В июне 2016 года ФСБ и МВД России сообщили об аресте участников хакерской группы Lurk: были задержаны более 50 человек из 15 регионов России. Участники группы систематически похищали крупные суммы со счетов коммерческих организаций, используя для атак вредоносное ПО. Вчера, 30 августа 2016 года, эксперты «Лаборатории Касперского» представили развернутый доклад о деятельности группы Lurk, которую сотрудники компании изучали в течение шести лет. В отчете исследователи рассказали, что именно члены Lurk создали эксплоит кит Angler, в последние годы доминировавший на рынке эксплоит-паков.

Эксперты пишут, что «познакомились» с Lurk еще в 2011 году, и тогда он был для них лишь «безымянной троянской программой». За прошедшие с этого момента годы специалисты компании накопили немалый багаж знаний об одноименной хакерской группе, который в итоге пригодился правоохранительным органам, помог задержать подозреваемых и прекратить хищения, которыми промышляла группировка.

В 2011 году хакеры использовали скрытную малварь, которая в автоматическом режиме взаимодействовала с ПО для дистанционного банковского обслуживания (ДБО), подменяя реквизиты в платежных поручениях, которые формирует бухгалтер атакованной организации, либо малварь самостоятельно формировала такие поручения.

«Сейчас, в 2016 году, должно быть довольно странно читать о банковском ПО, которое не требует никаких дополнительных мер аутентификации, но тогда именно так все и было: для того, чтобы начать беспрепятственно похищать деньги, в большинстве случаев злоумышленникам нужно было лишь заразить компьютер, на котором установлено ПО для работы с системами ДБО. В 2011 году банковская система России, да и многих других стран, еще не была готова к подобным атакам, и злоумышленники активно этим пользовались», — пишет руководитель отдела расследований компьютерных инцидентов Руслан Стоянов.

Во время расследований в 2011 году исследователи заметили странную особенность: внутренняя система наименований вредоносных программ «Лаборатории Касперского», по которой проверили сигнатуру малвари, показала, что это простая троянская программа, которая делает что угодно (рассылает спам, например), только не ворует деньги. Хотя деньги вредонос, разумеется, похищал.

«По этой причине мы решили посмотреть на зловред внимательнее, но первые попытки наших аналитиков понять, как устроена программа, не дали ничего. Будучи запущенной и на виртуальной машине, и на настоящей, она вела себя одинаково: ничего не делала. Собственно, именно так и появилось имя зловреда: Lurk (англ. затаиться)», — рассказывает Стоянов.

Вскоре исследователи снова столкнулись с «продуктами» Lurk, и тогда удалось обнаружить дополнительный .dll файл, с которым основной исполняемый файл умел взаимодействовать. Так специалисты получили первые доказательства того, что малварь Lurk имеет модульную структуру. На тот момент троян обходился всего двумя компонентами, в последующие годы арсенал малвари существенно расширился.

Следующая «встреча» исследователей с Lurk произошла уже в 2012 году. Тогда, после ареста участников хакерской группы Carberp, в киберпреступной среде произошла своеобразные смена лидерства, в ходе которой группа Lurk обошла конкурентов. Впрочем, еще за несколько недель до этого события сайты «РИА Новости», Gazeta.ru и других российских медиа подверглись атаке watering hole.

Неизвестные сумели внедрить в рекламные объявления на сайтах вредоносную программу. В техническом плане эта малварь была необычной: в отличие от большинства других вредоносов, этот не оставлял на жестком диске атакованной системы никаких следов, а работал только в оперативной памяти машины. Основной функцией малвари была разведка, а вторичная задача заключалась в загрузке и установке дополнительного вредоносного ПО. Лишь много позже исследователи «Лаборатории Касперского» узнают, что этим безымянным и бестелесным модулем был mini — одна из перечня вредоносных программ, использовавшихся Lurk.

«Тогда мы еще не были уверены, что за Lurk, известным нам с 2011 года, и за Lurk, который мы обнаружили в 2012 году, стояли одни и те же люди. У нас было две версии: либо Lurk был программой, написанной на продажу, и варианты 2011 и 2012 годов – это результаты деятельности двух различных групп, купивших зловред у автора, либо версия 2012 года была развитием ранее известного троянца», — объясняет эксперт.

Лишь в 2013 году специалисты компании пришли к выводу, что за разными версиями Lurk должна стоять одна организованная группа специалистов в области кибербезопасности. Инциденты с участием малвари Lurk снова возобновились, и у исследователей появилось множество новой информации для анализа, который, признают эксперты, нельзя было назвать легким:

«Нельзя сказать, что это было легко. Стоявшие за Lurk люди имели хорошее представление о средствах анонимизации своей активности в сети. Они активно использовали шифрование в повседневных коммуникациях, фальшивые данные для регистрации доменов или сервисы анонимной регистрации и т.д. Другими словами, не то чтобы мы взяли имя и фамилию из Whois и отыскали нужных пользователей в сети «Вконтакте» или Facebook.  Таких грубых ошибок группировка Lurk не допускала».

Тем не менее, хакеры все же допускали ошибки (какие именно не сообщается), благодаря которым удалось понять, что в состав Lurk входят примерно 15 человек (на последнем этапе деятельности группы число «постоянных» участников возросло до 40).

«Тот период вполне можно назвать «золотым» в истории деятельности Lurk, поскольку из-за недостатков в защите транзакций в системах ДБО похищение денег через зараженную машину бухгалтера в атакованной организации было делом не то что не требующим особых навыков, а подчас просто автоматическим. Но все когда-нибудь кончается».

Позже, в 2013-2014 годы, индустрия наконец начала реагировать на участившиеся случаи хищений. Производители ПО для ДБО убрали свои продукты из открытого доступа. Также банки начали массово противодействовать так называемому «автозаливу» — процедуре, в ходе которой  злоумышленники изменяли с помощью малвари данные платежного поручения, созданного бухгалтером, и автоматически похищали деньги.

К тому времени исследователям «Лаборатории Касперского» удалось запустить нормально функционирующий скрипт вредоноса, что позволяло следить за злоумышленниками и обновлениями в их «продукте».

Но реакция индустрии и «закручивание гаек» помогли. В 2014 году обороты Lurk существенно упали и группа начала атаковать всех подряд,  не гнушаясь даже атаками на обычных пользователей, которые приносили  всего несколько десятков тысяч рублей. Эксперты полагают, что причина такого поведения была проста: преступная группа на тот момент представляла собой разветвленную и дорогостоящую сетевую инфраструктуру, нужно было платить сотрудникам, оплачивать аренду VPN, серверов и так далее. Хакерам отчаянно требовались деньги.

Именно тогда, пытаясь вернуть себе утраченные позиции, группа Lurk решила расширить поле и сферу своей деятельности. В частности, это означало разработку, поддержку и предоставление в аренду другим преступникам эксплоит кита Angler (изначально известного под именем XXX). Изначально Angler просто использовался для доставки вредосноса Lurk на компьютеры жертв, но когда дела у группы пошли плохо, владельцы решили открыть платный доступ к инструментарию для менее крупных групп.

Так как на тот момент в андеграундных кругах группа Lurk имела культовый статус, Angler очень быстро набрал популярность, как «продукт», созданный абсолютными авторитетами киберандерграунда. К тому же Angler действительно демонстрировал отличные результаты и работал очень эффективно.

Но эксплоит кит был не единственным новым вектором работы злоумышленников. В 2015 году по некоторым городам России прокатилась волна сообщений о злоумышленниках, которые при помощи поддельных доверенностей осуществляли перевыпуск SIM-карт без ведома их настоящих владельцев. Зачем мошенникам понадобились чужие SIM-карты? Все дело было в одноразовых паролях, которые банки присылают пользователям для подтверждения транзакций в интернет-банкинге или системе ДБО. Группировка Lurk  заражала компьютеры жертв, обнаруживала и похищала их личные данные, а затем, опираясь на эти данные, изготавливала копии SIM-карт. После этого хакеры похищали все средства со счета жертвы. Схема проработала недолго. Вскоре банки начали внедрять защитные механизмы, отслеживающие изменения уникальных номеров SIM-карт.

В том же 2015 году участники Lurk стали демонстрировать почерк, очень похожий на почерк другой хакерской группы — Carbanak. Хакеры стали нанимать специалистов, которые обладали «глубокими познаниями о том, как устроена IT-инфраструктура банка-мишени, каков в этом банке распорядок дня, кто является ключевыми сотрудниками, имеющими доступ к ПО для проведения транзакций». В результате атаки на финансовые организации тщательно планировались, все слабые места вычислялись заранее, и сама атака занимала считанные часы.

Кражи продолжались вплоть до весны 2016 года, но к этому времени члены группы начали терять осторожность:

«Сами преступники то ли из-за непоколебимой уверенности в собственной безнаказанности, то ли ввиду апатии, все меньше заботились об анонимности своих действий. Особенно в той части, где нужно было обналичивать деньги: на последнем этапе своей деятельности они использовали ограниченный набор подставных фирм, на счета которых выводились деньги – по крайней мере, судя по анализу деталей тех инцидентов, к которым мы были привлечены в качестве технических специалистов», — пишет Стоянов.

Впрочем, на тот момент у экспертов и правоохранительных органов и так хватало материалов для задержания участников группы, так что нельзя сказать, что счета сыграли в этом деле решающую роль.

В заключение своего доклада руководитель отдела расследований компьютерных инцидентов пишет, что равно или поздно попадаются все. В качестве примеров Стоянов приводит похожие истории: банковский троян SpyEye работал с 2009 года, но в 2013 году его автора все же арестовали. Такая же участь постигла и разработчика банкера Carberp, осужденного в 2014 году, хотя троян действовал с 2010 года.

«По моему личному впечатлению, сложившемуся после работы над Lurk, участники этой группы были уверены в том, что никогда не будут пойманы. Основания для этой уверенности у них были: они использовали очень тщательный подход к сокрытию следов своей незаконной деятельности и в целом старались подходить ко всем задачам обстоятельно. Но, как и все люди, они совершали ошибки. Эти ошибки с годами накапливались и в результате позволили прекратить деятельность группы. Другими словами, хотя в интернете действительно гораздо проще скрыть улики, кое-какие следы не скроешь, и со временем профессиональная команда расследователей найдет способ их прочитать и выйти на виновников», — заключает Стоянов.

Столь долгие периоды времени, которые в итоге требуются для поимки злоумышленников, эксперт объяснил просто: работа с правоохранительными органами обязывает исследователей соблюдать закон. Процесс работы превращается в многоэтапный обмен данными и растягивается из-за большого числа «бумажных» процедур и ограничений, которые законодательство накладывает на типы информации, с которыми коммерческая организация может работать. Также специалистам приходится «переводить» полученные сведения с  «технического» языка на «юридический». Ведь результаты изысканий должны быть описаны в надлежащих юридических терминах и должны быть понятны судье.

МАРИЯ НЕФЁДОВА 
АВГ 1, 2016

ФСБ ОБНАРУЖИЛА МАЛВАРЬ В СЕТЯХ 20 ПРАВИТЕЛЬСТВЕННЫХ ОРГАНИЗАЦИЙ

Федеральная Служба Безопасности РФ сообщила, что в инфраструктуре различных правительственных, научных и военных учреждений была выявлена малварь. По описанию вредоносы напоминают RAT (Remote Access Trojan), и ФСБ сообщает, что обнаруженные вредоносы ранее уже применялись в нашумевших операциях по кибершпионажу как в России, так и других странах мира.

Официальный пресс-релиз гласит, что заражению подверглись «информационные ресурсы органов государственной власти и управления, научных и военных учреждений, предприятий оборонно-промышленного комплекса и иные объекты критически важной инфраструктуры страны». Из этого сотрудники ФСБ сделали вывод, что атака являлась результатом направленной и спланированной операции.

Какая именно малварь была обнаружена в сетях госорганов, не сообщается.  Основываясь на проведенном анализе стилистики кода, наименованиях файлов, параметрах использования и методах инфицирования, ФСБ заявляет, что аналогичная малварь ранее уже попадала в поле зрения экспертов как в России, так и в других странах.

«Новейшие комплекты данного программного обеспечения изготавливаются для каждой жертвы индивидуально, на основе уникальных характеристик атакуемой ПЭВМ», — пишет ФСБ, еще раз подчеркивая, что атаки были таргетированными.

Также сообщается, что вредоносы распространялись классическим способом: посредством писем, содержащих вредоносные вложения. Если пользователь «проглотил наживку», и малвари удалось проникнуть в систему, далее она принималась за шпионскую работу. Вредоносы загружали извне необходимые модули (учитывая особенности каждой отдельной жертвы) и переходили к перехвату сетевого трафика, его прослушиванию, снятию скриншотов экрана. Также малварь следила за пострадавшими через веб-камеры, подслушивала посредством микрофонов, записывала аудио и видео, без ведома жертвы, перехватывала данные о нажатии клавиш клавиатуры и так далее

«ФСБ России во взаимодействии с Министерствами и ведомствами проведен комплекс мероприятий по выявлению всех жертв данной вредоносной программы на территории Российской Федерации, а также локализации угроз и минимизации последствий, нанесенных ее распространением», — в заключение сообщает пресс-релиз.

Независимый исследователь, известный под псевдонимом Rui, решил изучить новый RAT (Remote Access Trojan) Revenge. Внимание исследователя привлек тот факт, что образчик малвари, загруженный на VirusTotal, показал результат 1/54, то есть практически не обнаруживался антивирусными продуктами. Выяснилось, что Revenge написан человеком, который известен под ником Napoleon, и распространяется совершенно бесплатно.

Изучение трояна не представляло большой проблемы, так как его автор не озаботился даже базовой защитой и обфускацией кода. В этом свете не совсем ясно, почему сканеры VirusTotal не обнаруживали угрозу, но ответа на этот вопрос Rui пока найти не смог.

Первая версия малвари появилась на форумах Dev Point еще 28 июня 2016 года. Revenge написан на Visual Basic и, в сравнении с другими RAT, нельзя сказать, что вредонос обладает широкой функциональностью. Исследователь перечислил некоторые возможности малвари: Process Manager, Registry Editor, Remote Connections, Remote Shell, а также IP Tracker, который использует для обнаружения местоположения зараженной машины ресурс addgadgets.com. Фактически троян умеет работать кейлоггером, отслеживать жертву по IP-адресу, перехватывать данные из буфера, может составить список установленных программ, хостит файловый редактор, умеет редактировать список автозагрузки ОС, получает доступ к веб-камере жертвы и содержит дампер для паролей. Автор малвари, Napoleon, не скрывает, что его «продукт» находится в стадии разработки, и именно поэтому пока распространяется бесплатно.

«Такое чувство, что я зря потратил время, увидев этот результат 1/54 с VirusTotal, —  подводит итог исследователь. — Автор [трояна] даже не попытался спрятать код хоть как-то, а архитектура слаба и банальна. Хорошо, что автор не пытается продавать свой RAT и, вероятно, только учится кодить. В любом случае, удивительно (или нет), что такие простейшие инструменты по-прежнему способны успешно скомпрометировать некоторые системы, что и демонстрирует нам видео на 

Результаты своих изысканий исследователь передал операторам VirusTotal, и теперь рейтинг обнаружения Revenge уже составляет 41/57. Так как некоторые известные антивирусы по-прежнему «не видят» трояна, Rui пишет, что «это просто демонстрирует, насколько ущербна вся антивирусная индустрия в целом». 

ТРОЯН TROJAN.MUTABAHA.1 ОБХОДИТ UAC И УСТАНАВЛИВАЕТ ФАЛЬШИВЫЙ CHROME

Специалисты «Доктор Веб» предупреждают об обнаружении трояна Trojan.Mutabaha.1. Малварь не просто атакует пользовательский браузер, но устанавливает на зараженный компьютер собственную сборку браузера Chrome, подменяя оригинал.

Главной отличительной чертой вредоноса является его умение обходить защитный механизм User Accounts Control (UAC). Исследователи пишут, что впервые информация об этой технологии обхода UAC была опубликована в интернете 15 августа 2016 года, и спустя всего три дня вирусная лаборатория компании обнаружила первый образец малвари (Trojan.Mutabaha.1.), который использовал данную технику.

Первым делом после заражения на компьютере запускается дроппер вредоноса, который повышает свои привилегии в системе, модифицируя ветки системного реестра HKCU\Software\Classes\mscfile\shell\open\command. Затем малварь сохраняет на диск и запускает приложение setup_52.3.2743.82_1471853250.exe, а также сохраняет и запускает .bat-файлы, предназначенные для удаления самого дроппера. Когда все готово, малварь связывается с управляющим сервером и получает от него файл конфигурации, в котором указан адрес для скачивания фальшивой версии браузера. Подделка устанавливается в папку C:\Program Files\Outfire и регистрируется в системном реестре.

Собственная сборка Google Chrome, созданная злоумышленниками, имеет имя Outfire. Помимо регистрации в реестре, браузер также запускает несколько системных служб и создает задачи в планировщике, чтобы загрузить и установить собственные обновления. При этом Outfire подменяет собой уже установленный в системе браузер Google Chrome: модифицирует имеющиеся ярлыки (или удаляет их и создает новые), а также копирует в новый браузер существующий профиль пользователя Chrome. Так как злоумышленники используют стандартные значки Chrome, жертвы могут не заметить подмены.

Покончив с основной задачей, Trojan.Mutabaha.1 ищет в системе другие поддельные браузеры. Их имена троян генерирует, проверяя комбинации значений из двух списков-словарей, суммарно предлагающих 56 вариантов. Если в системе обнаружен конкурент, Trojan.Mutabaha.1 останавливает его работу, удаляет его записи из Планировщика заданий и из реестра.

Зачем вообще нужен поддельный браузер? Стартовую страницу такого браузера нельзя изменить, а также он использует неотключаемую надстройку, которая подменяет всю рекламу на просматриваемых пользователем страницах. Это проверенный и известный способ монетизации. Кроме того, Outfire использует по умолчанию собственную службу поиска, хотя ее все-таки можно сменить в настройках.

Вот причина, по которой некоторых мальчиков не стоит запирать в башне.