Троян Lurk атаковал как банки, так и компьютеры физлиц
Вчера стало известно об арестах организаторов и активных участников преступного сообщества хакеров, которое базировалось в Екатеринбурге, но имело сообщников в 15 регионах России. По версии следственного департамента МВД, злоумышленники с помощью троянской программы Lurk на протяжении пяти лет выводили деньги со счетов клиентов российских и зарубежных банков. Общий ущерб, по подсчетам следствия, составляет более 1,7 млрд руб. Хищение 2,2 млрд руб. удалось предотвратить.О проведении масштабной операции по задержанию 50 членов межрегиональной группировки хакеров вчера сообщила официальный представитель МВД России Ирина Волк. «Сотрудниками МВД России совместно с ФСБ России задержаны подозреваемые в совершении многочисленных хищений денежных средств с расчетных счетов юридических лиц, а также с корреспондентских счетов кредитно-финансовых учреждений с использованием вредоносного программного обеспечения. В рамках уголовного дела проведено 86 обысков на территории 15 субъектов»,— рассказала госпожа Волк. В отношении задержанных следственный департамент МВД РФ расследует уголовное дело по факту организации преступного сообщества (ст. 210 УК РФ) и мошенничества в сфере компьютерной информации (ст. 159.6 УК РФ).
Масштабная операция началась в мае в Екатеринбурге, где проживали предполагаемые организаторы ОПС и его наиболее активные участники. Для этого МВД России привлекло сотрудников регионального УФСБ, а также бойцов СОБРа и ОМОНа нацгвардии. Как отмечают в региональном УФСБ, в ходе обысков у членов группировки было изъято около 12 млн руб. в рублях и валюте, более 1 тыс. сим-карт, около 100 единиц компьютерной техники и свыше 200 средств связи (телефоны и смартфоны различных моделей).
[66.ru, 01.06.2016, «В Екатеринбурге поймали хакеров, укравших у банков 1,7 млрд рублей. Видео и подробности задержания»: В Свердловской области были задержаны 14 основных участников группировки, трое из которых — организаторы банды.
Как рассказали в пресс-службе регионального УФСБ, все задержанные проживали в Екатеринбурге и окрестностях (в пределах 40 километров). Специально оборудованного офиса у злоумышленников не было, задержания проводились одновременно по месту их жительства. Все предполагаемые преступники — мужчины в возрасте 25–30 лет. В ведомстве уточнили, что каждый член преступной группы выполнял определенную функцию. — Врезка К.ру]
[«КП-Екатеринбург», 01.06.2016, «Штаб-квартира хакеров, похитивших более 1,7 миллиардов рублей у банков, была в Екатеринбурге»: На Урале у преступников были изъяты деньги, в том числе в иностранной валюте, и драгоценности на сумму более 12 миллионов рублей, а также более 1000 симкарт, около 100 ноут-буков и свыше 200 сотовых телефонов. […]
Сейчас создателем виртуального ОПГ грозит до 20 лет колонии со штрафом до одного миллиона рублей, а обычным участникам банды до 10 лет колонии с тем же штрафом. — Врезка К.ру]
Следствие считает, что группировкой руководили екатеринбуржцы Константин Козловский и Александр Еремин. Вместе с рядовыми участниками ОПС они были арестованы решениями Кировского райсуда Екатеринбурга и этапированы на двух спецрейсах нацгвардии в Москву, где ведется расследование уголовного дела. По такой же схеме были проведены задержания в других городах.
Согласно материалам уголовного дела, участники преступной группировки — в основном разработчики и тестировщики программного обеспечения. Их работа заключалась в совершенствовании и распространении кода троянской программы Lurk. Данный вид вирусного программного обеспечения появился в России в июле 2011 года. Эта программа изначально создавалась под атаки на системы дистанционного банковского обслуживания iBank для неправомерного доступа в систему интернет-банкинга и совершения со счетов жертвы мошеннических платежей. Кроме того, следователи установили причастность хакеров к другим способам хищения денег банков — от установки скимминговых устройств до осуществления целевых атак на процессинговые центры кредитно-финансовых учреждений и межбанковские системы обмена информацией. По подсчетам следствия, на данный момент ущерб от деятельности хакеров составляет около 1,7 млрд руб., а примерно 2,2 млрд руб. подозреваемым вывести не удалось: подозрительные операции были заблокированы при содействии правоохранительных органов.
Под хакерские атаки попали десятки банков, в том числе такие крупные, как Сбербанк. Представитель банка «Метрополь» рассказал, что хакеры активно атаковали финансовые учреждения с ноября прошлого года и в «Метрополе» к этому успели подготовиться. Поэтому, когда в январе 2016 года злоумышленники пытались списать деньги, сработала система безопасности, и хищения были предотвращены. Сейчас банк активно сотрудничает с правоохранительными органами по этому делу, хотя потерпевшей стороной по нему себя не считает. В свою очередь, зампред правления Металлинвестбанка Михаил Окунев рассказал, что из финансовой структуры хакеры пытались похитить 680 млн руб.— 240 млн банку удалось вернуть, около 200 млн блокировано на корсчетах других банков, а остальные средства разыскиваются. […]
Представители банков сообщили, что выйти на группировку создателей Lurk удалось за счет консолидации банковского программного обеспечения. «Центробанк в последнее время наладил взаимосвязи между банками по вопросам кибербезопасности. Как правило, преступники, похищающие деньги со счетов с помощью вирусных программ, сразу выводят их через цепочку из нескольких банков. Благодаря тому, что сейчас банки плотно взаимодействуют друг с другом, они научились быстро выявлять такие операции, блокировать их и находить их источник»,— рассказал собеседник в одном из уральских банков.
Вчера связаться с адвокатами фигурантов уголовного дела не удалось. Однако ни один из лидеров группировки на сделку со следствием не пошел, и все отказываются признавать свою вину.Игорь ЛесовскихДмитрий КомаровАлена ТронинаАлексей Соковнин
****
Код на 3 млрд рублей
[…] Группировка хакеров, о задержании которой в среду, 1 июня, сообщили ФСБ и МВД, на протяжении пяти лет похищала деньги с помощью банковского вируса-трояна Lurk со счетов пользователей в России и странах СНГ, говорится в сообщении «Лаборатории Касперского». От киберпреступников страдали банковские организации и их клиенты, а также крупный бизнес, рассказал руководитель отдела расследования компьютерных инцидентов компании Руслан Стоянов.Сотрудники «Лаборатории Касперского» участвовали в расследовании в качестве экспертов с самого его начала в 2012 году, отметил Стоянов: тогда стало понятно, что за Lurk стоит российская группировка хакеров и она представляет серьезную опасность для юридических и физических лиц. Атаки Lurk на банки начались в последние 1,5 года, до этого программу «интересовали» компьютеры крупного бизнеса и физических лиц, рассказывает эксперт. Специалисты компании провели анализ вредоносного софта, после чего выявили сеть компьютеров и серверов хакеров, затем сотрудники МВД смогли установить личности подозреваемых и собрать доказательства их причастности к киберпреступлениям.«Лаборатория Касперского» исследовала атаки с участием Lurk с июля 2011 года. Конечная цель вредоносной программы — доступ к системе дистанционного банковского обслуживания, который позволяет хакерам красть деньги. Но помимо клиентов банков и самих финансовых организаций злоумышленников интересовали веб-ресурсы СМИ и новостных агрегаторов, выяснили в «Лаборатории Касперского». Размещение программы Lurk на таких сайтах позволяло хакерам распространять троян. Жертвы обычно получали вирус через взломанные сайты, программы-эксплойты (используют уязвимости в софте для атак), а также в результате проникновения хакеров в наименее защищенный компьютер внутри корпоративной сети.Списание денег происходило со счетов клиентов банков: троянец заражал саму компанию-клиента некоего банка, после чего, как только хакеры брали компьютер под контроль, они перечисляли деньги в адрес подставных фирм, рассказал Стоянов. По его словам, атаки были направлены в том числе на клиентов Сбербанка. У Сбербанка сильная служба безопасности, и все посягательства на сам банк были предотвращены, подчеркнул эксперт. «Когда подключились банковские структуры безопасности, в частности Сбербанка, стало понятнее, насколько большой ущерб наносит это программное обеспечение», — вспоминает Стоянов.
[«Ведомости», 02.06.2016, «Укрощение троянского коня»: Персональные компьютеры (ПК) пользователей заражались при посещении ряда сайтов, в том числе крупнейших новостных изданий с ежедневной аудиторией до 1 млн посетителей, рассказывает руководитель отдела мониторинга компании Positive Technologies Владимир Кропотов. По его словам, отследить распространение такого вредоносного программного обеспечения можно двумя способами. Первый — анализировать последствия взлома конкретных ПК. Второй, которым пользовались многие производители систем защиты, — запуск роботов, которые отслеживают сайты на наличие подозрительного контента. «Эти роботы, как правило, не работают в моменты повышенной нагрузки на сайты. Таким образом атакующие решали две задачи разом — охват аудитории при отсутствии технической возможности анализа контента сайтов», — указывает Кропотов.
Сайты СМИ и новостные агрегаторы, особенно те, которые посещают бухгалтеры, используются для заражения большого числа компьютеров пользователей из «целевой аудитории» Lurk, отмечают сотрудники «Касперского», чтобы попасть в банки и украсть деньги. — Врезка К.ру]
[cnews.ru, 01.06.2016, «Пресечена деятельность киберпреступников, похитивших у россиян более 3 млрд руб.»: Заражение жертв обычно происходило либо через взломанные сайты, либо через программы-эксплойты, либо через проникновение в наименее защищенный компьютер внутри корпоративной сети организации, рассказали в «Лаборатории Касперского».
По словам экспертов компании, троян Lurk отличается хорошей технической проработкой — на протяжении пяти лет вирусописатели постоянно совершенствовали его, используя современные технологии. К примеру, он оказался одним из чрезвычайно редких зловредов, чей вредоносный код не сохраняется на жестком диске зараженного компьютера, а функционирует исключительно в операционной памяти. Помимо этого, разработчики всеми возможными средствами старались минимизировать риск детектирования трояна антивирусными программами. Киберпреступники использовали различные VPN-сервисы, анонимную сеть Tor, скомпрометированные или беспроводные точки доступа сторонних пользователей и даже серверы атакованных ИТ-организаций. — Врезка К.ру]
В общей сложности за все время деятельности группа из 50 хакеров смогла похитить более 3 млрд руб., сообщила представитель «Лаборатории Касперского» Юлия Кривошеина со ссылкой на данные МВД. По данным «Лаборатории Касперского», хакеры похищали деньги на протяжении последних пяти лет. При этом данные о том, какой ущерб нанесли хакеры, разнятся. По данным МВД, ущерб от 18 целевых атак на компьютеры организаций превысил 3 млрд руб. с середины 2015 года по настоящее время. Также полиция смогла предотвратить возможный ущерб на сумму 2,2 млрд руб. По информации ФСБ, с помощью вирусной программы хакеры похитили 1,7 млрд руб.Разработчики Lurk всегда делали все возможное для того, чтобы заразить максимальное количество жертв, не привлекая внимания аналитиков и правоохранительных органов, отметил Стоянов. Специалисты компании выяснили, что за Lurk стояла одна группировка, в которую входили профессиональные разработчики и тестировщики, добавил он. По мнению Стоянова, арест хакеров должен привести «к окончательному закату Lurk», потому что среди 50 подозреваемых есть «техническое крыло» — люди, которые непосредственно занимались созданием вредоносного кода Lurk. Работа хакеров была похожа на работу небольшой софтверной компании — они вербовали сотрудников, которые на первом этапе не всегда знали, что занимаются противозаконной деятельностью, добавил эксперт.«Операция МВД и ФСБ происходила одновременно в нескольких городах России. Это была крупнейшая операция по задержанию киберпреступной группировки, по крайней мере с 2000 года. Я думаю, что она войдет в учебники как образец слаженной работы ее участников», — уверен он. Создатели Lurk — были крупнейшей группировкой хакеров в России, и она является одной из ведущих в мире: ее члены также занимались обналичиванием и отмыванием денег. Качество и профессиональная подготовка криминальной группы не имеет аналогов, именно поэтому расследование длилось несколько лет, добавил Стоянов.Ирина Юзбекова
Источник: «Газета РБК», 02.06.2016