Belső felépítés a nagy szervezeteknél

Ezek a csoportok gyakran sokmillió dolláros zsákmányt szereznek, akcióikat alapos, hónapokig tartó előkészítő munka előzi meg: az infrastruktúra kialakítása, a malware megalkotása és letesztelése, a célpont felderítése stb.

A csapatban szigorú munkamegosztás van: a programozók felelősek a malware megírásáért: ez gyakran legalább kettőt jelent, mivel eggyel meg kell fertőzni az adott rendszert, egy másikkal pedig meg kell szerezni az adatokat. Előfordul, hogy a feketepiacról beszerzett vírust módosítanak, de a nagy szervezetek „adnak magukra”, és a biztosabb siker érdekében maguk fejlesztik ki a malware-t – ilyenkor felértékelődik a programozók szerepe.

A vírusírók munkáját egészíti ki a tesztelőké, akik gyakorlatilag ugyanúgy dolgoznak, mint a legális világban, csak ők a specifikációk alapján a malware-ket tesztelik.

A webtervezők és webes programozók általában külsősök, akik távmunkában készítik el a hamis weboldalakat, az adathalász honlapokat, a fertőző weboldalakat stb.

A disztribútorok munkája az, hogy a kész kártékony programokat a lehető legtöbb eszközre eljuttassák: ők profilozzák a felhasználókat, trükköket találnak ki, hogy a vírust és a felhasználót összehozzák (pl. fertőzött e-mailek vagy weboldalak).

Előfordul, hogy a kiválasztott módszer nem elegendő minden célba vett számítógép megfertőzésére, ilyenkor alkalmaznak hackereket, vagyis olyan nagy tudású informatikusokat, akik jó pénzért hajlandóak az adott egyedi problémákat megoldani – ők az egész folyamat legképzettebb szakemberei.

A beindított sikeres támadás technikai hátterét, a zökkenőmentes működést, a kódok működésének ellenőrzését a rendszergazdák látják el – ők is hasonlóképp dolgoznak, mint a legális világban tevékenykedő kollégáik, csak a céljuk más.

Létezik még egy speciális feladatkör is a bandákban, az „ügyfélszolgálatosé”. A sikerhez bizonyos esetekben nem elegendő a technológiai háttér, valódi emberektől is szükség van információkra, esetleg interakciókra. Ezt oldják meg a social engineeringben járatos bűnözők, akik például a szóbeli megerősítést adják meg, magukat a célba vett intézmény alkalmazottjának kiadva.

A folyamat végén állnak azok, akik a technikai végrehajtás után valójában megszerzik a pénzt (money flow managers), az ő szerepük kiemelten fontos. A pénzhez hozzájutni többféle módon lehetséges, ez intézményenként változik, ezért ezek a bűnözők alaposan felkészülnek, a pénzintézmény működésének legapróbb részleteit is megismerik, hogy kidolgozzák azt a módszert, amellyel a legbiztosabban, a legkisebb kockázattal hozzá lehet jutni az ellopni kívánt összegekhez. Nagy hozzáértést és felkészültséget kívánó munka, így ők kiemelt szerepet játszanak a bűntényben, és általában részesedést kapnak, nem fix összeget.

Ha megvan a zsákmány, akkor lépnek színre a pénzmosók, akik egy saját maguk által létrehozott infrastruktúra segítségével megjáratják a lopott pénzt, eltüntetik, tisztára mossák, majd eljuttatják a lopás megszervezőihez, a vezetőkhöz, illetve a megadott helyre.

Külön feladatuk van az úgynevezett „stuffereknek”, akiknek szintén egyfajta pénzmosó szerepük van: az ellopott pénzen árukat vásárolnak az e-boltokban, majd ezeket eladják, és a pénzt eljuttatják a megadottaknak, százalék fejében.

A sor végén áll az „agy”, a főnök, aki az akciókat kitalálja és megszervezi.

A fenti szerepek természetesen a gyakorlatból elvont általánosítások, nincs kőbe vésve, hogy így kell működni, ezek a szervezetek rugalmasan alakítják saját struktúrájukat. A Kaspersky szakemberei a vizsgált csoportok tevékenysége alapján hasonlóképp elvonták egy átlagos támadás forgatókönyvét is:

• felderítés: a legfontosabb, hogy a lehető legtöbb releváns információt összegyűjtsék a célpontról
• fertőzés: a meghatározott módszerekkel be kell juttatni a kártékony kódokat a célba vett rendszerekbe (fertőzött e-mail, fertőzött weboldal stb.), majd a fertőzés elrejtése és stabilizálása
• a rendszer felderítése, az adatlopó program implementálása távolról
• a pénz megszerzése

A jelentés végén a Kaspersky szakemberei kitérnek arra, hogy miért olyan sikeresek az orosz nyelvű kiberbűnözők (is):

• nincs elég képzett szakember a bűnüldöző szerveknél
• az elégtelen törvényi környezet miatt a bűnözők könnyen elkerülhetik a felelősségre vonást vagy enyhe büntetéssel megússzák
• mivel ez a fajta bűnözés nemzetközi, fellépni ellene csak nemzetközi összefogással lehet, és ez jelenleg nem kielégítő