A Kaspersky Lab szakértői és a Sberbank, Oroszország egyik legnagyobb bankja az orosz rendvédelmi hatóságokkal szorosan együttműködve vizsgálta a Lurk hackercsoport tevékenységét, melynek eredményeképpen 50 személyt tartóztattak le. Az őrizetbe vett hackerek a gyanú szerint fertőzött számítógépekből álló hálózat létrehozásában vettek részt, melynek segítségével 2011 óta több mint 45 millió dollárt (3 milliárd rubelt ) tulajdonítottak el bankoktól, valamint más pénzügyi intézményektől és vállalkozásoktól. Ez volt az eddigi legnagyobb szabású, hackereket érintő letartóztatás Oroszországban.
2011-ben figyeltek fel rá
A Kaspersky Lab 2011-ben fedezte fel egy szervezett informatikai bűnözői csoport tevékenységét, amely a Lurk trójait – egy fejlett, univerzális, több modulos, kiterjedt funkcionalitással ellátott rosszindulatú programot – használta az áldozatok számítógépe feletti ellenőrzés megszerzésére. Egész pontosan a kiberbűnözők az online banki szolgáltatások meghekkelésével kíséreltek meg pénzt ellopni az ügyfelek bankszámlájáról.
A Kaspersky szakértői elemezték a rosszindulatú szoftvert, továbbá azonosították a hackerek hálózatának számítógépeit és szervereit. Ezen ismeretek birtokában az orosz rendőrség azonosítani tudta a gyanúsítottakat, és bizonyítékokat gyűjtött az elkövetett bűncselekményekről.
Mindenre figyeltek a bűnözők - hihetetlenül aprólékos tervezés
A rosszindulatú program terjesztése érdekében a Lurk csoport egy sor legális webhelyet – köztük vezető média- és híroldalakat – fertőzött meg kihasználó kóddal. Az áldozatok egyszerűen egy ily módon feltört oldal meglátogatásával fertőződtek meg a Lurk trójaival. Mihelyst a programkártevő az áldozat PC-jére kerül, azonnal elkezd további rosszindulatú modulokat letölteni, amelyek lehetővé teszik a célszemély pénzének ellopását.Nem csupán a média weboldalak voltak a csoport nem pénzügyi indíttatású célpontjai.
Annak érdekében, hogy elrejtőzzenek egy VPN-kapcsolat mögött, a bűnözők ugyancsak behatoltak több IT and telekommunikációs vállalat informatikai rendszerébe, és azok szervereit használták anonimitásuk megőrzésére.
A Lurk trójai sajátossága, hogy a rosszindulatú kódja nem az áldozat számítógépének merevlemezén tárolódik, hanem a véletlen elérésű memóriában (RAM-ban). Ráadásul a trójai fejlesztői mindent megtettek azért, hogy az antivírus programok számára a lehető legnehezebbé tegyék a Lurk észlelését. Ennek érdekében különféle VPN-szolgáltatásokat, az anonim Tor hálózatot, feltört Wi-Fi hozzáférési pontokat és megtámadott IT-szervezetek szervereit használták.
