источник: xakep.ru

1 июня 2016 года ФСБ и МВД России задержали создателей банковского троянца Lurk: более 50 человек из 15 регионов России. Этому предшествовало расследование при поддержке «Лаборатории Касперского» и Сбербанка. Эксперты сообщают, что за последние пять лет преступники вывели со счетов российских финансовых учреждений более 3 млрд рублей.

Исследователи пишут, что Lurk был замечен ими около пяти лет назад и с тех пор наблюдают за развитием угрозы. Среди «соседей по рынку» банкер выделяется за счет следующих особенностей:

Lurk существует и активно развивается более 5 лет, но действует избирательно только на тех компьютерах, где он может украсть деньги. За более чем пятилетнюю историю этого банковского троянца в C&C было зарегистрировано около 60 000 ботов, что не слишком много.
Lurk – это универсальный банковский троянец, он способен похищать деньги не только из системы «iBank 2», которая используется многими российскими банками, но и из уникальных интернет-систем ДБО некоторых крупных российских банков.
Lurk активно противодействует обнаружению – разработчики прикладывают много усилий, чтобы минимизировать детектирование своего троянца, а таргетированные атаки делают затруднительным оперативное получение новых самплов.
По использованным методам внутренней организации зловреда, объему функционала и частоте вносимых изменений можно сделать вывод, что над проектом работает команда профессиональных разработчиков и тестировщиков.

Жертвами трояна за эти годы становились IT-организации в сфере телеком, СМИ и новостные агрегаторы, а также банки и другие финансовые организации. И если атаки на банки объяснимы желанием похитить деньги, то инфраструктуру других организаций хакеры использовали для иных целей. Так, скомпрометированные IT- и телеком-компании использовались злоумышленниками в качестве перевалочных серверов, через которые они пропускали трафик к собственным серверам. Сайты СМИ и новостные агрегаторы, особенно те, которые посещают бухгалтеры, использовались для заражения большого числа компьютеров пользователей из «целевой аудитории» Lurk.

Подробное описание методов работы трояна и его инфраструктуры вчера опубликовали сотрудники «Лаборатории Касперского» Алексей Шульмин и Михаил Прохоренко. Ознакомиться с материалом можно здесь.

Согласно официальному сообщению МВД, результаты совместной операции таковы:

«Следственным департаментом МВД России возбуждено уголовное дело по признакам состава преступления предусмотренного ч. 1 и 2 ст. 210 УК РФ — организация преступного сообщества.

В рамках уголовного дела проведено 86 обысков на территории 15 субъектов Российской Федерации. В ходе обысков получены материалы, подтверждающие причастность подозреваемых к созданию бот-сетей зараженных компьютеров, организации целевых атак на инфраструктуру кредитно-финансовых и государственных учреждений и совершение хищения денежных средств. Изъято большое количество компьютерной техники, электронных носителей, сим-карт, банковских карт, печатей и документов юридических лиц, оформленных на подставных граждан».