משטרת רוסיה עצרה 50 האקרים שחשודים בגניבת יותר מ-45 מיליון דולר

המעצר הגדול ביותר של האקרים שבוצע ברוסיה אי פעם: שיתוף פעולה בין מומחי מעבדת קספרסקי (Kaspersky) ובנק Sberbamk הרוסי הוביל למעצר של 50 חברי כנופיית Lurk. העצורים חשודים ביצירת רשתות מחשבים נגועות, שבאמצעותם גנבו מאז 2011 יותר מ-45 מיליון דולר מבנקים, מגופים פיננסיים אחרים ומעסקים. במהלך המעצר הצליחה המשטרה הרוסית למנוע שידור של פעולות להעברת כסף בשווי של יותר מ-30 מיליון דולר.

ב-2011, זיהתה מעבדת קספרסקי פעילות של כנופיית סייבר מאורגנת המשתמשת בסוס הטרויאני Lurk – קוד זדוני מתוחכם, אוניברסלי ומודולארי, עם יכולות נרחבות – כדי להשיג גישה למחשבי הקורבנות. במיוחד חיפשה הכנופיה גישה אל שירותי בנק מרוחקים, במטרה לגנוב כספים מחשבונות של לקוחות.

במטרה להפיץ את הקוד הזדוני, קבוצת Lurk הדביקה מגוון אתרים לגיטימיים, כולל אתרי מדיה וחדשות מובילים. הקורבן היה רק צריך לבקר בדף הנגוע כדי להידבק בסוס הטרויאני. ברגע שהוכנס לתוך מחשב הקורבן, הקוד הזדוני החל להוריד מודולים זדוניים נוספים, שאפשרו לגנוב כסף מהקורבן. אתרי מדיה לא היו המטרה היחידה של הקבוצה. במטרה להסתיר את עקבותיהם מאחורי חיבורי VPN, העבריינים פרצו גם לכמה חברות IT וטלקום, והשתמשו בשרתים שלהם כדי להישאר אנונימיים.

הייחודיות: אחסון בזיכרון ה-RAM

הטרויאני Lurk ייחודי בכך שהקוד הזדוני שלו אינו מאוחסן במחשב הקורבן אלא בזיכרון ה-RAM. בנוסף, מפתחי הקוד ניסו להקשות ככל הניתן על פתרונות אנטי וירוס לזהות את הטרויאני. לכן הם השתמשו בשירותי VPN שונים, ברשת Tor האנונימית, ופרצו לנקודות קישוריות Wi-Fi ולשרתים השייכים לארגוני IT המותקפים.

"כבר מההתחלה, מומחי מעבדת קספרסקי היו מעורבים בחקירת פעילות Lurk. הבנו בשלב מוקדם ש-Lurk היא כנופיה של האקרים רוסים, שמהווה איום רציני על ארגונים ומשתמשים. הטרויאני החל לתקוף בנקים לפני כשנה וחצי. לפני כן כוון הקוד הזדוני שלו נגד מערכות שונות של ארגונים ולקוחות פרטיים", אמר רוסלן סטויאנוב, ראש חקירת אירועי מחשב במעבדת קספרסקי. "מומחי החברה ניתחו את תוכנת הקוד הזדוני וזיהו את רשת המחשבים והשרתים של ההאקרים. כשהיא חמושה בידע זה, משטרת רוסיה יכלה לזהות חשודים ולאסוף עדויות לגבי הפשעים שבוצעו. אנחנו מצפים לסייע בהבאת עבריינים נוספים לדין".

מעבדת קספרסקי ממליצה לחברות ולארגונים לבחון את אמצעי האבטחה שלהם, לבצע בדיקות אבטחה קבועות של תשתית ה-IT ולהעביר לעובדים כללים בסיסיים של התנהגות סייבר אחראית. בנוסף, מומלץ לחברות להוסיף לחבילת הפתרונות גם אמצעים לזיהוי איומים, לרבות לזיהוי מתקפות ממוקדות מתמשכות. מתקפות מתוחכמות ניתנות לזיהוי בשל הפעילות החריגה שלהן בהשוואה לפעילות העסקית הרגילה.