Eksperci z Kaspersky Lab i Sberbank, jednego z największych banków w Rosji, ściśle współpracowali z rosyjskimi organami ścigania w ramach dochodzenia dotyczącego gangu Lurk, które zakończyło się aresztowaniem 50 osób. Zatrzymani są podejrzani o udział w tworzeniu zainfekowanych sieci komputerowych wykorzystanych do kradzieży ponad 45 milionów dolarów z banków, innych instytucji finansowych oraz firm. Proceder trwał od 2011 r. Jest to największe w historii aresztowanie hakerów, jakie miało miejsce w Rosji.
Podczas aresztowania policja rosyjska zdołała zapobiec dokonaniu fałszywych przelewów pieniężnych o wartości ponad 30 milinów dolarów.
Trojan Lurk
W celu rozprzestrzeniania szkodliwego oprogramowania ugrupowanie Lurk zainfekowało szereg legalnych stron internetowych, w tym czołowe media i serwisy informacyjne. Do infekcji wykorzystano luki w zabezpieczeniach serwerów, na których znajdowały się atakowane strony. Wystarczyło, że ofiara odwiedziła zainfekowaną stronę, aby jej komputer został zarażony trojanem Lurk. Po przedostaniu się do komputera szkodnik zaczynał pobierać dodatkowe moduły, które umożliwiały mu kradzież pieniędzy ofiary.
Strony mediów nie były jedynym niefinansowym celem tego ugrupowania. Aby ukryć swoje ślady przy użyciu połączenia VPN, przestępcy włamali się również do różnych firm informatycznych i telekomunikacyjnych, wykorzystując ich serwery w celu zachowania anonimowości.
Trojan Lurk wyróżnia się tym, że jego szkodliwy kod nie jest przechowywany na dysku zainfekowanego komputera, ale jedynie w pamięci RAM. Ponadto jego twórcy próbowali możliwie w największym stopniu utrudnić rozwiązaniom antywirusowym wykrycie zagrożenia. W tym celu wykorzystywali różne usługi VPN, anonimową sieć Tor, zmodyfikowane punkty łączności Wi-Fi oraz serwery należące do atakowanych organizacji IT.
Źródło: Kaspersky Lab