Кражи из банков, спецслужбы и взлом Демократической партии: история российских хакеров Lurk

lurk
lurk

В конце октября 2020 года Свердловский областной суд освободил из-под стражи Константина Козловского — одного из предполагаемых лидеров хакерской группировки Lurk, деятельность которой годами расследовали и правоохранители, и специалисты по кибербезопасности. Ей приписывают кражу более миллиарда рублей с банковских счетов россиян.

Сам Козловский утверждает, что действовал по указке ФСБ и причастен к взлому Демократической партии США. 

ForkLog разобрался, как была устроена группировка Lurk, что связывает ее со спецслужбами и какое негласное правило она нарушила. 

  • Изначально хакеры распространяли ПО, которое при тестировании специалистов по кибербезопасности ничего не делало. Позже оказалось, что программа устроена как модульная система и постепенно подгружает вредоносные элементы. Отсюда и название Lurk (с английского — затаиться).
  • Правоохранители задержали предполагаемых участников Lurk спустя почти пять лет с начала их активности.
  • Один из лидеров группировки утверждал, что завербован ФСБ и причастен к атакам на Демократическую партию США и к созданию вируса WannaCry.
  • Lurk нарушили одно из негласных правил в среде киберпреступников — «не работать по RU».

В поле зрения специалистов по кибербезопасности Lurk попали в 2011 году, когда несколько банков сообщили о краже средств со счетов. Аналитики «Лаборатории Касперского» обнаружили скрытый вредонос, атаковавший ПО для дистанционного банковского обслуживания.

После выявления трояна специалисты зафиксировали особенность программы — она делала «что угодно, только не воровала деньги». В ходе тестирования ее возможностей в лабораторных условиях также не обнаружили никакой подозрительной активности. 

Тогда из-за этого, а также из-за незначительного количества инцидентов с участием ПО, на нее обратили мало внимания. Однако вредонос оказался далеко не таким безобидным, как показалось на первый взгляд.

Отсюда и появилось название программы, закрепившееся за ее операторами — Lurk, что с английского переводится как «затаиться».

***

В 2012 году ряд крупных российских СМИ подверглись кибератаке — злоумышленники использовали их для распространения вредоносного ПО. 

«В техническом плане вредоносная программа была необычной: в отличие от большинства других, эта не оставляла на жестком диске атакованной системы никаких следов, а работала только в оперативной памяти машины», — отметили в «Лаборатории Касперского».

Главной целью вредоноса была разведка. Он определял наличие на устройстве программы для дистанционного банковского обслуживания от одного из российских разработчиков. Если таковую удалось обнаружить, устройство заражали дополнительным вредоносным ПО.

Оно в том числе позволяло автоматически создавать платежные поручения или менять реквизиты.

Как оказалось позже, программа была продолжением вируса Lurk. В ходе изучения обращений многих пострадавших организаций в «Лаборатории Касперского» пришли к выводу, что за распространением вредоносов стоит группа хакеров. 

По версии следствия, одним из главных организаторов группировки был Константин Козловский.

Членов команды искали в интернете среди обычных программистов. После прохождения отбора будущим сотрудникам объясняли, чем на самом деле они должны заниматься. 

Часть команды Lurk отвечала за разработку и распространение, другая — за работу ботнета из зараженных с его помощью устройств. У Lurk также были специальные люди, снимавшие незаконно переведенные средства с банкоматов и передававшие их организаторам.

Кражи из банков, спецслужбы и взлом Демократической партии: история российских хакеров Lurk
Источник: «Лаборатория Касперского».

«Тот период вполне можно назвать «золотым» в истории деятельности Lurk, поскольку из-за недостатков в защите транзакций в системах ДБО похищение денег через зараженную машину бухгалтера в атакованной организации было делом не то что не требующим особых навыков, а подчас просто автоматическим», — заявили в «Лаборатории Касперского».

Однако со временем инструменты кибербезопасности стали совершенствоваться и банковские системы стали менее уязвимыми. 

Соответственно, упал и заработок Lurk. Хакеры решили предоставить платный доступ для других киберпреступников к эксплойт-паку Angler, ранее использовавшегося для распространения вредоноса Lurk, а также изменили способы кражи средств. 

К примеру, участники группировки стали заниматься SIM-свопингом. Заразив компьютер жертвы, злоумышленники узнавали ее персональные данные, а затем перевыпускали ее SIM-карту и опустошали счета.

Члены Lurk тщательно шифровали свою деятельность, однако со временем стали совершать все больше оплошностей, которые и позволили правоохранителям идентифицировать их.

В результате в 2016 году правоохранители задержали 50 подозреваемых в связях с Lurk в 15 регионах России.

«Задержание хакеров из Lurk выглядело как боевик. Сотрудники МЧС срезали замки в загородных домах и квартирах хакеров в разных частях Екатеринбурга, после чего сотрудники ФСБ с криками врывались внутрь, хватали хакеров и бросали на пол, обыскивали помещения», — пишет автор книги «Вторжение. Краткая история русских хакеров» Даниил Туровский.

Точная сумма ущерба от деятельности Lurk разнится в зависимости от источника. В МВД его оценили в более чем 3 млрд рублей, в ФСБ — в 1,7 млрд, а СМИ со ссылкой на данные следствия сообщают об ущербе в 1,2 млрд рублей.

Помимо финансового ущерба российским банкам Lurk внезапно оказалась замешана и в политическом скандале. 

Константин Козловский в ходе одного из судебных заседаний заявил, что по заказу ФСБ участвовал во взломе Национального комитета Демократической партии США и переписки Хиллари Клинтон.

Именно после этого взлома «русские хакеры» превратились в полулегендарную группировку и стали едва ли не самой главной угрозой кибербезопасности США. Во всяком случае, по утверждению американских властей и СМИ.

***

В июле 2016 года на Wikileaks выложили почти 20 тысяч писем комитета Демократической партии США, полученных в результате взлома и содержащих множество компрометирующих вещей. 

Расследовавшая инцидент фирма CrowdStrike пришла к выводу, что к взлому причастны российские группировки, однако вовсе не Lurk — Cozy Bear и Fancy Bear.

Тем не менее Козловский утверждал, что за атакой стоял именно он и действовал по указке ФСБ.

Изначально выдержки показаний и письма появились на его странице Facebook, однако позже они стали недоступны.

Помимо взлома Демократической партии, он якобы был причастен к атакам на государственные и военные структуры, банки и биржи, FIFA, Олимпийский комитет, WADA и другие. Он также уверял, что стоит за созданием вируса WannaCry, ущерб от которого превысил $1 млрд.

Козловский заявил, что курировал его действия уже экс-майор ФСБ Дмитрий Докучаев, арестованный по обвинению в госизмене и получивший позже 6 лет колонии. 

Согласно протоколу слушаний, Козловский настаивал, что уголовное дело, связанное с Lurk, сфабриковано и его фигуранты на самом деле невиновны:

«У меня болит сердце за то, что я их всех подставил, а также за то, что сотрудники ФСБ так с нами поступают. Меня с 16 лет «вели» Докучаев и его компания, и я выполнял все, что они говорили, а теперь мы все в тюрьме».

Сам Докучаев сотрудничество с Козловским отвергнул и заявил, что даже не знаком с последним.

Козловский также упомянул сотрудника «Лаборатории Касперского» Руслана Стоянова, который проходил по делу о госизмене вместе с Докучаевым. Примечательно, что Стоянов был одним из тех, кто расследовал деятельность Lurk и подробно описал, как устроена группировка. 

Другие обвиняемые по делу Lurk заявления Козловского однозначно также не подтвердили. Один из членов группы Игорь Маковкин рассказал, что о предполагаемой роли ФСБ в действиях Lurk он никогда не слышал.

Маковкин заключил досудебное соглашение о сотрудничестве и его дело выделили в отдельное производство. В 2018 году суд приговорил его к пяти годам колонии общего режима.

Летом 2020 года часть обвиняемых выпустили из-под стражи, заменив меру пресечения на домашний арест. Позже выпустили и Козловского — ему нельзя пользоваться телефоном и интернетом, а также общаться с другими фигурантами дела.

***

Действительно ли Lurk работали под эгидой ФСБ или же это была лишь попытка Козловского переложить часть ответственности — доподлинно неизвестно.

Некоторые утверждали, что изначально появившиеся на странице в Facebook заявления просто не мог выкладывать Козловский, так как на тот момент он пребывал в СИЗО. 

Кроме того, как взлом Демократической партии, так и WADA эксперты вменяли группировке Fancy Bear. Ее ассоциируют с российскими спецслужбами, однако связывают с ГРУ, а не ФСБ.

Несмотря на то, что СМИ называли Lurk «одной из крупнейших хакерских группировок в истории России», ее масштаб и опасность могут быть преувеличены — один из ее участников Александр Сафонов называл Lurk во многом неэффективным «сборищем дилетантов».

В то же время он утверждал, что незадолго до ареста хакеры осуществили несколько взломов совместно с более продвинутой группой специалистов, которые, по его словам, были завербованы ФСБ.

Lurk нарушили одно негласное, но важное правило — «не работать по RU».

«В переводе на русский язык фраза означает следующее: «не воруй деньги у граждан РФ, не заражай их машины, не используй соотечественников для отмывания денег»», — объясняют специалисты «Лаборатории Касперского». 

Дело здесь вовсе не в патриотизме, а в «абсолютно утилитарных соображениях», рассказал ForkLog глава Group-IB Илья Сачков. Если киберпреступник будет «работать» в той стране, где он живет, — его быстро найдут и посадят.

Автор: Алина Саганская.

Подписывайтесь на новости ForkLog в Telegram: ForkLog Feed — вся лента новостей, ForkLog — самые важные новости и опросы.

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK