Статьи

«Лабораторія Касперського» представила звіт про групу Lurk, що створила експлоїт кит Angler

У червні 2016 року ФСБ і МВС Росії повідомили про арешт учасників хакерської групи Lurk: було затримано більше 50 осіб з 15 регіонів Росії. Учасники групи систематично викрадали великі суми з рахунків комерційних організацій, використовуючи для атак шкідливе ПЗ. Вчора, 30 серпня 2016 року, експерти «Лабораторії Касперського» представили розгорнуту доповідь про діяльність групи Lurk, яку співробітники компанії вивчали протягом шести років. У звіті дослідники розповіли, що саме члени Lurk створили експлоїт кит Angler, в останні роки домінував на ринку експлоїт-паків.

Експерти пишуть, що «познайомилися» з Lurk ще в 2011 році, і тоді він був для них лише «безіменній троянської програмою». За минулі з цього моменту роки фахівці компанії накопичили чималий багаж знань про однойменну хакерської групи, який в підсумку став у нагоді правоохоронним органам, допоміг затримати підозрюваних і припинити розкрадання, якими займалася угруповання.

У 2011 році хакери використовували потайливу малваре, яка в автоматичному режимі взаємодіяла з ПО для дистанційного банківського обслуговування (ДБО), підміняючи реквізити у платіжних дорученнях, які формує бухгалтер атакований організації, або малваре самостійно формувала такі доручення.

«Зараз, в 2016 році, має бути досить дивно читати про банківський ПО, яке не вимагає ніяких додаткових заходів аутентифікації, але тоді саме так все і було: для того, щоб почати безперешкодно викрадати гроші, в більшості випадків зловмисникам потрібно було лише заразити комп'ютер , на якому встановлено ПЗ для роботи з системами ДБО. У 2011 році банківська система Росії, та й багатьох інших країн, ще не була готова до подібних атак, і зловмисники активно цим користувалися », - пише керівник відділу розслідувань комп'ютерних інцидентів Руслан Стоянов.

Під час розслідувань в 2011 році дослідники помітили дивну особливість: внутрішня система найменувань шкідливих програм «Лабораторії Касперського», по якій перевірили сигнатуру малварі, показала, що це проста троянська програма, яка робить що завгодно (розсилає спам, наприклад), тільки не краде гроші . Хоча гроші шкідливий, зрозуміло, викрадав.

«З цієї причини ми вирішили подивитися на зловредів уважніше, але перші спроби наших аналітиків зрозуміти, як влаштована програма, не дали нічого. Будучи запущеної і на віртуальній машині, і на цій, вона вела себе однаково: нічого не робила. Власне, саме так і з'явилося ім'я зловреда: Lurk (англ. Зачаїтися) », - розповідає Стоянов.

Незабаром дослідники знову зіткнулися з «продуктами» Lurk, і тоді вдалося виявити додатковий .dll файл, з яким основний виконуваний файл вмів взаємодіяти. Так фахівці отримали перші докази того, що малваре Lurk має модульну структуру. На той момент троян обходився лише двома компонентами, в наступні роки арсенал малварі істотно розширився.

Наступна «зустріч» дослідників з Lurk сталася вже в 2012 році. Тоді, після арешту учасників хакерської групи Carberp, в кіберзлочинністю середовищі сталася своєрідні зміна лідерства, в ході якої група Lurk обійшла конкурентів. Втім, ще за кілька тижнів до цієї події сайти «РІА Новини», Gazeta.ru та інших російських медіа піддалися атаці watering hole.

Невідомі зуміли впровадити в рекламні оголошення на сайтах шкідливу програму. З технічної точки зору ця малваре була незвичайною: на відміну від більшості інших шкідників, цей не залишав на жорсткому диску атакований системи ніяких слідів, а працював тільки в оперативній пам'яті машини. Основною функцією малварі була розвідка, а вторинна завдання полягало в завантаженні і встановленні додаткового шкідливого ПЗ. Лише значно пізніше дослідники «Лабораторії Касперського» дізнаються, що цим безіменним і безтілесним модулем був mini - одна з переліку шкідливих програм, що використовувалися Lurk.

«Тоді ми ще не були впевнені, що за Lurk, відомим нам з 2011 року, і за Lurk, який ми виявили в 2012 році, стояли одні й ті ж люди. У нас було дві версії: або Lurk був програмою, написаної на продаж, і варіанти 2011 і 2012 років - це результати діяльності двох різних груп, які купили зловредів у автора, або версія 2012 була розвитком раніше відомого троянця », - пояснює експерт.

Лише в 2013 році фахівці компанії прийшли до висновку, що за різними версіями Lurk повинна стояти одна організована злочинна група фахівців в області кібербезпеки. Інциденти за участю малварі Lurk знову поновилися, і у дослідників з'явилася безліч нової інформації для аналізу, який, визнають експерти, не можна було назвати легким:

«Не можна сказати, що це було легко. Ті, що стояли за Lurk люди мали гарне уявлення про засоби анонімізації своєї активності в мережі. Вони активно використовували шифрування в повсякденних комунікаціях, фальшиві дані для реєстрації доменів або сервіси анонімної реєстрації і т.д. Іншими словами, не те щоб ми взяли ім'я і прізвище з Whois і відшукали потрібних користувачів в мережі «Вконтакте» або Facebook. Таких грубих помилок угруповання Lurk не допускала ».

Проте, хакери все ж допускали помилки (які саме не повідомляється), завдяки яким вдалося зрозуміти, що до складу Lurk входять приблизно 15 чоловік (на останньому етапі діяльності групи число «постійних» учасників зросла до 40).

Проте, хакери все ж допускали помилки (які саме не повідомляється), завдяки яким вдалося зрозуміти, що до складу Lurk входять приблизно 15 чоловік (на останньому етапі діяльності групи число «постійних» учасників зросла до 40)

Хакерська група працювала як невелика компанія з розробки ПЗ: забезпечувала «повний цикл» розробки, доставки і монетизації малварі. На той момент у цій «компанії» було два ключових «продукту»: шкідлива програма Lurk і величезний ботнет з заражених з її допомогою комп'ютерів. Поки розробники і тестувальники працювали безпосередньо над малваре, ботнетом займалася інша команда, «адміністратор, оператори, Заливники і інші співучасники, що працюють з ботами через адміністративну панель». Так як все це вимагало людських ресурсів, керівники групи шукали сотруднікво на звичайних сайтах з підбору персоналу для віддаленої роботи. Про нелегальність роботи у вакансіях замовчували, замість цього кандидатам влаштовували різні перевірки.

Одна з вакансій Lurk

«Той період цілком можна назвати« золотим »в історії діяльності Lurk, оскільки через недоліки в захисті транзакцій в системах ДБО викрадення грошей через заражену машину бухгалтера в атакований організації було справою не те що не вимагає особливих навичок, а часом просто автоматичним. Але все коли-небудь закінчується ».

Пізніше, в 2013-2014 роки, індустрія нарешті почала реагувати на дедалі частіші випадки розкрадань. Виробники ПЗ для ДБО прибрали свої продукти з відкритого доступу. Також банки почали масово протидіяти так званому «автозаліву» - процедурі, в ході якої зловмисники змінювали за допомогою малварі дані платіжного доручення, створеного бухгалтером, і автоматично викрадали гроші.

На той час дослідникам «Лабораторії Касперського» вдалося запустити нормально функціонуючий скрипт шкідливий, що дозволяло стежити за зловмисниками і оновленнями в їх «продукт».

Але реакція індустрії і «закручування гайок» допомогли. У 2014 році обороти Lurk істотно впали і група почала атакувати всіх підряд, не гребуючи навіть атаками на звичайних користувачів, які приносили лише кілька десятків тисяч рублів. Експерти вважають, що причина такої поведінки була проста: злочинна група на той момент була розгалужену і дорогу мережеву інфраструктуру, потрібно було платити співробітникам, оплачувати оренду VPN, серверів і так далі. Хакерам відчайдушно потрібні гроші.

Саме тоді, намагаючись повернути собі втрачені позиції, група Lurk вирішила розширити поле і сферу своєї діяльності. Зокрема, це означало розробку, підтримку і надання в оренду іншим злочинцям експлоїт кита Angler (спочатку відомого під ім'ям XXX). Спочатку Angler просто використовувався для доставки вредосноса Lurk на комп'ютери жертв, але коли справи у групи пішли погано, власники вирішили відкрити платний доступ до інструментарію для менш великих груп.

Так як на той момент в андеграундних колах група Lurk мала культовий статус, Angler дуже швидко набрав популярність, як «продукт», створений абсолютними авторитетами кіберандерграунда. До того ж Angler дійсно демонстрував відмінні результати і працював дуже ефективно.

Але експлоїт кит був не єдиним новим вектором роботи зловмисників. У 2015 році по деяким містам Росії прокотилася хвиля повідомлень про зловмисників, які за допомогою підроблених довіреностей здійснювали перевипуск SIM-карт без відома їхніх справжніх власників. Навіщо шахраям знадобилися чужі SIM-карти? Вся справа була в одноразових паролів, які банки надсилають користувачам для підтвердження транзакцій в інтернет-банкінгу або системі ДБО. Угруповання Lurk заражала комп'ютери жертв, виявляла і викрадала їх особисті дані, а потім, спираючись на ці дані, виготовляла копії SIM-карт. Після цього хакери викрадали все кошти з рахунку жертви. Схема пропрацювала недовго. Незабаром банки почали впроваджувати захисні механізми, які відстежують зміни унікальних номерів SIM-карт.

У тому ж 2015 року учасники Lurk стали демонструвати почерк, дуже схожий на почерк інший хакерської групи - Carbanak . Хакери стали наймати фахівців, які володіли "глибокими знаннями про те, як влаштована IT-інфраструктура банку-мішені, який в цьому банку розпорядок дня, хто є ключовими співробітниками, які мають доступ до ПЗ для проведення транзакцій". В результаті атаки на фінансові організації ретельно планувалися, всі слабкі місця обчислювалися заздалегідь, і сама атака займала лічені години.

Крадіжки тривали аж до весни 2016 року, але до цього часу члени групи почали втрачати обережність:

«Самі злочинці чи то через непохитної впевненості у власній безкарності, чи то через апатії, все менше дбали про анонімність своїх дій. Особливо в тій частині, де потрібно було переводити гроші в готівку: на останньому етапі своєї діяльності вони використовували обмежений набір підставних фірм, на рахунку яких виводилися гроші - по крайней мере, судячи з аналізу деталей тих інцидентів, до яких ми були залучені в якості технічних фахівців » , - пише Стоянов.

Втім, на той момент у експертів і правоохоронних органів і так вистачало матеріалів для затримання учасників групи, так що не можна сказати, що рахунки зіграли в цій справі вирішальну роль.

На закінчення своєї доповіді керівник відділу розслідувань комп'ютерних інцидентів пише, що дорівнює або пізно попадаються всі. Як приклади Стоянов призводить схожі історії: банківський троян SpyEye працював з 2009 року, але в 2013 році його автора все ж заарештували. Така ж доля спіткала і розробника Банкера Carberp, засудженого в 2014 році, хоча троян діяв з 2010 року.

«На моє особисте враження, що склався після роботи над Lurk, учасники цієї групи були впевнені в тому, що ніколи не будуть спіймані. Підстави для цієї впевненості у них були: вони використовували дуже ретельний підхід до приховування слідів своєї незаконної діяльності і в цілому намагалися підходити до всіх завдань докладно. Але, як і всі люди, вони робили помилки. Ці помилки з роками накопичувалися і в результаті дозволили припинити діяльність групи. Іншими словами, хоча в інтернеті дійсно набагато простіше приховати докази, деякі сліди не приховаєш, і з часом професійна команда розслідувачів знайде спосіб їх прочитати і вийти на винуватців », - робить висновок Стоянов.

Настільки тривалі періоди часу, які в підсумку потрібні для упіймання зловмисників, експерт пояснив просто: робота з правоохоронними органами зобов'язує дослідників дотримуватися закону. Процес роботи перетворюється в багатоетапний обмін даними і розтягується через великої кількості «паперових» процедур і обмежень, які законодавство накладає на типи інформації, з якими комерційна організація може працювати. Також фахівцям доводиться «переводити» отримані відомості з «технічного» мови на «юридичний». Адже результати досліджень повинні бути описані в належних юридичних термінах і повинні бути зрозумілі судді.

Навіщо шахраям знадобилися чужі SIM-карти?

Новости