• 9m

    Coronavirus-Induced Poverty Will Bring More Bitcoin Crime in 2021: Kaspersky Report

    coindesk.com
  • 10m

    Legendary investor reveals his biggest position is Bitcoin (BTC)

    Crypto News Flash
  • 16m

    Litecoin, Cosmos, Decred Price Analysis: 30 November

    AMBCrypto
  • 16m

    No. of Ethereum nodes surpasses Bitcoin’s for the first time

    CryptoSlate
  • 18m

    Analyst: Ethereum and these four coins to explode in december

    Crypto News Flash
  • 34m

    SEC Letter Reveals China’s Crypto Ambitions Threaten US

    Crypto Briefing
  • 46m

    В Ripple заявили об окончании эпохи биткоин-максимализма

    forklog
  • 46m

    Binance launches XRP, Litecoin, EOS, BCH Quarterly Coin-Margined Futures

    AMBCrypto
  • 56m

    Армия Венесуэлы занялась майнингом криптовалют

    forklog
  • 58m

    A brief look at the data behind Serum

    The Block
  • 1h

    Is Bitcoin’s Correction Already Over? Analysts Forecast Future of Leading Crypto

    The Daily Hodl
  • 1h

    Vodafone Partners Block Gemini to Tap Blockchain for Digital Recruitment Processes

    btcmanager
  • 1h

    Bitcoin Technical Standards Committee seeking public review

    Coin Geek
  • 1h

    Ethereum Classic supports more miners as Thanos upgrade activates

    Cryptopolitan
  • 1h

    Miner maker Canaan reports $12M Q3 loss despite bitcoin price jump

    The Block
  • 1h

    Мнение: Байден должен интегрировать биткоин в финансовую систему США

    forklog
  • 1h

    Santiment: «Киты» начали продавать биткойны на отметке $19 300

    BitNovosti
  • 1h

    ETH worth more than $500 million has been staked for Eth2’s Phase 0 launch tomorrow

    The Block
  • 1h

    Top 5 Potential 50x Altcoins For 2021

    Crypto News Flash
  • 1h

    Bitcoin bounced to the 61.8% Fibonacci retracement

    Cryptonomist
  • 1h

    Yearn Finance Continues Growing with Latest DeFi Acquisitions

    be[in]crypto
  • 2h

    Scam Alert: Is Lemmebit Exchanger Legit or Scam? Don’t Lose Your BTC

    Coinfomania
  • 2h

    Despite 12% Crash, Bitcoin Looks Set to Make Highest Monthly Close Ever

    coindesk.com
  • 2h

    US Dollar Plummets to Lowest Point in 2.5 Years: Report

    Finance Magnates
  • 2h

    Bitcoin, Ether, and XRP Weekly Market Update November 30, 2020

    btcmanager
  • 2h

    Tezos, Augur, Verge Price Analysis: 30 November

    AMBCrypto
  • 2h

    Bolivian Cattle Ranch Will Be Tokenized to Open Up Business to Investors

    coindesk.com
  • 2h

    【狂人日記】經濟有其固有的周期,比特幣的受益剛剛開始。11 月 30 日行情分析

    Blockcast「區塊客」
  • 2h

    Rumor: IOTA community speculates on cooperation with Xain

    Crypto News Flash
  • 2h

    Xain AG announces ‘announcement’ in 9 days – IOTA Access involved?

    Crypto News Flash
  • 2h

    Don’t Get Hoodwinked by Hidden Bitcoin Trading Fees

    newsbtс
  • 2h

    Венесуэльский филиал Pizza Hut начал принимать к оплате биткоин

    forklog
  • 2h

    天天都是「比特幣披薩日」!必勝客在委內瑞拉接受加密貨幣

    Blockcast「區塊客」
  • 3h

    Malta AI & Blockchain Summit CEO: Malta Intends to Remain Pioneer in Digital World

    be[in]crypto
  • 3h

    The Cardano blockchain could interact with Litecoin

    Cryptonomist
  • 3h

    Bitcoin Recovers After Sharp Drop Below Support

    be[in]crypto
  • 3h

    Bitcoin Breaches $18,500 , But Wide CME Gap Could Halt Its Bullish Price Action

    CoinGape
  • 3h

    Theory of Bitcoin: The White Paper on proof of work and the network

    Coin Geek
  • 3h

    Aave Surges 20% as DeFi Coins Begin Resurgence, Following Ethereum Rally

    newsbtс
  • 3h

    JPMorgan: «институциональные трейдеры могут подтолкнуть биткоин к падению»

    bits.media
  • 3h

    Ethereum Classic Activates Thanos Upgrade, Increasing Access for GPU Miners

    coindesk.com
  • 1w

    Кражи из банков, спецслужбы и взлом Демократической партии: история российских хакеров Lurk

    forklog
Wed, Nov 18, 2020 4:00 AM by forklog

Кражи из банков, спецслужбы и взлом Демократической партии: история российских хакеров Lurk

preview img

В конце октября 2020 года Свердловский областной суд освободил из-под стражи Константина Козловского - одного из предполагаемых лидеров хакерской группировки Lurk, деятельность которой годами расследовали и правоохранители, и специалисты по кибербезопасности. Ей приписывают кражу более миллиарда рублей с банковских счетов россиян. Сам Козловский утверждает, что действовал по указке ФСБ и причастен к взлому Демократической партии США.  ForkLog разобрался, как была устроена группировка Lurk, что связывает ее со спецслужбами и какое негласное правило она нарушила.  Ключевое Изначально хакеры распространяли ПО, которое при тестировании специалистов по кибербезопасности ничего не делало. Позже оказалось, что программа устроена как модульная система и постепенно подгружает вредоносные элементы. Отсюда и название Lurk (с английского - затаиться). Правоохранители задержали предполагаемых участников Lurk спустя почти пять лет с начала их активности. Один из лидеров группировки утверждал, что завербован ФСБ и причастен к атакам на Демократическую партию США и к созданию вируса WannaCry. Lurk нарушили одно из негласных правил в среде киберпреступников - "не работать по RU". В поле зрения специалистов по кибербезопасности Lurk попали в 2011 году, когда несколько банков сообщили о краже средств со счетов. Аналитики "Лаборатории Касперского" обнаружили скрытый вредонос, атаковавший ПО для дистанционного банковского обслуживания. После выявления трояна специалисты зафиксировали особенность программы - она делала "что угодно, только не воровала деньги". В ходе тестирования ее возможностей в лабораторных условиях также не обнаружили никакой подозрительной активности.  Тогда из-за этого, а также из-за незначительного количества инцидентов с участием ПО, на нее обратили мало внимания. Однако вредонос оказался далеко не таким безобидным, как показалось на первый взгляд. Отсюда и появилось название программы, закрепившееся за ее операторами - Lurk, что с английского переводится как "затаиться". *** В 2012 году ряд крупных российских СМИ подверглись кибератаке - злоумышленники использовали их для распространения вредоносного ПО.  "В техническом плане вредоносная программа была необычной: в отличие от большинства других, эта не оставляла на жестком диске атакованной системы никаких следов, а работала только в оперативной памяти машины", - отметили в "Лаборатории Касперского". Главной целью вредоноса была разведка. Он определял наличие на устройстве программы для дистанционного банковского обслуживания от одного из российских разработчиков. Если таковую удалось обнаружить, устройство заражали дополнительным вредоносным ПО. Оно в том числе позволяло автоматически создавать платежные поручения или менять реквизиты. Как оказалось позже, программа была продолжением вируса Lurk. В ходе изучения обращений многих пострадавших организаций в "Лаборатории Касперского" пришли к выводу, что за распространением вредоносов стоит группа хакеров.  По версии следствия, одним из главных организаторов группировки был Константин Козловский. Членов команды искали в интернете среди обычных программистов. После прохождения отбора будущим сотрудникам объясняли, чем на самом деле они должны заниматься.  Часть команды Lurk отвечала за разработку и распространение, другая - за работу ботнета из зараженных с его помощью устройств. У Lurk также были специальные люди, снимавшие незаконно переведенные средства с банкоматов и передававшие их организаторам. [caption id="attachment_116762" align="aligncenter" width="820"] Источник: "Лаборатория Касперского".[/caption] "Тот период вполне можно назвать «золотым» в истории деятельности Lurk, поскольку из-за недостатков в защите транзакций в системах ДБО похищение денег через зараженную машину бухгалтера в атакованной организации было делом не то что не требующим особых навыков, а подчас просто автоматическим", - заявили в "Лаборатории Касперского". Однако со временем инструменты кибербезопасности стали совершенствоваться и банковские системы стали менее уязвимыми.  Соответственно, упал и заработок Lurk. Хакеры решили предоставить платный доступ для других киберпреступников к эксплойт-паку Angler, ранее использовавшегося для распространения вредоноса Lurk, а также изменили способы кражи средств.  К примеру, участники группировки стали заниматься SIM-свопингом. Заразив компьютер жертвы, злоумышленники узнавали ее персональные данные, а затем перевыпускали ее SIM-карту и опустошали счета. Члены Lurk тщательно шифровали свою деятельность, однако со временем стали совершать все больше оплошностей, которые и позволили правоохранителям идентифицировать их. В результате в 2016 году правоохранители задержали 50 подозреваемых в связях с Lurk в 15 регионах России. "Задержание хакеров из Lurk выглядело как боевик. Сотрудники МЧС срезали замки в загородных домах и квартирах хакеров в разных частях Екатеринбурга, после чего сотрудники ФСБ с криками врывались внутрь, хватали хакеров и бросали на пол, обыскивали помещения", - пишет автор книги "Вторжение. Краткая история русских хакеров" Даниил Туровский. Точная сумма ущерба от деятельности Lurk разнится в зависимости от источника. В МВД его оценили в более чем 3 млрд рублей, в ФСБ - в 1,7 млрд, а СМИ со ссылкой на данные следствия сообщают об ущербе в 1,2 млрд рублей. Помимо финансового ущерба российским банкам Lurk внезапно оказалась замешана и в политическом скандале.  Константин Козловский в ходе одного из судебных заседаний заявил, что по заказу ФСБ участвовал во взломе Национального комитета Демократической партии США и переписки Хиллари Клинтон. Именно после этого взлома "русские хакеры" превратились в полулегендарную группировку и стали едва ли не самой главной угрозой кибербезопасности США. Во всяком случае, по утверждению американских властей и СМИ. *** В июле 2016 года на Wikileaks выложили почти 20 тысяч писем комитета Демократической партии США, полученных в результате взлома и содержащих множество компрометирующих вещей.  Расследовавшая инцидент фирма CrowdStrike пришла к выводу, что к взлому причастны российские группировки, однако вовсе не Lurk - Cozy Bear и Fancy Bear. Тем не менее Козловский утверждал, что за атакой стоял именно он и действовал по указке ФСБ. Изначально выдержки показаний и письма появились на его странице Facebook, однако позже они стали недоступны. Помимо взлома Демократической партии, он якобы был причастен к атакам на государственные и военные структуры, банки и биржи, FIFA, Олимпийский комитет, WADA и другие. Он также уверял, что стоит за созданием вируса WannaCry, ущерб от которого превысил $1 млрд. Козловский заявил, что курировал его действия уже экс-майор ФСБ Дмитрий Докучаев, арестованный по обвинению в госизмене и получивший позже 6 лет колонии.  Согласно протоколу слушаний, Козловский настаивал, что уголовное дело, связанное с Lurk, сфабриковано и его фигуранты на самом деле невиновны: "У меня болит сердце за то, что я их всех подставил, а также за то, что сотрудники ФСБ так с нами поступают. Меня с 16 лет "вели" Докучаев и его компания, и я выполнял все, что они говорили, а теперь мы все в тюрьме". Сам Докучаев сотрудничество с Козловским отвергнул и заявил, что даже не знаком с последним. Козловский также упомянул сотрудника «Лаборатории Касперского» Руслана Стоянова, который проходил по делу о госизмене вместе с Докучаевым. Примечательно, что Стоянов был одним из тех, кто расследовал деятельность Lurk и подробно описал, как устроена группировка.  Другие обвиняемые по делу Lurk заявления Козловского однозначно также не подтвердили. Один из членов группы Игорь Маковкин рассказал, что о предполагаемой роли ФСБ в действиях Lurk он никогда не слышал. Маковкин заключил досудебное соглашение о сотрудничестве и его дело выделили в отдельное производство. В 2018 году суд приговорил его к пяти годам колонии общего режима. Летом 2020 года часть обвиняемых выпустили из-под стражи, заменив меру пресечения на домашний арест. Позже выпустили и Козловского - ему нельзя пользоваться телефоном и интернетом, а также общаться с другими фигурантами дела. *** Действительно ли Lurk работали под эгидой ФСБ или же это была лишь попытка Козловского переложить часть ответственности - доподлинно неизвестно. Некоторые утверждали, что изначально появившиеся на странице в Facebook заявления просто не мог выкладывать Козловский, так как на тот момент он пребывал в СИЗО.  Кроме того, как взлом Демократической партии, так и WADA эксперты вменяли группировке Fancy Bear. Ее ассоциируют с российскими спецслужбами, однако связывают с ГРУ, а не ФСБ. Несмотря на то, что СМИ называли Lurk "одной из крупнейших хакерских группировок в истории России", ее масштаб и опасность могут быть преувеличены - один из ее участников Александр Сафонов называл Lurk во многом неэффективным «сборищем дилетантов». В то же время он утверждал, что незадолго до ареста хакеры осуществили несколько взломов совместно с более продвинутой группой специалистов, которые, по его словам, были завербованы ФСБ. Lurk нарушили одно негласное, но важное правило - "не работать по RU". "В переводе на русский язык фраза означает следующее: «не воруй деньги у граждан РФ, не заражай их машины, не используй соотечественников для отмывания денег»", - объясняют специалисты "Лаборатории Касперского".  Дело здесь вовсе не в патриотизме, а в "абсолютно утилитарных соображениях", рассказал ForkLog глава Group-IB Илья Сачков. Если киберпреступник будет "работать" в той стране, где он живет, - его быстро найдут и посадят. Подписывайтесь на новости ForkLog в Telegram: ForkLog Feed — вся лента новостей, ForkLog — самые важные новости и опросы.

Read full