Nemrég mi is beszámoltunk róla, hogy A Kaspersky Lab szakértői és a Sberbank, Oroszország egyik legnagyobb bankja az orosz rendvédelmi hatóságokkal szorosan együttműködve vizsgálták a Lurk hackercsoport tevékenységét, melynek eredményeképpen 50 személyt tartóztattak le. Az őrizetbe vett hackerek a gyanú szerint fertőzött számítógépekből álló hálózat létrehozásában vettek részt, melynek segítségével 2011 óta több mint 45 millió dollárt (3 milliárd rubelt) tulajdonítottak el bankoktól, valamint más pénzügyi intézményektől és vállalkozásoktól. Ez volt az eddigi legnagyobb szabású, hackereket érintő letartóztatás Oroszországban.

Univerzális eszközcsomag

A Kaspersky Lab most újabb információkat osztott meg a nyilvánossággal a Lurkról, és ezek szerint a Lurk vírus IT-infrastruktúrájának vizsgálata szerint a hackerek más kiberbűnözőknek is bérbe adták exploit-csomagjukat. Az Angler exploit-csomagban olyan rosszindulatú programok találhatók, amelyek alkalmasak egy szoftver biztonsági résének kihasználására, és titokban további vírusokat telepítenek a számítógépre.

A felmérés szerint az Angler exploit-csomag volt az egyik leghatékonyabb hackerek számára elérhető eszköz. Először 2013-ban észlelték, mikortól a csomagot bérbe is lehetett venni. Több kiberbűnöző csoport használta különböző fajta vírusok terjesztésére a reklámvírusoktól a bank- és zsarolóvírusokig. Ezt az exploit-csomagot használta az egyik legaktívabb és legveszélyesebb zsarolóvírus, a CryptXXX mögött álló csoport. Az Anglert használták a Neverquest trójai bankvírus terjesztésére is, amely majdnem 100 különböző bankot támadott meg. Az Angler aktivitás pont a Lurk csoport letartóztatása után szakadt meg – írják a Kaspersky szakértői.

Nem ment a bolt, lépni kellett

A biztonsági szakértők kutatása azt mutatja, hogy az Angler exploit-csomagot eredetileg azért készítették, hogy egy megbízható és hatékony csatorna legyen a Lurk csoport számára, amelyen keresztül eljuttathatják bankvírusaikat a célpontok számítógépeire. Mivel egy nagyon zárt csoportról van szó, a Lurk egyedül irányította teljes infrastruktúráját bármilyen külső segítség nélkül, de 2013-ban megváltozott a helyzet és hozzáférést biztosítottak bárkinek, aki fizetett érte.

„Feltételezzük, hogy az Angler megnyitása részben az üzemeltetési költségek kifizetésének szükségességéből adódott. Mire megkezdték bérbe adni az Anglert, fő tevékenységük, a kiberrablás jövedelmezősége csökkent, mert bankszoftver fejlesztők új biztonsági lépéseket vezettek be, és ez sokkal nehezebbé tette a lopást a hackerek számára. De addigra a Lurk csoportnak óriási hálózati infrastruktúrája volt, és ennek üzemeltetése pénzbe került. Ezért úgy döntöttek, hogy kiterjesztik tevékenységi körüket, és bizonyos mértékben ez sikerült is nekik. Míg a Lurk trójai bankvírusa csak orosz szervezeteket veszélyeztetett, az Anglert világszerte használták kibertámadásokban” – értelmezte a jelentés eredményeit Ruszlan Sztojanov, a számítógépes nyomozási osztály vezetője.

Az Angler exploit-csomag kifejlesztésén kívül más mellékprojektjei is voltak a Lurk csoportnak. Több mint öt év alatt a csoport az automatizált pénzlopástól tovább fejlődött szofisztikáltabb tevékenységek irányában, mint a SIM-kártyás csalások, vagy az olyan szakértők meghackelése, akik járatosak a bankok belső infrastrukturájában. Ebben az időszakban a Lurk csoport minden lépését megfigyelték és dokumentálták a Kaspersky Lab biztonsági szakértői.