Публикации

Охота на Lurk

Как мы помогли поймать одну из самых опасных банд финансовых киберпреступников

В начале июня этого года российские правоохранительные органы задержали предполагаемых членов преступной группировки, которая подозревается в хищении почти трех миллиардов рублей. По данным правоохранителей, участники группы Lurk систематически похищали крупные суммы со счетов коммерческих организаций, включая банки, используя вредоносное ПО. В течение последних шести лет Отдел расследований компьютерных инцидентов «Лаборатории Касперского» занимался изучением деятельность группировки, и к весне 2016 года у нас накопился приличный багаж знаний о ней. Мы рады, что он пригодился правоохранительным органам, помог задержать подозреваемых и – самое главное – прекратить хищения денег, которыми промышляла группа. Нам самим это расследование принесло столько опыта, сколько не приносило ни одно из других наших дел. Эта статья – попытка поделиться этим опытом с другими экспертами, прежде всего, специалистами в области информационной безопасности компаний и финансовых учреждений. Тех самых организаций, которые все чаще становятся целью кибератак.

Поначалу Lurk был безымянной троянской программой, о которой мы узнали в 2011 году. Нам стало известно о ряде инцидентов, в результате которых у клиентов нескольких российских банков неизвестные преступники похитили крупные суммы денег. Для похищения денег неизвестные преступники использовали скрытную вредоносную программу, которая в автоматическом режиме взаимодействовала с ПО для дистанционного банковского обслуживания, подменяя реквизиты в платежных поручениях, которые формирует бухгалтер атакованной организации, либо самостоятельно формируя такие поручения.

Сейчас, в 2016 году, должно быть довольно странно читать о банковском ПО, которое не требует никаких дополнительных мер аутентификации, но тогда именно так все и было: для того, чтобы начать беспрепятственно похищать деньги, в большинстве случаев злоумышленникам нужно было лишь заразить компьютер, на котором установлено ПО для работы с системами ДБО. В 2011 году банковская система России, да и многих других стран, еще не была готова к подобным атакам, и злоумышленники активно этим пользовались.

Тогда мы участвовали в расследовании нескольких инцидентов, в которых был замечен безымянный зловред. Когда мы передали его нашим аналитикам в вирусную лабораторию и те создали сигнатуру, чтобы посмотреть, не было ли еще зафиксировано заражений с его помощью, мы обнаружили довольно странную особенность: наша внутренняя система наименований вредоносных программ, утверждала, что перед нами просто еще одна троянская программа, которая делает что угодно (рассылает спам, например), только не ворует деньги.

В ежедневной практике «Лаборатории Касперского» случается, что программа с одним набором функций по ошибке детектируется как нечто совершенно иное, но выяснение обстоятельств в случае с конкретно этой программой показало, что она была задетектирована «общей» сигнатурой потому, что не делала ничего, что могло бы дать повод отнести ее в какую-либо специфическую группу, например, банковских троянцев.

Факт, между тем, оставался фактом: вредоносную программу использовали для похищения денег.

По этой причине мы решили посмотреть на зловред внимательнее, но первые попытки наших аналитиков понять, как устроена программа, не дали ничего. Будучи запущенной и на виртуальной машине, и на настоящей, она вела себя одинаково: ничего не делала. Собственно, именно так и появилось имя зловреда: Lurk (англ. затаиться).

Вскоре нам довелось участвовать в расследовании еще одного инцидента с участием Lurk. На этот раз нам удалось исследовать образ атакованного компьютера, на котором мы нашли не только уже встречавшийся нам зловред, но и .dll файл, с которым основной исполняемый файл умел взаимодействовать. Так мы получили первые доказательства того, что Lurk имеет модульную структуру.

Несколько лет спустя, когда мы уже знали очень многое об этом зловреде, мы обнаружили, что у Lurk был целый набор модулей, но они появились впоследствии. Тогда, в 2011 году, Lurk, судя по всему, был на начальной стадии разработки и обходился двумя компонентами.

Обнаружение дополнительного файла совсем немного прояснило природу Lurk. Было ясно, что это троянская программа, нацеленная на системы ДБО, и что она была замечена в сравнительно небольшом количестве инцидентов. В 2011 году атаки на подобные системы только набирали силу, но уже тогда было известно о нескольких других подобных программах: самая ранняя была обнаружена еще в 2006 году, а после этого новые зловреды со схожим набором функций появлялись регулярно. Достаточно вспомнить такие программы, как ZeuS, SpyEye, Carberp и др. Lurk в этом ряду был просто еще одним опасным зловредом.

Заставить Lurk работать в лабораторных условиях было исключительно сложно, новые версии программы появлялись так же редко, как редко мы узнавали о новых инцидентах с участием Lurk. Совокупность этих факторов в 2011 году привела нас к решению отложить активную работу по изучению этой программы и переключиться на более актуальные задачи.

Смена лидера

Примерно год после нашего первого знакомства с Lurk мы не слышали о нем ничего примечательного. Вернее, как выяснилось позже, инциденты, в которых участвовала эта вредоносная программа, тонули во множестве похожих, но с участием других зловредов. В мае 2011 года в Сети был опубликован исходный код троянца ZeuS, что спровоцировало появление множества модификаций этой программы, разрабатываемых небольшими группами киберпреступников. Помимо ZeuS существовал ряд других уникальных финансовых зловредов.

В России действовало несколько сравнительно крупных киберпреступных групп, ориентированных на хищение денег через атаки на системы ДБО, наиболее активной в тот период была Carberp. В конце марта 2012 года большинство ее участников арестовали правоохранительные органы, и это событие стало ощутимым ударом по российскому киберпреступному миру, так как преступная группа сумела похитить сотни миллионов рублей всего за несколько лет деятельности и считалась чуть ли не «лидером» среди киберпреступников. Однако к моменту ареста Carberp уже была далеко не главным игроком.

За несколько недель до ареста сайты ряда крупнейших российских медиа, таких как агентство «РИА Новости», Gazeta.ru и другие, подверглись атаке watering hole. Неизвестные преступники, используя уязвимость в системе обмена рекламными баннерами, распространяли через эти сайты вредоносную программу. Пользователи заходили на сайт, после чего перенаправлялись на созданную злоумышленниками страницу с эксплойтом под Java (крайне распространенное и очень уязвимое в то время ПО). Успешная эксплуатация уязвимости инициировала запуск вредоносной программы, основной функцией которой был сбор информации об атакованном компьютере, передача ее на сервер злоумышленников и – в некоторых случаях – получение с сервера и установка дополнительной полезной нагрузки.

lurk_hunt_ru_1

Код главной страницы RIA.ru, использующийся для загрузки дополнительного контента с AdFox.ru

В техническом плане вредоносная программа была необычной: в отличие от большинства других зловредов, этот не оставлял на жестком диске атакованной системы никаких следов, а работал только в оперативной памяти машины. Такой механизм работы применяется во вредоносном ПО нечасто, прежде всего, из-за «недолговечности» подобной инфекции: зловред «живет» в системе до тех пор, пока компьютер не будет перезагружен, и после этого процесс заражения необходимо начинать заново. Но в случае с атаками 2012 года скрытному «бестелесному» зловреду и не нужно было закрепляться на атакованной системе. Разведка была его первой функцией. Второй была загрузка и установка дополнительного вредоносного ПО. Еще одной интересной деталью было то, что загрузка зловреда происходила лишь в крайне ограниченном количестве случаев: когда атакованный компьютер оказывался «интересным».

Охота на Lurk

Часть кода вредоносной программы Lurk, отвечающего за загрузку дополнительных модулей

Анализ бестелесного зловреда показал, что интересными для него являлись компьютеры, на которых была установлена программа для дистанционного банковского обслуживания от одного из российских разработчиков. Гораздо позже мы узнали, что безымянный бестелесный модуль – это mini, одна из перечня вредоносных программ, использовавшихся Lurk. Но тогда мы еще не были уверены, что за Lurk, известным нам с 2011 года, и за Lurk, который мы обнаружили в 2012 году, стояли одни и те же люди. У нас было две версии: либо Lurk был программой, написанной на продажу, и варианты 2011 и 2012 годов – это результаты деятельности двух различных групп, купивших зловред у автора, либо версия 2012 года была развитием ранее известного троянца.

Как оказалось впоследствии, вторая наша версия оказалась верной.

Невидимая война с банковским ПО

Небольшое отступление. Системы дистанционного банковского обслуживания состоят из двух основных частей: банковской и клиентской. Клиентская часть – это небольшая программа, позволяющая пользователю (как правило, бухгалтеру) удаленно производить операции со счетами организации. Разработчиков подобного ПО в России можно пересчитать по пальцам, и потому любая российская организация, использующая ДБО, использует ПО от одной из этих компаний. Киберпреступным группам, специализировавшимся на атаках против ДБО, малый набор возможных вариантов играл на руку.

В апреле 2013 года, чуть больше года спустя после того, как мы обнаружили «бестелесный» модуль Lurk, в российском киберпреступном андерграунде существовало сразу несколько семейств вредоносного программного обеспечения, специализировавшихся на атаках против банковского ПО. Почти все они действовали похоже: на этапе разведки выясняли, есть ли на атакованном компьютере необходимое банковское ПО, после чего загружали дополнительные модули, в том числе позволявшие в автоматическом режиме создавать несанкционированные платежные поручения, менять реквизиты в легальных платежных поручениях и т.д. Такой уровень автоматизации был возможен потому, что преступники тщательно изучали механизмы работы банковского ПО и «затачивали» вредоносные модули своих программ под конкретное банковское решение.

Именно так действовали люди, стоящие за созданием и распространением Lurk. Они просто брали клиентскую часть банковского ПО, подробно исследовали, как оно работает, и соответственно видоизменяли свой зловред, фактически создавая нелегальную надстройку к легальному продукту.

Из индустриальных каналов обмена информацией мы узнали, что службы безопасности нескольких российских банков испытывают ряд проблем с вредоносными программами, созданными специально для атак на конкретный тип легального программного обеспечения. Иной раз некоторым из них приходилось выпускать обновления для своих клиентов каждую неделю. Обновления закрывали одни проблемы безопасности, но таинственные хакеры «на другой стороне» быстро выпускали новую версию вредоносного ПО, которая обходила защиту, созданную авторами банковских программ.

Надо понимать, что подобная работа – reverse engineering профессионального банковского продукта – это задача, которую едва ли может решить хакер-любитель. К тому же задача нудная и трудоемкая – не из тех, что можно выполнить на голом энтузиазме. Пожалуй, это было бы под силу команде специалистов. Но кто в здравом уме возьмется за откровенно нелегальную работу и у кого могут быть деньги на то, чтобы обеспечивать постоянное финансирование подобной деятельности? Задаваясь примерно такими вопросами, мы, в конце концов, пришли к уверенности, что за разными версиями зловреда Lurk должна стоять организованная группа специалистов в области кибербезопасности.

После затишья 2011-2012 годов мы вновь стали получать сведения об инцидентах с участием Lurk, в результате которых были похищены деньги. Благодаря тому, что к нам обращались пострадавшие организации, с каждым месяцем мы получали все больше и больше информации о деятельности Lurk. К концу 2013 года, на основе сведений, полученных в ходе исследования образов жестких дисков атакованных компьютеров и изучения доступных в открытых источниках данных, у нас сложилось примерное представление о группе пользователей интернета, которые предположительно имеют отношение к Lurk.

При этом нельзя сказать, что это было легко. Стоявшие за Lurk люди имели хорошее представление о средствах анонимизации своей активности в Сети. Они активно использовали шифрование в повседневных коммуникациях, фальшивые данные для регистрации доменов или сервисы анонимной регистрации и т.д. Другими словами, не то чтобы мы взяли имя и фамилию из Whois и отыскали нужных пользователей в сети «Вконтакте» или Facebook, как это случалось с другими – менее профессиональными – группами киберпреступников, например, с Koobface. Таких грубых ошибок группировка Lurk не допускала. И все же ошибки – незначительные на первый взгляд и редкие – случались.

Чтобы не устраивать бесплатные уроки конспирации, я не буду приводить примеры этих ошибок, но в результате их анализа нам удалось сформировать более-менее ясную картину. Мы имели дело с группировкой, в состав которой входило примерно 15 человек (на последнем этапе ее деятельности число «постоянных» соучастников возросло до 40). Эта команда обеспечивала, что называется, «полный цикл» разработки, доставки и монетизации вредоносных программ – этакая небольшая компания по разработке программного обеспечения. У «компании» на тот момент было два ключевых «продукта»: вредоносная программа Lurk и огромный ботнет из зараженных с ее помощью компьютеров. У вредоносной программы была своя команда разработчиков, ответственных за появление новых функций, поиск способов «взаимодействия» с системами ДБО, стабильность работы и прочие задачи, а также команда тестировщиков, которая проверяла работоспособность программы в различных окружениях. У ботнета тоже была своя команда (администратор, операторы, заливщики и прочие соучастники, работающие с ботами через административную панель), отвечавшая за работоспособность серверов управления, их защиту от обнаружения и перехвата управления ими.

Для разработки вредоносного ПО такого класса требовались профессионалы. Главари группы искали их на обычных сайтах по подбору персонала для удаленной работы. Примеры подобных вакансий я уже описывал в своей статье о российской финансовой киберпреступности. Нелегальность предлагаемой работы в вакансии не указывалась, на этапе собеседования «работодатель» проводил небольшую проверку кандидатов на моральную устойчивость – по сути объясняли, чем на самом деле нужно будет заниматься. Те, кто эту проверку «проходил», то есть соглашался взяться за работу, понимая, что с ней все не чисто, включались в команду.

Охота на Lurk

Злоумышленник разместил вакансию специалиста по java/flash на популярном украинском ресурсе по поиску работы для IT-специалистов. Среди требований – хороший уровень программирования на Java, Flash, знание спецификаций JVM/AVM и др. За $2500 организатор предлагает удаленную работу и полную занятость.

Таким образом каждое утро, кроме выходных, в разных частях России и Украины отдельные личности садились за компьютеры и начинали «работать». Программисты «докручивали» функции очередной версии зловреда, тестировщики выполняли тестовые задания, проверяя качество новой версии. Потом ответственный за ботнет и ответственные за функционирование модулей и компонентов зловреда загружали новые версии на командный сервер, после чего происходило автоматическое обновление вредоносного ПО на компьютерах-ботах. Он же изучал информацию, присланную с вновь зараженных компьютеров, выясняя, есть ли на них доступ в ДБО, сколько денег на счетах и так далее.

«Заливщик» – человек, ответственный за «залив» украденных денег на банковские карты «дропов» – просто нажимал кнопку на панели управления ботнетом, и сотни тысяч рублей устремлялись на заранее подготовленные руководителями «дроп-проекта» счета. Во многих случаях нажимать ничего не надо было: вредоносная программа подменяла реквизиты платежного поручения, созданного бухгалтером, и деньги уходил на счета киберпреступников.

С этих счетов деньги тут же переправлялись на карты дропов, которые, используя банкоматы, снимали наличность. Затем через старших групп дропов все эти деньги передавались руководителю организации, который занимался их распределением: на «зарплаты» сотрудникам, на выплаты доли сообщникам, на обслуживание дорогостоящей сетевой инфраструктуры, ну и конечно, на собственные нужды. Цикл повторялся многократно.

Охота на Lurk

Каждый участник преступной группы имеет определенный круг обязанностей

Тот период вполне можно назвать «золотым» в истории деятельности Lurk, поскольку из-за недостатков в защите транзакций в системах ДБО похищение денег через зараженную машину бухгалтера в атакованной организации было делом не то что не требующим особых навыков, а подчас просто автоматическим. Но все когда-нибудь кончается.

Конец эпохи «автозалива» или наступление «тяжелых» времен

Естественно банковская индустрия и индустрия информационной безопасности не сидели сложа руки. Лавинообразный рост хищений, совершенных Lurk и другими группировками, заставлял реагировать службы безопасности банков и компаний-разработчиков банковского ПО.

Прежде всего, производители ПО для ДБО убрали свои продукты из открытого доступа. До появления банд финансовых киберпреступников любой пользователь мог скачать с сайта производителя демоверсию программы. Злоумышленники этим пользовались, чтобы изучать механизмы работы банковского ПО и соответственно создавать вредоносные программы под него.

Вторым большим изменением стало массовое внедрение банками технологий противодействия так называемому «автозаливу» — процедуре, при которой с помощью вредоносной программы злоумышленники могли изменять данные платежного поручения, созданного бухгалтером, и автоматически похищать деньги. Наконец, большинство производителей программного обеспечения ДБО в результате многомесячной «невидимой войны» с киберпреступниками довели безопасность своего ПО до достаточно высокого уровня.

На рубеже 2013-2014 годов мы уже плотно исследовали деятельность вредоносного ПО группировки и имели большой багаж знаний о ней. На нашей ботферме нам, наконец, удалось запустить нормально функционирующий скрипт зловреда, что позволило нам вовремя узнавать о всех нововведениях, которые злоумышленники вносили в новые версии программы. Наша команда аналитиков также продвинулась в исследовании зловреда. К тому времени у нас уже было четкое понимание того, как он работает, из каких частей состоит и какие дополнительные модули имеет в своем арсенале.

Информацию мы добывали в основном в ходе анализа инцидентов, случавшихся в результате атак Lurk. Параллельно мы оказывали технические консультации правоохранительным органам, которые к тому времени уже расследовали деятельность этой банды.

Киберпреступники пытались противодействовать изменениям в банковской и ИБ-сфере. Например, после того, как производители банковского ПО перестали выкладывать в публичный доступ демо-версии своих программ, участники преступной группы специально зарегистрировали подставную компанию, для того чтобы получать обновленные версии ПО для дистанционного банковского обслуживания.

Кражи стали менее массовыми – сказалось улучшение безопасности банковского ПО. «Автозалив» работал все реже – количество банков, использующих недостаточно защищенные системы, стремительно сокращалось. Насколько мы можем судить по тем данным, которые у нас есть, в 2014 году преступное предприятие «Lurk» серьезно сократило обороты и, что называется, перебивалось «с хлеба на воду», не гнушаясь атаками на всех, на кого только можно было, включая простых пользователей. Даже если в результате атаки удавалось похитить всего несколько десятков тысяч рублей, преступники на это шли.

Причина у этого, по нашему мнению, была экономическая: к тому времени преступная организация использовала крайне разветвленную и дорогостоящую сетевую инфраструктуру. Помимо оплаты услуг «сотрудников», нужно было платить за аренду серверов, VPN и прочие технические детали. По нашим оценкам, только сетевая инфраструктура обходилась руководителям «Lurk» в десятки тысяч долларов ежемесячно.

Попытки вернуться

Проблему нехватки денег, помимо увеличения количества «мелких» атак, преступники пытались решить своеобразной «диверсификацией» бизнеса и расширением поля деятельности. Под диверсификацией я имею ввиду, прежде всего, разработку, поддержку и предоставление в аренду другим преступникам эксплойт-пака Angler (также известного под именем XXX). Изначально он использовался группой, в основном, для доставки зловреда Lurk на компьютеры жертвы. Но с уменьшением количества удачных атак владельцы этого вредоносного инструментария открыли к нему платный доступ менее крупным группировкам.

К слову, судя по тому, что мы видели на подпольных форумах, где собираются киберпреступники, группа Lurk там носила чуть ли не легендарный статус. Прежде всего, из-за своей закрытости: многие мелкие и средние группировки изъявляли желание «поработать» с ними, но те всегда предпочитали действовать без посторонних. В том числе поэтому, когда группа Lurk дала доступ к Angler другим дельцам от киберпреступности, эксплойт-пак получил большую популярность – «продукт» от абсолютных авторитетов киберандерграунда не нуждался в обширной рекламе. К тому же эксплойт-пак действительно давал очень высокий процент «пробива» (успешных эксплуатаций уязвимостей) и очень быстро после своего появления в конце 2013 года стал одним из ключевых подобных инструментов на criminal2criminal-рынке.

Что же до расширения поля деятельности, то тут группа Lurk решила замахнуться на клиентов крупных российских банков и на сами банки, в то время как раньше старались выбирать цели поменьше.

Во второй половине 2014 года на подпольных форумах мы увидели уже знакомые нам ники интернет-пользователей, призывающих к сотрудничеству специалистов по мошенничеству с документами. А несколько месяцев спустя, уже в 2015 году, по некоторым городам России прокатилась волна сообщений о злоумышленниках, которые при помощи поддельных доверенностей осуществляли перевыпуск SIM-карт без ведома их настоящих владельцев.

Делалось это для получения доступа к одноразовым паролям, которые банк присылает пользователю, чтобы он мог подтвердить финансовую транзакцию в интернет-банкинге или системе ДБО. Злоумышленники воспользовались тем, что в отдаленных от крупных городов регионах сотрудники мобильных операторов не всегда достаточно тщательно проверяли подлинность предоставленных документов и выпускали новую SIM-карту по запросу преступников. Киберпреступники из группы Lurk заражали компьютер жертвы, выясняли ее персональные данные, с помощью «партнеров» с форумов изготавливали поддельную доверенность и шли в офис оператора.

Получив новую SIM-карту, они тут же опустошали счет жертвы, после чего исчезали.

Хотя поначалу эта схема и приносила плоды, многие банки к тому времени уже были в процессе внедрения защитных механизмов, отслеживающих изменение уникального номера SIM-карты и очень скоро после начала «волны» подобных хищений, этот способ стал работать хуже. К тому же, эта кампания с SIM-картами заставила некоторых членов группировки и их партнеров развиртуализироваться, что сыграло на руку правоохранительным органам в деле поиска и идентификации подозреваемых.

На фоне попыток «диверсификации бизнеса» и поиска новых брешей в обороне финансового бизнеса, группа Lurk продолжала регулярно совершать относительно мелкие хищения «старым» способом «автозалива», если в их сети попадалась подходящая для этого жертва. Однако основные деньги преступники планировали зарабатывать иначе.

Новые «специалисты»

В феврале 2015 года команда GReAT «Лаборатории Касперского» выпустила исследование о вредоносной кампании Carbanak, специализировавшейся на похищении денег из финансовых организаций. Ключевым отличием группы Carbanak от «классических» финансовых киберпреступников было то, что в команде Carbanak присутствовали специалисты, имеющие исключительно глубокие познания в том, как устроена IT-инфраструктура банка-мишени, каков в этом банке распорядок дня, кто является ключевыми сотрудниками, имеющими доступ к ПО для проведения транзакций. Перед атакой члены группы Carbanak тщательно изучали выбранную цель, отмечали все слабые места и в час «икс» совершали хищения за считанные часы. Как оказалось, Carbanak была не единственной группой, применяющей такой метод атаки. В 2015 году в команде Lurk появились такие же специалисты.

Охота на Lurk

Мы поняли это, когда узнали об инцидентах, в которых угадывался почерк Carbanak, но не было вредоносных инструментов, характерных для этой группы. Зато был Lurk. Сам зловред Lurk в этих случаях использовался уже не как инструмент для хищения денег, а, скорее, как надежный «черный ход» в инфраструктуру атакованной организации. Хотя функции, которые раньше позволяли похищать миллионы чуть ли не в автоматическом режиме, больше не работали, с точки зрения скрытности Lurk все еще был крайне опасным и профессионально сделанным зловредом.

Впрочем, несмотря на попытки освоить новые типы атак, дни Lurk были сочтены. Хищения продолжались до весны 2016 года, и сами преступники то ли из-за непоколебимой уверенности в собственной безнаказанности, то ли ввиду апатии, все меньше заботились об анонимности своих действий. Особенно в той части, где нужно было обналичивать деньги: на последнем этапе своей деятельности они использовали ограниченный набор подставных фирм, на счета которых выводились деньги – по крайней мере, судя по анализу деталей тех инцидентов, к которым мы были привлечены в качестве технических специалистов. Хотя, пожалуй, разнообразие счетов тогда уже не имело значения: и у нас, как у технических экспертов, и у правоохранительных органов накопилось достаточно материала, чтобы провести задержание. Что в итоге и случилось в начале июня этого года.

В интернете никто не знает, что ты киберпреступник?

По моему личному впечатлению, сложившемуся после работы над Lurk, участники этой группы были уверены в том, что никогда не будут пойманы. Основания для этой уверенности у них были: они использовали очень тщательный подход к сокрытию следов своей незаконной деятельности и в целом старались подходить ко всем задачам обстоятельно. Но, как и все люди, они совершали ошибки. Эти ошибки с годами накапливались и в результате позволили прекратить деятельность группы. Другими словами, хотя в интернете действительно гораздо проще скрыть улики, кое-какие следы не скроешь, и со временем профессиональная команда расследователей найдет способ их прочитать и выйти на виновников.

Lurk не первый и не последний пример, это доказывающий. Взять, к примеру, некогда известный банковский троянец SpyEye. Хищения с его помощью совершались примерно с 2009 по 2011 год, в то время как его предполагаемый создатель был арестован в 2013 году, а осужден в 2014 году.

Первые атаки с помощью банковского троянца Carberp начались примерно в 2010 году, а группа подозреваемых в создании и распространении этого троянца была арестована только в 2012 году, осуждена – в 2014 году. И так далее.

В истории деятельности каждой из этих и некоторых других киберпреступников был период, когда всем – и прежде всего самим их участникам – казалось, что они неуязвимы и полиции не удастся ничего сделать. Результаты говорят об обратном.

К сожалению, Lurk – не последняя группа киберпреступников, атакующая компании с целью финансовой наживы. Нам известно еще о нескольких подобных группах, которые атакуют организации в России и за ее пределами. По этим причинам мы рекомендуем всем организациям следующее:

  • В случае если вашу организацию атаковали хакеры, заявляйте в полицию и привлекайте экспертов в области цифровой криминалистики немедленно. Чем раньше поступит заявление, тем больше улик удастся собрать криминалистам, тем больше у правоохранителей будет информации, которая поможет поймать преступников.
  • Применяйте строгие политики информационной безопасности в отношении терминалов, с которых можно осуществлять финансовые транзакции, и сотрудников, которые с ними работают.
  • Обучайте всех сотрудников компании, у которых есть доступ в корпоративную сеть, правилам безопасной работы в интернете.

Следование этим правилам не устранит риск финансовой атаки на 100%, но создаст злоумышленникам серьезные трудности на пути к их цели и серьезно увеличит вероятность того, что в попытках преодолеть эти трудности они совершат ошибку. И облегчат тем самым работу правоохранительным органам и экспертам по информационной безопасности.

PS Почему так долго?

Правоохранительные органы и специалистов по информационной безопасности часто обвиняют в бездействии. Мол, хакеры остаются на свободе и уходят от ответственности, несмотря на огромный ущерб, причиненный жертвам.

История с Lurk доказывает обратное, а кроме того, может дать представление о том, какой объем работы должен быть проделан, чтобы возникли легальные основания для преследования подозреваемых. Проблема в том, что правила «игры» не одинаковы для всех участников: группа Lurk использовала профессиональный подход к организации криминального предприятия, но по понятным причинам не была обременена необходимостью следовать букве закона. Мы же, работая с правоохранителями, обязаны соблюдать закон, а это процесс долгий, прежде всего, из-за большого числа «бумажных» процедур и ограничений, которые законодательство накладывает на типы информации, с которыми мы, как коммерческая организация, можем работать.

Наше взаимодействие с правоохранителями в рамках расследования деятельности этой группы можно охарактеризовать как многоэтапный обмен данными. Мы предоставляли промежуточные результаты нашей работы правоохранителям, они их изучали с целью понять, есть ли у результатов нашей работы связь с результатами их изысканий. Потом мы получали наш набор данных, «обогащенный» информацией от правоохранителей. Причем не всей, что они смогли отыскать, а лишь той ее частью, с которой мы по закону имеем право работать. Этот процесс повторялся многократно, пока, наконец, не сложилась целостная картина деятельности Lurk. Однако это не было завершением дела.

Огромная часть нашей работы с правоохранительными органами была посвящена «переводу» сведений, которые нам удалось добыть, с «технического» на «юридический» — на язык, на котором результаты наших изысканий были бы описаны в надлежащих юридических терминах и были понятны судье. Это сложный и кропотливый процесс, но это единственный способ привлечь к ответственности виновных в подобных киберпреступлениях.

Охота на Lurk

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. Василий

    Я люблю расследования, читается на одном дыхании)
    А членов carbanak еще не посадили ?

  2. GG

    Нет и врядли посадят)

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике