В июне 2016 года ФСБ и МВД России сообщили об аресте участников хакерской группы Lurk: были задержаны более 50 человек из 15 регионов России. Участники группы систематически похищали крупные суммы со счетов коммерческих организаций, используя для атак вредоносное ПО. Вчера, 30 августа 2016 года, эксперты «Лаборатории Касперского» представили развернутый доклад о деятельности группы Lurk, которую сотрудники компании изучали в течение шести лет. В отчете исследователи рассказали, что именно члены Lurk создали эксплоит кит Angler, в последние годы доминировавший на рынке эксплоит-паков.
Эксперты пишут, что «познакомились» с Lurk еще в 2011 году, и тогда он был для них лишь «безымянной троянской программой». За прошедшие с этого момента годы специалисты компании накопили немалый багаж знаний об одноименной хакерской группе, который в итоге пригодился правоохранительным органам, помог задержать подозреваемых и прекратить хищения, которыми промышляла группировка.
В 2011 году хакеры использовали скрытную малварь, которая в автоматическом режиме взаимодействовала с ПО для дистанционного банковского обслуживания (ДБО), подменяя реквизиты в платежных поручениях, которые формирует бухгалтер атакованной организации, либо малварь самостоятельно формировала такие поручения.
«Сейчас, в 2016 году, должно быть довольно странно читать о банковском ПО, которое не требует никаких дополнительных мер аутентификации, но тогда именно так все и было: для того, чтобы начать беспрепятственно похищать деньги, в большинстве случаев злоумышленникам нужно было лишь заразить компьютер, на котором установлено ПО для работы с системами ДБО. В 2011 году банковская система России, да и многих других стран, еще не была готова к подобным атакам, и злоумышленники активно этим пользовались», — пишет руководитель отдела расследований компьютерных инцидентов Руслан Стоянов.
Во время расследований в 2011 году исследователи заметили странную особенность: внутренняя система наименований вредоносных программ «Лаборатории Касперского», по которой проверили сигнатуру малвари, показала, что это простая троянская программа, которая делает что угодно (рассылает спам, например), только не ворует деньги. Хотя деньги вредонос, разумеется, похищал.
«По этой причине мы решили посмотреть на зловред внимательнее, но первые попытки наших аналитиков понять, как устроена программа, не дали ничего. Будучи запущенной и на виртуальной машине, и на настоящей, она вела себя одинаково: ничего не делала. Собственно, именно так и появилось имя зловреда: Lurk (англ. затаиться)», — рассказывает Стоянов.
Вскоре исследователи снова столкнулись с «продуктами» Lurk, и тогда удалось обнаружить дополнительный .dll файл, с которым основной исполняемый файл умел взаимодействовать. Так специалисты получили первые доказательства того, что малварь Lurk имеет модульную структуру. На тот момент троян обходился всего двумя компонентами, в последующие годы арсенал малвари существенно расширился.
Следующая «встреча» исследователей с Lurk произошла уже в 2012 году. Тогда, после ареста участников хакерской группы Carberp, в киберпреступной среде произошла своеобразные смена лидерства, в ходе которой группа Lurk обошла конкурентов. Впрочем, еще за несколько недель до этого события сайты «РИА Новости», Gazeta.ru и других российских медиа подверглись атаке watering hole.
Неизвестные сумели внедрить в рекламные объявления на сайтах вредоносную программу. В техническом плане эта малварь была необычной: в отличие от большинства других вредоносов, этот не оставлял на жестком диске атакованной системы никаких следов, а работал только в оперативной памяти машины. Основной функцией малвари была разведка, а вторичная задача заключалась в загрузке и установке дополнительного вредоносного ПО. Лишь много позже исследователи «Лаборатории Касперского» узнают, что этим безымянным и бестелесным модулем был mini — одна из перечня вредоносных программ, использовавшихся Lurk.
«Тогда мы еще не были уверены, что за Lurk, известным нам с 2011 года, и за Lurk, который мы обнаружили в 2012 году, стояли одни и те же люди. У нас было две версии: либо Lurk был программой, написанной на продажу, и варианты 2011 и 2012 годов – это результаты деятельности двух различных групп, купивших зловред у автора, либо версия 2012 года была развитием ранее известного троянца», — объясняет эксперт.
Лишь в 2013 году специалисты компании пришли к выводу, что за разными версиями Lurk должна стоять одна организованная группа специалистов в области кибербезопасности. Инциденты с участием малвари Lurk снова возобновились, и у исследователей появилось множество новой информации для анализа, который, признают эксперты, нельзя было назвать легким:
«Нельзя сказать, что это было легко. Стоявшие за Lurk люди имели хорошее представление о средствах анонимизации своей активности в сети. Они активно использовали шифрование в повседневных коммуникациях, фальшивые данные для регистрации доменов или сервисы анонимной регистрации и т.д. Другими словами, не то чтобы мы взяли имя и фамилию из Whois и отыскали нужных пользователей в сети «Вконтакте» или Facebook. Таких грубых ошибок группировка Lurk не допускала».
Тем не менее, хакеры все же допускали ошибки (какие именно не сообщается), благодаря которым удалось понять, что в состав Lurk входят примерно 15 человек (на последнем этапе деятельности группы число «постоянных» участников возросло до 40).
Хакерская группа работала как небольшая компания по разработке ПО: обеспечивала «полный цикл» разработки, доставки и монетизации малвари. На тот момент у этой «компании» было два ключевых «продукта»: вредоносная программа Lurk и огромный ботнет из зараженных с ее помощью компьютеров. Пока разработчики и тестировщики работали непосредственно над малварью, ботнетом занималась другая команда, «администратор, операторы, заливщики и прочие соучастники, работающие с ботами через административную панель». Так как все это требовало человеческих ресурсов, руководители группы искали сотрудникво на обычных сайтах по подбору персонала для удаленной работы. О нелегальности работы в вакансиях умалчивали, вместо этого кандидатам устраивали различные проверки.
«Тот период вполне можно назвать «золотым» в истории деятельности Lurk, поскольку из-за недостатков в защите транзакций в системах ДБО похищение денег через зараженную машину бухгалтера в атакованной организации было делом не то что не требующим особых навыков, а подчас просто автоматическим. Но все когда-нибудь кончается».
Позже, в 2013-2014 годы, индустрия наконец начала реагировать на участившиеся случаи хищений. Производители ПО для ДБО убрали свои продукты из открытого доступа. Также банки начали массово противодействовать так называемому «автозаливу» — процедуре, в ходе которой злоумышленники изменяли с помощью малвари данные платежного поручения, созданного бухгалтером, и автоматически похищали деньги.
К тому времени исследователям «Лаборатории Касперского» удалось запустить нормально функционирующий скрипт вредоноса, что позволяло следить за злоумышленниками и обновлениями в их «продукте».
Но реакция индустрии и «закручивание гаек» помогли. В 2014 году обороты Lurk существенно упали и группа начала атаковать всех подряд, не гнушаясь даже атаками на обычных пользователей, которые приносили всего несколько десятков тысяч рублей. Эксперты полагают, что причина такого поведения была проста: преступная группа на тот момент представляла собой разветвленную и дорогостоящую сетевую инфраструктуру, нужно было платить сотрудникам, оплачивать аренду VPN, серверов и так далее. Хакерам отчаянно требовались деньги.
Именно тогда, пытаясь вернуть себе утраченные позиции, группа Lurk решила расширить поле и сферу своей деятельности. В частности, это означало разработку, поддержку и предоставление в аренду другим преступникам эксплоит кита Angler (изначально известного под именем XXX). Изначально Angler просто использовался для доставки вредосноса Lurk на компьютеры жертв, но когда дела у группы пошли плохо, владельцы решили открыть платный доступ к инструментарию для менее крупных групп.
Так как на тот момент в андеграундных кругах группа Lurk имела культовый статус, Angler очень быстро набрал популярность, как «продукт», созданный абсолютными авторитетами киберандерграунда. К тому же Angler действительно демонстрировал отличные результаты и работал очень эффективно.
Но эксплоит кит был не единственным новым вектором работы злоумышленников. В 2015 году по некоторым городам России прокатилась волна сообщений о злоумышленниках, которые при помощи поддельных доверенностей осуществляли перевыпуск SIM-карт без ведома их настоящих владельцев. Зачем мошенникам понадобились чужие SIM-карты? Все дело было в одноразовых паролях, которые банки присылают пользователям для подтверждения транзакций в интернет-банкинге или системе ДБО. Группировка Lurk заражала компьютеры жертв, обнаруживала и похищала их личные данные, а затем, опираясь на эти данные, изготавливала копии SIM-карт. После этого хакеры похищали все средства со счета жертвы. Схема проработала недолго. Вскоре банки начали внедрять защитные механизмы, отслеживающие изменения уникальных номеров SIM-карт.
В том же 2015 году участники Lurk стали демонстрировать почерк, очень похожий на почерк другой хакерской группы — Carbanak. Хакеры стали нанимать специалистов, которые обладали «глубокими познаниями о том, как устроена IT-инфраструктура банка-мишени, каков в этом банке распорядок дня, кто является ключевыми сотрудниками, имеющими доступ к ПО для проведения транзакций». В результате атаки на финансовые организации тщательно планировались, все слабые места вычислялись заранее, и сама атака занимала считанные часы.
Кражи продолжались вплоть до весны 2016 года, но к этому времени члены группы начали терять осторожность:
«Сами преступники то ли из-за непоколебимой уверенности в собственной безнаказанности, то ли ввиду апатии, все меньше заботились об анонимности своих действий. Особенно в той части, где нужно было обналичивать деньги: на последнем этапе своей деятельности они использовали ограниченный набор подставных фирм, на счета которых выводились деньги – по крайней мере, судя по анализу деталей тех инцидентов, к которым мы были привлечены в качестве технических специалистов», — пишет Стоянов.
Впрочем, на тот момент у экспертов и правоохранительных органов и так хватало материалов для задержания участников группы, так что нельзя сказать, что счета сыграли в этом деле решающую роль.
В заключение своего доклада руководитель отдела расследований компьютерных инцидентов пишет, что равно или поздно попадаются все. В качестве примеров Стоянов приводит похожие истории: банковский троян SpyEye работал с 2009 года, но в 2013 году его автора все же арестовали. Такая же участь постигла и разработчика банкера Carberp, осужденного в 2014 году, хотя троян действовал с 2010 года.
«По моему личному впечатлению, сложившемуся после работы над Lurk, участники этой группы были уверены в том, что никогда не будут пойманы. Основания для этой уверенности у них были: они использовали очень тщательный подход к сокрытию следов своей незаконной деятельности и в целом старались подходить ко всем задачам обстоятельно. Но, как и все люди, они совершали ошибки. Эти ошибки с годами накапливались и в результате позволили прекратить деятельность группы. Другими словами, хотя в интернете действительно гораздо проще скрыть улики, кое-какие следы не скроешь, и со временем профессиональная команда расследователей найдет способ их прочитать и выйти на виновников», — заключает Стоянов.
Столь долгие периоды времени, которые в итоге требуются для поимки злоумышленников, эксперт объяснил просто: работа с правоохранительными органами обязывает исследователей соблюдать закон. Процесс работы превращается в многоэтапный обмен данными и растягивается из-за большого числа «бумажных» процедур и ограничений, которые законодательство накладывает на типы информации, с которыми коммерческая организация может работать. Также специалистам приходится «переводить» полученные сведения с «технического» языка на «юридический». Ведь результаты изысканий должны быть описаны в надлежащих юридических терминах и должны быть понятны судье.