A Kaspersky Lab szakértői és a Sberbank, Oroszország egyik legnagyobb bankja az orosz rendvédelmi hatóságokkal szorosan együttműködve vizsgálta a Lurk hackercsoport tevékenységét, melynek eredményeképpen 50 személyt tartóztattak le.
Az őrizetbe vett hackerek a gyanú szerint fertőzött számítógépekből álló hálózat létrehozásában vettek részt, melynek segítségével 2011 óta több mint 45 millió dollárt (3 milliárd rubelt) tulajdonítottak el bankoktól, valamint más pénzügyi intézményektől és vállalkozásoktól. Ez volt az eddigi legnagyobb szabású, hackereket érintő letartóztatás Oroszországban.
A Kaspersky Lab 2011-ben fedezte fel egy szervezett kiberbűnözői csoport tevékenységét, amely a Lurk trójait – egy fejlett, univerzális, több modulos, kiterjedt funkcionalitással ellátott rosszindulatú programot – használta az áldozatok számítógépe feletti ellenőrzés megszerzésére. Egész pontosan a kiberbűnözők az online banki szolgáltatások meghekkelésével kíséreltek meg pénzt ellopni az ügyfelek bankszámlájáról.
A Kaspersky Lab szakértői a kezdetektől fogva közreműködtek a rendvédelmi szervek Lurk elleni nyomozásában. Már a vizsgálat korai szakaszában megállapítottuk, hogy a Lurk orosz hackerek egy csoportja, amely komoly fenyegetést jelent a szervezetekre és a felhasználókra. A Lurk másfél évvel ezelőtt kezdte támadni a bankokat; ezt megelőzően a rosszindulatú programjával különféle vállalati és otthoni számítógépeket vett célba.
“Vállalatunk szakértői elemezték a rosszindulatú szoftvert, továbbá azonosították a hackerek hálózatának számítógépeit és szervereit. Ezen ismeretek birtokában az orosz rendőrség azonosítani tudta a gyanúsítottakat, és bizonyítékokat gyűjtött az elkövetett bűncselekményekről. A jövőben is segíteni fogjuk a hatóságokat abban, hogy minél több kiberbűnöző kerüljön az igazságszolgáltatás látókörébe.” - mondta Ruslan Stoyanov, a számítógépes incidensek kivizsgálásával foglalkozó részleg vezetője a Kaspersky Labnél.
A letartóztatás során az orosz rendőrségnek sikerült megakadályoznia több mint 30 millió dollár (2,273 milliárd rubel) hamis tranzakciókkal történő átutalását.
A Lurk trójai
A rosszindulatú program terjesztése érdekében a Lurk csoport egy sor legális webhelyet – köztük vezető média- és híroldalakat – fertőzött meg kihasználó kóddal. Az áldozatok egyszerűen egy ily módon feltört oldal meglátogatásával fertőződtek meg a Lurk trójaival. Mihelyt a programkártevő az áldozat PC-jére kerül, azonnal elkezd további rosszindulatú modulokat letölteni, amelyek lehetővé teszik a célszemély pénzének ellopását.
Nem csupán a média weboldalak voltak a csoport nem pénzügyi indíttatású célpontjai. Annak érdekében, hogy elrejtőzzenek egy VPN-kapcsolat mögött, a bűnözők ugyancsak behatoltak több IT and telekommunikációs vállalat informatikai rendszerébe, és azok szervereit használták anonimitásuk megőrzésére.
A Lurk trójai sajátossága, hogy a rosszindulatú kódja nem az áldozat számítógépén tárolódik, hanem a véletlen elérésű memóriában (RAM-ban). Ráadásul a trójai fejlesztői mindent megtettek azért, hogy az antivírus programok számára a lehető legnehezebbé tegyék a Lurk észlelését. Ennek érdekében különféle VPN-szolgáltatásokat, az anonim Tor hálózatot, feltört Wi-Fi hozzáférési pontokat és megtámadott IT-szervezetek szervereit használták.
Felhívjuk a vállalatokat, hogy fordítsanak nagyobb figyelmet az informatikai biztonságukra, és rendszeresen végezzék el IT-infrastruktúrájuk biztonsági átvilágítását annak érdekében, hogy legalább az ismert sérülékenységek ellen védve legyenek. Szintén nagyon fontos, hogy megtanítsák alkalmazottaiknak a biztonságtudatos viselkedés alapjait.
Mindezeken túlmenően egy vállalatnak olyan óvintézkedéseket kell bevezetnie, amelyek révén képes észlelni a folyamatban lévő célzott támadásokat. A legjobb stratégia a fenyegetés-megelőzési megoldásokat kiegészíteni fenyegetés-észlelési és -elhárítási funkciókkal. Még a legfejlettebb célzott támadások is felismerhetők a szokásos üzleti folyamatoktól eltérő, abnormális tevékenységükről.
A Kaspersky Lab által a célzott támadások észlelésére kifejlesztett legújabb megoldás, a Kaspersky Anti Targeted Attack Platform egy intelligens rendszert tartalmaz az ilyen anomáliák elemzésére.
A Kaspersky Lab a Lurk trójait Trojan.Win32.Lurk, Trojan-Banker.Win32.Lurk és Trojan-Spy.Win32.Lurk neveken azonosítja.