Zloglasna združba Lurk je svoj najmočnejši programski komplet Angler oddajala tudi v najem

09.09.2016
Objavil: Dare Gliha

Ob začetku poletja je Kaspersky Lab sodeloval pri aretaciji osumljencev, ki so bili del združbe Lurk. Ta naj bi številnim podjetjem in bankam v Rusiji ukradla več kot 40 milijonov evrov. Šlo je za eno največjih aretacij finančne kibernetske skupine v zadnjih letih.

Kljub temu pa to ni bila edina kriminalna aktivnost te kibernetske združbe. Analiza informacijske infrastrukture v ozadju zlonamerne programske opreme, ki jo je združba Lurk uporabljala, kaže, da so kriminalci razvijali in oddajali svoj programski komplet za izkoriščanje ranljivosti informacijskega sistema tudi drugim kibernetskim kriminalcem. Tako imenovani Angler predstavlja skupek zlonamernih programov, ki omogočajo izkoriščanje ranljivosti razširjene programske opreme in tiho nameščanje dodatne zlonamerne programske opreme na računalnike.

Programski komplet Angler je eno najmočnejših orodij, ki je hekerjem na voljo na črnem trgu. Aktivnosti delovanja kompleta segajo v 2013, ko so ga lahko za povzročanje različnih groženj uporabile številne kriminalne kibernetske združbe. Programski komplet Angler so tako lahko uporabljale pri širjenju oglaševalske in bančne zlonamerne programske opreme, pa tudi pri izsiljevalski zlonamerni programski opremi. Na primer, uporabljale so ga kibernetske skupine v ozadju izsiljevalske opreme CryptXXX, ki je ena najaktivnejših in najnevarnejših izsiljevalski groženj na spletu, pa tudi zlonamerne programske opreme TeslaCrypt in drugih. Angler je bil uporabljen tudi za širjenje bančnega trojanca Neverquest, ki je napadel okoli 100 različnih bank. Delovanje kompleta je postalo ovirano prav po aretaciji združbe Lurk.

Raziskava, ki so jo izvedli strokovnjaki Kaspersky Laba, je pokazala, da je bil programski paket Angler primarno namenjen združbi Lurk. Služil je kot zanesljiv in učinkovit kanal, preko katerega je združba na računalnike nameščala bančno zlonamerno programsko opremo. Kot zaprta skupina je združba Lurk poskušala pridobiti nadzor nad svojo ključno infrastrukturo namesto da bi dele le-te pridobila drugje, kot to počnejo druge skupine. A v 2013 je združba omogočila dostop do programskega kompleta vsem, ki so zanj bili pripravljeni plačati.

»Odločitev združbe Lurk, da omogoči dostop do programskega paketa Angler, je verjetno spodbudila potreba po plačilu stroškov. Pred to odločitvijo se je namreč dobičkonosnost njihovega osnovnega posla – kibernetska kraja organizacijam – zmanjševala zaradi številnih varnostnih ukrepov, ki so jih vpeljali razvijalci programske opreme za oddaljen dostop do bančnega sistema. Ko je združba Lurk imela razvito infrastrukturo omrežja in veliko število »osebja«, je bilo to potrebno tudi plačati. Zato se je odločila za razširitev svojega posla, s čemer je do neke mere tudi uspela. Programski komplet Angler je bil uporabljen v napadih na uporabnike po vsem svetu,« pojasnjuje Ruslan Stoyanov, vodja oddelka za preiskave računalniških incidentov pri Kaspersky Labu.

Razvoj in podpora delovanju programskega paketa Angler ni edina postranska aktivnost združbe Lurk. V več kot petletnem obdobju se je družba preusmerila iz ustvarjanja močne zlonamerne programske opreme za samodejno krajo denarja prek programske opreme za oddaljen dostop do bančnih storitev v dovršene načine kraje z zlorabo SIM-kartic (angl. SIM-card swap fraud) in vdori strokovnjakov, ki se spoznajo na bančno infrastrukturo.

Delovanje združbe Lurk spremljajo in beležijo strokovnjaki Kaspersky Laba. Več o tem, kako je Kaspersky Lab raziskoval aktivnosti združbe Lurk v minulem petletnem obdobju, preberite na Securlist.com. Kaj se lahko podjetja naučijo od združbe za finančni kibernetski kriminal Lurk, je zapisano v objavi na Kaspersky Labovem blogu za podjetja.