Stručnjaci iz kompanije Kaspersky Lab u saradnji sa Sberbankom, jednom od najvećih banaka u Rusiji, kao i predstavnicima Ministarstva unutrašnjih poslova Rusije sarađivali su na istrazi kriminalne grupe Lurk, čiji je rezultat bilo hapšenje 50 osoba. Uhapšene osobe sumnjiče se za kreiranje mreže zaraženih računara pomoću koje su od 2011. godine ukrali više od 45 miliona američkih dolara (3 milijarde rubalja[1]) iz banaka, drugih finansijskih institucija i kompanija. Ovo je najveće hapšenje hakerskih grupa koje je do sada zabeleženo u Rusiji.
Tokom 2011. godine, stručnjaci iz kompanije Kaspersky Lab uočili su aktivnost organizovane sajber kriminalne grupe koja je koristila Lurk Trojan virus – sofisticiran, univerzalni i višemodularni malver sa širokim funkcionalnim karakteristikama koje su mu omogućile da dobije pristup računarima žrtava. Tačnije, ova krimnalna grupa tražila je način da se infiltrira u sisteme udaljenih bankarskih servisa kako bi mogla da krade novac sa računa klijenata.
„Od samog početka, stručnjaci iz kompanije Kaspersky Lab bili su uključeni u policijsku istragu grupe Lurk. Odmah smo shvatili da je Lurk grupa ruskih hakera koja predstavlja ozbiljnu pretnju organizacijama i korisnicima. Kriminalna grupa Lurk počela je da napada banke pre otprilike godinu i po dana, dok je pre toga njen maliciozni program targetirao brojne kompanije i potrošačke sisteme“.
„Stručnjaci iz naše kompanije analizirali su maliciozan softver i identifikovali mrežu računara i servera koju su kreirali hakeri. Pomoću ovih informacija, predstavnici policije bili su u mogućnosti da identifikuju osumnjičene i prikupe dokaze o kriminalnim delima koja su oni počinili. Veoma smo zadovoljni što ćemo pomoći u privođenju sajber kriminalaca pravdi”, izjavio je Ruslan Stojanov (Ruslan Stoyanov), direktor sektora za kompjuterske incidente u komapniji Kaspersky Lab.
Tokom hapšenja, ruska policija uspela je da spreči transakciju lažnog novca u iznosu od preko 30 miliona američkih dolara (2.273 milijardi rubalja[2]).
Lurk Trojan virus
Kako bi distribuirala malver, hakerska grupa Lurk inficirala je veliki broj legitimnih veb stranica, uključujući i stranice vodećih svetskih medija i novinskih agencija. Sve što je bilo neophodno za infekciju jeste da žrtva poseti veb stranicu koja je bila zaražena Lurk Trojan virusom. Nakon što bi se našao na žrtvinom računaru, malver bi počeo sa preuzimanjem dodatnih malicioznih modula koji bi mu omogućili da ukrade žrtvin novac.
Medijske veb stranice nisu bile jedine legitimne mete ove grupe. Kako bi prikrili svoje tragove iza VPN konekcije, kriminalci su takođe inficirali brojne IT i telekomunikacione kompanije, i koristili njihove servere kako bi ostali anonimni.
Lurk Trojan virus je prepoznatljiv po tome što svoj maliciozni kod ne skladišti u računaru žrtve već u RAM memoriji. Takođe, njegovi kreatori uložili su veliki napor kako bi antivirus rešenjima bilo što komplikovanije da ga detektuju. Zbog toga su iskrostili različite VPN usluge, anonimnu Tor mrežu, kompromitovane Wi-Fi konekcije i servere napadnutih IT organizacija.
Kompanije moraju obratiti pažnju na bezbednosne mere i redovno obavljati IT bezbednosne provere kako bi bili zaštićeni makar od poznatih sajber pretnji. Takođe je veoma važno da edukuju zaposlene o osnovama odgovornog sajber ponašanja.
Pored toga, neophodno je da kompanije uvedu bezbednosne mere koje će im omogućiti da detektuju ciljani napad koji je u toku. Najbolja strategija jeste sveobuhvatan pristup gde se dopunjuju prevencija i detekcija pretnji, uz značajne investicije u sistem detekcije i odgovora na pretnje. Čak i najsofisticiraniji ciljani napadi mogu biti uočeni usled abnormalne aktivnosti, u poređenju sa redovnim opterećenjem u svakodenvnom poslovanju.
Kaspersky Lab detektuje Lurk Trojan virus kao Trojan.Win32.Lurk, Trojan-Banker.Win32.Lurk, Trojan-Spy.Win32.Lurk.