В июне 2016 года стало известно о поимке предполагаемых членов ОПГ, которая подозревается в хищении почти 3 млрд рублей из российских банков. В расследовании активно участвовали исследователи из «Лаборатории Касперского», наблюдавшие активность группировки на протяжении шести лет. Участники группы Lurk систематически похищали из банков крупные суммы, используя вредоносное ПО. Эксперты «Лаборатории Касперского», участвовавшие в расследовании, опубликовали историю своей «охоты» на банковского троянца.

По словам исследователей, в начале своего пути, в 2011 году, Lurk казался обычным троянцем, при помощи которого неизвестные хакеры атаковали ряд банков. Целью зловреда были компьютеры финансовых организаций, на которых было установлено специализированное программное обеспечение для дистанционного банковского обслуживания. Троянец подменял реквизиты в платежных поручениях, которые автоматически формирует бухгалтер организации, либо формировал их с нуля.

Из-за того что пять лет назад банковское ПО не требовало аутентификации, а код программы находился в открытом доступе, похищение денег не требовало у злоумышленников значительных усилий. Кроме того, российские разработчики специализированных программ для ДБО немногочисленны, что сужало круг потенциальных мишеней для ОПГ. То есть злоумышленники исследовали имеющееся в открытом доступе банковское ПО и соответственно модифицировали свой зловред, фактически создавая нелегальную надстройку к легальному продукту.

Эксперты «Лаборатории» заметили Lurk в ходе расследования ряда инцидентов в банках, но при детектировании не было выявлено никаких признаков банкера, несмотря на очевидные функции зловреда, направленные на похищение средств. Это привлекло внимание исследователей, но первоначальный анализ ни к чему не привел, вредоносная программа просто бездействовала.

Следующий инцидент позволил команде исследовать образ атакованного компьютера, где был обнаружен dll-файл, доказавший, что Lurk имеет модульную структуру. Впоследствии этот троянец прирос целым набором дополнительных модулей, тогда как в 2011 году, на начальной стадии развития, он имел лишь два модуля.

Набор функций Lurk поставил этот зловред в один ряд с известными банкерами вроде ZeuS, SpyEye и Carberp. Одно время среди исследователей бытовала версия, что Lurk является модификацией другого банкера, как это было, например, в случае с ZeuS: после того как в Сети появился исходный код последнего, киберпреступники стали разрабатывать собственные модификации ZeuS.

В 2012 году сайты РИА «Новости», Gazeta.ru и других популярных ресурсов подверглись атаке watering hole, произведенной через брешь в RTB-системе: зайдя на зараженный сайт, пользователи перенаправлялись на специально созданную страницу с эксплойтом для Java. Эксплуатация уязвимости позволяла загрузить и запустить зловред, который собирал информацию о целевом компьютере и запрашивал у командного сервера дополнительную полезную нагрузку в зависимости от результатов первоначальной «разведки».

Исследователей привлекла техническая особенность программы — она не оставляла на жестком диске никаких следов, работая исключительно в оперативной памяти. Из-за этого зловред удалялся из атакованной системы с перезагрузкой, но успевал выполнить свою первоочередную задачу — провести разведку. Загрузка дополнительных компонентов происходила позже, в том случае, если на атакованном компьютере обнаруживались интересные для киберпреступников особенности, в частности программа для ДБО от одного из российских разработчиков.

Подбираясь к группировке Lurk, исследователи «Лаборатории» выяснили, что службы безопасности нескольких российских банков сталкивались с «кастомными» модификациями зловредов, созданных специально для определенных продуктов ДБО. Некоторые разработчики даже были вынуждены выпускать обновления каждую неделю. Если безопасники закрывали одну «дыру», таинственные вирусописатели быстро обнаруживали пути обхода. Такая оперативность, предполагающая реверс-инжиниринг кода банковской программы, требует серьезных навыков и человеческих ресурсов. Таким образом, за Lurk должна была стоять хакерская группировка, и эти подозрения оправдались.

К концу 2013 года, после участившихся инцидентов с участием Lurk, исследователи смогли составить представление о группировке, стоящей за операциями. Связанные с Lurk киберпреступники имели хорошее представление о средствах анонимизации и активно использовали шифрование и фальшивые личины для регистрации доменов. В составе ОПГ находилось примерно 15 человек, а на момент поимки «штат» группировки достиг 40 человек.

Команда представляла собой аналог реальных компаний полного цикла по разработке ПО: в состав группировки входили люди, обладающие определенными навыками и выполняющие четко регламентированный спектр задач в сфере разработки, тестирования, распространения и так далее. Рекрутинг участников происходил на сайтах для программистов-фрилансеров; кандидатам предлагали удаленную полную занятость с заработной платой до $2,5 тыс.

Однако, если на начальных этапах деятельности группировке было значительно легко добиваться поставленных целей, эволюция систем безопасности, в том числе в банковской среде, также не стояла на месте. Деятельность Lurk привлекла внимание служб безопасности и ИБ-компаний; разработчики программ для ДБО убрали продукты из открытого доступа и залатали все лазейки, а банки стали массово внедрять технологии, препятствующие автоматическому «сливу» денег из системы через модифицированные платежные поручения. К этому времени исследователи «Лаборатории» хорошо изучили Lurk и сотрудничали с правоохранительными органами, расследовавшими хищения.

Киберпреступники пытались противодействовать нововведениям, но кражи уже стали менее массовыми. В 2014 году оборот от деятельности ОПГ резко упал, а обеспечивать работу солидной и разветвленной инфраструктуры, обходившейся в десятки тысяч долларов ежемесячно, было нужно. Из-за резкого сокращения доходов мошенники не гнушались даже краткими набегами на компьютеры простых пользователей, довольствуясь несколькими тысячами рублей.

Преступники также пытались «диверсифицировать» свою деятельность и занялись развитием и арендой известного эксплойт-пака Angler, который изначально использовался группировкой для доставки Lurk. Статус Lurk как элитной киберпреступной группировки сделал Angler достаточно обширную рекламу, и эксплойт-пак пользовался бешеной популярностью.

Кроме развития Angler группировка Lurk нацелилась на крупную рыбу — известные российские банки. На подпольных форумах были замечены те же персоны, что призывали присоединиться к своему предприятию еще в «золотые годы» Lurk, и в 2015 году случился ряд инцидентов, связанных с клонированием SIM-карт без ведома владельцев, очевидно, для перехвата одноразовых паролей, требуемых при аутентификации в онлайн-банке. Опустошив счет жертвы, преступники исчезали. Однако банки тоже не стояли на месте и начали отслеживать изменение уникального номера SIM-карты. К тому же кампания с SIM-картами «развиртуализировала» некоторых участников Lurk, что способствовало их дальнейшей поимке.

Участники Lurk продолжали организовывать хищения вплоть до весны 2016 года, но все меньше заботились о своей анонимности — например, использовали ограниченный набор фирм-однодневок для вывода наличности. Как выразился один из исследователей «Лаборатории», «участники Lurk были уверены в том, что никогда не будут пойманы». Тем не менее после нескольких лет исследований эксперты смогли выйти на киберпреступников и способствовать их аресту.

Категории: Аналитика, Вредоносные программы, Главное, Мошенничество, Хакеры