и международных скандалов.

Материалы Даниил собирал несколько лет, некоторые истории выходили на «Медузе», за пересказы статей Даниила Эндрю Крамер из New York Times в 2017 году получил Пулитцеровскую премию.

Но хакерство — как и любая преступность — слишком закрытая тема. Настоящие истории передаются только из уст в уста между своими. И книга оставляет впечатление безумно разжигающей любопытство неполноты — как будто о каждом ее герое можно сложить трехтомник того «как было на самом деле».

С разрешения издательства, мы публикуем небольшой отрывок о группировке Lurk, которая грабила российские банки в 2015–16 годах.


Летом 2015 года российский Центральный банк создал Fincert — центр мониторинга и реагирования на компьютерные инциденты в кредитно-финансовой сфере. Через него банки обмениваются информацией о компьютерных атаках, анализируют их и получают рекомендации по защите от спецслужб. Таких атак много: Сбербанк в июне 2016-го оценил потери экономики России от киберпреступности в 600 миллиардов рублей — тогда же у банка появилась дочерняя компания «Бизон», занимающаяся информационной безопасностью предприятия.

В первом докладе о результатах работы Fincert (с октября 2015-го по март 2016 года) рассказывается о 21 целевой атаке на инфраструктуру банков; по итогам этих событий было возбуждено 12 уголовных дел. Большая часть этих атак была делом рук одной группировки, которая получила название Lurk в честь одноименного вируса, разработанного хакерами: с его помощью у коммерческих предприятий и банков похищали деньги.

Участников группировки полиция и специалисты по кибербезопасности искали с 2011 года. Долгое время поиски были безуспешными — к 2016-му группировка похитила у российских банков около трех миллиардов рублей, больше, чем любые другие хакеры.
Вирус Lurk отличался от тех, которые следователи встречали раньше. Когда программу запускали в лаборатории для теста, она ничего не делала (потому ее и назвали Lurk—от английского «затаиться»). Позже оказалось, что Lurk устроен как модульная система: программа постепенно загружает дополнительные блоки с различным функционалом — от перехвата вводимых на клавиатуре символов, логинов и паролей до возможности записывать видеопоток с экрана зараженного компьютера.

Чтобы распространить вирус, группировка взламывала сайты, которые посещали сотрудники банков: от интернет-СМИ (например, РИА «Новости» и «Газета.ру») до бухгалтерских форумов. Хакеры использовали уязвимость в системе обмена рекламными баннерами и через них распространяли вредоносную программу. На некоторых площадках хакеры ставили ссылку на вирус ненадолго: на форуме одного из журналов для бухгалтеров она появлялась в будние дни в обеденное время на два часа, но и за это время Lurk находил несколько подходящих жертв.

Щелкнув на баннер, пользователь попадал на страницу с эксплойтами, после чего на атакованном компьютере начинался сбор информации — главным образом хакеров интересовала программа для дистанционного банковского обслуживания. Реквизиты в платежных поручениях банков подменялись на нужные, и несанкционированные переводы отправляли на счета компаний, связанных с группировкой. По словам Сергея Голованова из «Лаборатории Касперского», обычно в таких случаях группировки пользуются компаниями-однодневками, «которым все равно, что переводить и обналичивать»: полученные деньги там обналичивают, раскладывают по сумкам и оставляют закладки в городских парках, где их забирают хакеры. Члены группировки старательно скрывали свои действия: шифровали всю повседневную переписку, регистрировали домены на фальшивых пользователей. «Злоумышленники пользуются тройным VPN, «Тором», секретными чатами, но проблема в том, что даже отлаженный механизм дает сбой, — объясняет Голованов. — То VPN отвалится, то секретный чат оказывается не таким секретным, то один вместо того, чтобы позвонить через Telegram, позвонил просто с телефона. Это человеческий фактор. И когда у тебя копится годами база данных, нужно искать такие случайности. После этого правоохранители могут обращаться к провайдерам, чтобы узнать, кто ходил на такой-то IP-адрес и в какое время. И тогда выстраивается дело».

Задержание хакеров из Lurk выглядело как боевик. Сотрудники МЧС срезали замки в загородных домах и квартирах хакеров в разных частях Екатеринбурга, после чего сотрудники ФСБ с криками врывались внутрь, хватали хакеров и бросали на пол, обыскивали помещения. После этого подозреваемых посадили в автобус, привезли в аэропорт, провели по взлетно-посадочной полосе и завели в грузовой самолет, который вылетел в Москву.

В гаражах, принадлежащих хакерам, нашли автомобили — дорогие модели Audi, «кадиллаков», «мерседесов». Также обнаружили часы, инкрустированные 272 бриллиантами. Изъяли украшения на 12 миллионов рублей и оружие. Всего полицейские провели около 80 обысков в 15 регионах и задержали около 50 человек.

Арестованы были, в частности, все технические специалисты группировки. Руслан Стоянов, сотрудник «Лаборатории Касперского», занимавшийся расследованием преступлений Lurk вместе со спецслужбами, рассказывал, что многих из них руководство искало на обычных сайтах по подбору персонала для удаленной работы. О том, что работа будет нелегальной, в объявлениях ничего не говорилось, а зарплату в Lurk предлагали выше рыночной, причем работать можно было из дома.

«Каждое утро, кроме выходных, в разных частях России и Украины отдельные личности садились за компьютеры и начинали работать, — описывал Стоянов. — Программисты докручивали функции очередной версии [вируса], тестировщики ее проверяли, потом ответственный за ботнет загружал все на командный сервер, после чего происходило автоматическое обновление на компьютерах-ботах».

Рассмотрение дела группировки в суде началось еще осенью 2017 года и продолжалось в начале 2019 года — из-за объема дела, в котором около шестисот томов. Адвокат хакеров, скрывающий свое имя, заявлял, что никто из подозреваемых не пойдет на сделку со следствием, но некоторые признали часть обвинений. «Наши клиенты действительно выполняли работы по разработке различных частей вируса Lurk, но многие просто не были осведомлены о том, что это троянская программа, — объяснял он. — Кто-то делал часть алгоритмов, которые могли с успехом работать и в поисковых системах».

Дело одного из хакеров группировки вывели в отдельное производство, и он получил 5 лет, в том числе за взлом сети аэропорта Екатеринбурга.

В последние десятилетия в России спецслужбам удалось разгромить большинство крупных хакерских группировок, которые нарушили главное правило — «Не работать по ru»: Carberp (похитили около полутора миллиардов рублей со счетов российских банков), Anunak (похитили более миллиарда рублей со счетов российских банков), Paunch (создавали платформы для атак, через которые проходили до половины заражений по всему миру) и так далее. Доходы таких группировок сопоставимы с заработками торговцев оружием, а состоят в них десятки людей помимо самих хакеров — охранники, водители, обнальщики, владельцы сайтов, на которых появляются новые эксплойты, и так далее.

© Habrahabr.ru