Aresztowano 50 członków groźnego ugrupowania hakerskiego
Eksperci z Kaspersky Lab i Sberbank, jednego z największych banków w Rosji, ściśle współpracowali z rosyjskimi organami ścigania w ramach dochodzenia dotyczącego gangu Lurk, które zakończyło się aresztowaniem 50 osób. Zatrzymani są podejrzani o udział w tworzeniu zainfekowanych sieci komputerowych wykorzystanych do kradzieży ponad 45 milionów dolarów z banków, innych instytucji finansowych oraz firm.
03.06.2016 | aktual.: 03.06.2016 11:52
Proceder trwał od 2011 r. Jest to największe w historii aresztowanie hakerów, jakie miało miejsce w Rosji. W 2011 r. eksperci wykryli aktywność zorganizowanego gangu cyberprzestępczego, który wykorzystywał trojana _ Lurk _- wyrafinowane, uniwersalne i wielomodułowe szkodliwe oprogramowanie o szerokiej funkcjonalności - w celu uzyskiwania dostępu do komputerów ofiar. W szczególności gang ten szukał dojścia do serwisów zdalnej bankowości, aby kraść pieniądze z kont klientów.
Specjaliści uczestniczyli w dochodzeniu organów ścigania dotyczącym gangu Lurk od samego początku. Już na wczesnym etapie wiadomo było, że Lurk to grupa rosyjskich hakerów, która stanowi poważne zagrożenie dla organizacji i użytkowników nie tylko w Rosji. Gang zaczął atakować banki półtora roku temu - wcześniej celem ich szkodliwego oprogramowania były systemy różnych firm i klientów. Przeanalizowano przypadki i zidentyfikowano należącą do hakerów sieć komputerów i serwerów. Uzbrojona w tę wiedzę policja mogła zidentyfikować podejrzanych i zebrać dowody popełnionych przestępstw.
Podczas aresztowania policja rosyjska zdołała zapobiec dokonaniu fałszywych przelewów o wartości ponad 30 milinów dolarów.
W celu rozprzestrzeniania szkodliwego oprogramowania ugrupowanie Lurk zainfekowało szereg legalnych stron internetowych, w tym czołowe media i serwisy informacyjne. Do infekcji wykorzystano luki w zabezpieczeniach serwerów, na których znajdowały się atakowane strony. Wystarczyło, że ofiara odwiedziła zainfekowaną stronę, aby jej komputer został zarażony trojanem Lurk. Po przedostaniu się do komputera szkodnik zaczynał pobierać dodatkowe moduły, które umożliwiały mu kradzież pieniędzy ofiary.
Strony mediów nie były jedynym niefinansowym celem tego ugrupowania. Aby ukryć swoje ślady przy użyciu połączenia VPN, przestępcy włamali się również do różnych firm informatycznych i telekomunikacyjnych, wykorzystując ich serwery w celu zachowania anonimowości.
Trojan Lurk wyróżnia się tym, że jego szkodliwy kod nie jest przechowywany na dysku zainfekowanego komputera, ale jedynie w pamięci RAM. Ponadto jego twórcy próbowali możliwie w największym stopniu utrudnić rozwiązaniom antywirusowym wykrycie zagrożenia. W tym celu wykorzystywali różne usługi VPN, anonimową sieć Tor, zmodyfikowane punkty łączności Wi-Fi oraz serwery należące do atakowanych organizacji IT.
Eksperci uczulają użytkowników i firmy, aby zwracać większą uwagę na swoje mechanizmy ochrony i regularnie przeprowadzać kontrole bezpieczeństwa infrastruktury IT. Niezwykle ważne jest również to, aby wpoić pracownikom podstawy odpowiedzialnego zachowania w internecie.
Ponadto firmy powinny wprowadzać środki bezpieczeństwa, które pozwolą im wykrywać ataki ukierunkowane. Nawet najbardziej wyrafinowane ataki ukierunkowane można bowiem zidentyfikować na podstawie aktywności nietypowej w porównaniu ze zwykłymi procesami biznesowymi.
słk