A Kaspersky Lab 2011-ben fedezte fel egy szervezett kiberbűnözői csoport tevékenységét, amely a Lurk trójait – egy fejlett, univerzális, több modulos, kiterjedt funkcionalitással ellátott rosszindulatú programot – használta az áldozatok számítógépe feletti ellenőrzés megszerzésére. Egész pontosan a kiberbűnözők az online banki szolgáltatások meghekkelésével kíséreltek meg pénzt ellopni az ügyfelek bankszámlájáról.
“A Kaspersky Lab szakértői a kezdetektől fogva közreműködtek a rendvédelmi szervek Lurk elleni nyomozásában. Már a vizsgálat korai szakaszában megállapítottuk, hogy a Lurk orosz hackerek egy csoportja, amely komoly fenyegetést jelent a szervezetekre és a felhasználókra. A Lurk másfél évvel ezelőtt kezdte támadni a bankokat; ezt megelőzően a rosszindulatú programjával különféle vállalati és otthoni számítógépeket vett célba.
“Vállalatunk szakértői elemezték a rosszindulatú szoftvert, továbbá azonosították a hackerek hálózatának számítógépeit és szervereit. Ezen ismeretek birtokában az orosz rendőrség azonosítani tudta a gyanúsítottakat, és bizonyítékokat gyűjtött az elkövetett bűncselekményekről. A jövőben is segíteni fogjuk a hatóságokat abban, hogy minél több kiberbűnöző kerüljön az igazságszolgáltatás látókörébe.” - mondta Ruslan Stoyanov, a számítógépes incidensek kivizsgálásával foglalkozó részleg vezetője a Kaspersky Labnél.
A letartóztatás során az orosz rendőrségnek sikerült megakadályoznia több mint 30 millió dollár (2,273 milliárd rubel) hamis tranzakciókkal történő átutalását.
A Lurk trójai
A rosszindulatú program terjesztése érdekében a Lurk csoport egy sor legális webhelyet – köztük vezető média- és híroldalakat – fertőzött meg kihasználó kóddal. Az áldozatok egyszerűen egy ily módon feltört oldal meglátogatásával fertőződtek meg a Lurk trójaival. Mihelyt a programkártevő az áldozat PC-jére kerül, azonnal elkezd további rosszindulatú modulokat letölteni, amelyek lehetővé teszik a célszemély pénzének ellopását.
Nem csupán a média weboldalak voltak a csoport nem pénzügyi indíttatású célpontjai. Annak érdekében, hogy elrejtőzzenek egy VPN-kapcsolat mögött, a bűnözők ugyancsak behatoltak több IT és telekommunikációs vállalat informatikai rendszerébe, és azok szervereit használták anonimitásuk megőrzésére.
A Lurk trójai sajátossága, hogy a rosszindulatú kódja nem az áldozat számítógépén tárolódik, hanem a véletlen elérésű memóriában (RAM-ban). Ráadásul a trójai fejlesztői mindent megtettek azért, hogy az antivírus programok számára a lehető legnehezebbé tegyék a Lurk észlelését. Ennek érdekében különféle VPN-szolgáltatásokat, az anonim Tor hálózatot, feltört WiFi hozzáférési pontokat és megtámadott IT-szervezetek szervereit használták.
Felhívjuk a vállalatokat, hogy fordítsanak nagyobb figyelmet az informatikai biztonságukra, és rendszeresen végezzék el IT-infrastruktúrájuk biztonsági átvilágítását annak érdekében, hogy legalább az ismert sérülékenységek ellen védve legyenek. Szintén nagyon fontos, hogy megtanítsák alkalmazottaiknak a biztonságtudatos viselkedés alapjait.
Mindezeken túlmenően egy vállalatnak olyan óvintézkedéseket kell bevezetnie, amelyek révén képes észlelni a folyamatban lévő célzott támadásokat. A legjobb stratégia a fenyegetés-megelőzési megoldásokat kiegészíteni fenyegetés-észlelési és -elhárítási funkciókkal. Még a legfejlettebb célzott támadások is felismerhetők a szokásos üzleti folyamatoktól eltérő, abnormális tevékenységükről.
A Kaspersky Lab által a célzott támadások észlelésére kifejlesztett legújabb megoldás, a Kaspersky Anti Targeted Attack Platform egy intelligens rendszert tartalmaz az ilyen anomáliák elemzésére.
A Kaspersky Lab a Lurk trójait Trojan.Win32.Lurk, Trojan-Banker.Win32.Lurk és Trojan-Spy.Win32.Lurk neveken azonosítja.