ПРИ ПОДДЕРЖКЕ «ЛАБОРАТОРИИ КАСПЕРСКОГО» ЗАДЕРЖАНЫ АВТОРЫ БАНКЕРА LURK

1 июня 2016 года ФСБ и МВД России задержали создателей банковского троянца Lurk: более 50 человек из 15 регионов России. Этому предшествовало расследование при поддержке «Лаборатории Касперского» и Сбербанка. Эксперты сообщают, что за последние пять лет преступники вывели со счетов российских финансовых учреждений более 3 млрд рублей.

Исследователи пишут, что Lurk был замечен ими около пяти лет назад и с тех пор наблюдают за развитием угрозы. Среди «соседей по рынку» банкер выделяется за счет следующих особенностей:

• Lurk существует и активно развивается более 5 лет, но действует избирательно только на тех компьютерах, где он может украсть деньги. За более чем пятилетнюю историю этого банковского троянца в C&C было зарегистрировано около 60 000 ботов, что не слишком много.
• Lurk – это универсальный банковский троянец, он способен похищать деньги не только из системы «iBank 2», которая используется многими российскими банками, но и из уникальных интернет-систем ДБО некоторых крупных российских банков.
• Lurk активно противодействует обнаружению – разработчики прикладывают много усилий, чтобы минимизировать детектирование своего троянца, а таргетированные атаки делают затруднительным оперативное получение новых самплов.
• По использованным методам внутренней организации зловреда, объему функционала и частоте вносимых изменений можно сделать вывод, что над проектом работает команда профессиональных разработчиков и тестировщиков.

Жертвами трояна за эти годы становились IT-организации в сфере телеком, СМИ и новостные агрегаторы, а также банки и другие финансовые организации. И если атаки на банки объяснимы желанием похитить деньги, то инфраструктуру других организаций хакеры использовали для иных целей. Так, скомпрометированные IT- и телеком-компании использовались злоумышленниками в качестве перевалочных серверов, через которые они пропускали трафик к собственным серверам. Сайты СМИ и новостные агрегаторы, особенно те, которые посещают бухгалтеры, использовались для заражения большого числа компьютеров пользователей из «целевой аудитории» Lurk.

Подробное описание методов работы трояна и его инфраструктуры вчера опубликовали сотрудники «Лаборатории Касперского» Алексей Шульмин и Михаил Прохоренко. Ознакомиться с материалом можно здесь.

Согласно официальному сообщению МВД, результаты совместной операции таковы: