Eksperci z Kaspersky Lab i Sberbank, jednego z największych banków w Rosji, ściśle współpracowali z rosyjskimi organami ścigania w ramach dochodzenia dotyczącego gangu Lurk, które zakończyło się aresztowaniem 50 osób. Zatrzymani są podejrzani o udział w tworzeniu zainfekowanych sieci komputerowych wykorzystanych do kradzieży ponad 45 milionów dolarów z banków, innych instytucji finansowych oraz firm. Proceder trwał od 2011 r. Jest to największe w historii aresztowanie hakerów, jakie
miało miejsce w Rosji.
W 2011 r. eksperci z Kaspersky Lab wykryli aktywność zorganizowanego gangu cyberprzestępczego, który wykorzystywał trojana Lurk – wyrafinowane, uniwersalne i wielomodułowe szkodliwe oprogramowanie o szerokiej funkcjonalności – w celu uzyskiwania dostępu do komputerów ofiar. W szczególności gang ten szukał dojścia do serwisów zdalnej bankowości, aby kraść pieniądze z kont klientów.
– Nasi specjaliści uczestniczyli w dochodzeniu organów ścigania dotyczącego gangu Lurk od samego początku. Już na wczesnym etapie zdawaliśmy sobie sprawę, że Lurk to grupa rosyjskich hakerów, która stanowi poważne zagrożenie dla organizacji i użytkowników. Lurk zaczął atakować banki półtora roku temu – wcześniej celem tego szkodliwego oprogramowania były systemy różnych firm i klientów. Przeanalizowaliśmy to szkodliwe oprogramowanie i zidentyfikowaliśmy należącą do hakerów sieć komputerów i serwerów. Uzbrojona w tę wiedzę policja mogła zidentyfikować podejrzanych i zebrać dowody popełnionych przestępstw. Cieszymy się, że mogliśmy się przyczynić do postawienia kolejnych przestępców przed sądem – powiedział Rusłan Stojanow, dyrektor ds. badania incydentów komputerowych, Kaspersky Lab.
Podczas aresztowania policja rosyjska zdołała zapobiec dokonaniu fałszywych przelewów pieniężnych o wartości ponad 30 milinów dolarów.
Trojan Lurk
W celu rozprzestrzeniania szkodliwego oprogramowania ugrupowanie Lurk zainfekowało szereg legalnych stron internetowych, w tym czołowe media i serwisy informacyjne. Do infekcji wykorzystano luki w zabezpieczeniach serwerów, na których znajdowały się atakowane strony. Wystarczyło, że ofiara odwiedziła zainfekowaną stronę, aby jej komputer został zarażony trojanem Lurk. Po przedostaniu się do komputera szkodnik zaczynał pobierać dodatkowe moduły, które umożliwiały mu kradzież pieniędzy ofiary.
Strony mediów nie były jedynym niefinansowym celem tego ugrupowania. Aby ukryć swoje ślady przy użyciu połączenia VPN, przestępcy włamali się również do różnych firm informatycznych i telekomunikacyjnych, wykorzystując ich serwery w celu zachowania anonimowości.
Trojan Lurk wyróżnia się tym, że jego szkodliwy kod nie jest przechowywany na dysku zainfekowanego komputera, ale jedynie w pamięci RAM. Ponadto jego twórcy próbowali możliwie w największym stopniu utrudnić rozwiązaniom antywirusowym wykrycie zagrożenia. W tym celu wykorzystywali różne usługi VPN, anonimową sieć Tor, zmodyfikowane punkty łączności Wi-Fi oraz serwery należące do atakowanych organizacji IT.
Eksperci z Kaspersky Lab uczulają firmy, aby zwracały większą uwagę na swoje mechanizmy ochrony i regularnie przeprowadzały kontrolę bezpieczeństwa infrastruktury IT. Niezwykle ważne jest również to, aby wpoić pracownikom podstawy odpowiedzialnego zachowania w internecie.
Ponadto firmy powinny wprowadzać środki bezpieczeństwa, które pozwolą im wykrywać ataki ukierunkowane. Najlepszą strategią jest uzupełnienie podejścia polegającego na zapobieganiu zagrożeniom o mechanizmy wykrywania zagrożeń i reagowania na nie. Nawet najbardziej wyrafinowane ataki ukierunkowane można zidentyfikować na podstawie nietypowej aktywności w porównaniu ze zwykłymi procesami biznesowymi. Najnowsze rozwiązanie Kaspersky Lab przeznaczone do wykrywania ataków ukierunkowanych – Kaspersky Anti Targeted Attack Platform – zawiera inteligentny system analizowania takich anomalii.
Użytkownicy oprogramowania Kaspersky Lab są chronieni przed trojanem Lurk – jego moduły są wykrywane jako Trojan.Win32.Lurk, Trojan-Banker.Win32.Lurk oraz Trojan-Spy.Win32.Lurk.