卡巴斯基實驗室專家和俄羅斯最大的銀行之一聯(lián)邦儲蓄銀行同俄羅斯執(zhí)法機關緊密配合,對名為Lurk的網絡犯罪組織進行調查,最終逮捕了50名涉案人員。被捕人員涉嫌參與創(chuàng)建受感染的計算機網絡,自2011年起,從銀行和其他金融機構以及企業(yè)共盜竊超過4500萬美元。這是俄羅斯迄今為止規(guī)模最大的一次黑客逮捕行動。
2011年,卡巴斯基實驗室檢測到一個有組織網絡犯罪團伙使用Lurk木馬進行攻擊。Lurk木馬是一種復雜的、通用的、多模塊的多功能惡意軟件,能夠獲取受害者計算機的訪問權限。上述網絡犯罪組織主要用這種木馬遠程控制銀行服務,從而竊取銀行客戶賬戶中的資金。
“從最開始,卡巴斯基實驗室專家就協(xié)同執(zhí)法機關參與到Lurk網絡犯罪組織的調查中。我們發(fā)現(xiàn),Luck攻擊組織最早由一群俄羅斯黑客組成,攻擊目標為一些組織和用戶。一年半之前,Lurk攻擊組織開始對銀行進行攻擊,而之前,這種惡意程序主要用來對多個企業(yè)和消費者系統(tǒng)進行攻擊。
“我們的安全專家對這種惡意軟件進行了分析,發(fā)現(xiàn)了黑客創(chuàng)建的僵尸網絡和服務器。利用這些信息,俄羅斯警方可以識別嫌疑人,并且收集他們的犯罪證據。我們期待能夠幫助執(zhí)法機關將更多網絡罪犯繩之以法,”卡巴斯基實驗室計算機事故調查總監(jiān)Ruslan Stoyanov說。
逮捕嫌疑人期間,俄羅斯警方想辦法阻止了超過3000萬美元(22.73億盧布2)被轉移出去。
為了傳播這種惡意軟件,Lurk網絡犯罪組織利用漏洞利用程序,感染了大量合法網站,包括一些主流媒體和新聞網站。受害者只要訪問受感染的頁面,就會被Lurk木馬所感染。一旦侵入受害者的計算機,Lurk木馬會下載其它惡意模塊到系統(tǒng),通過這些模塊竊取受害者的資金。
除了媒體網站外,該犯罪組織也會對其他非金融目標進行攻擊。為了在VPN連接后面隱藏自己的蹤跡,網絡罪犯還入侵了多家IT和電信企業(yè),使用他們的服務器保持匿名。
Lurk木馬非常獨特,它的惡意代碼不會存儲在受害者的計算機中,而是在隨機訪問存儲器(RAM)中。此外,開發(fā)者還想盡辦法讓反病毒解決方案無法檢測到這種木馬。他們會使用不同的VPN服務、匿名的Tor網絡以及屬于受攻擊IT組織的Wi-Fi連接點和服務器干擾檢測。
我們建議企業(yè)密切關注自身的安全措施,定期對企業(yè)的IT基礎設施安全進行檢查,至少確保企業(yè)的IT基礎設施沒有已知的安全漏洞。此外,對員工進行基礎的安全培訓業(yè)非常重要,讓企業(yè)員工了解怎樣才是負責任的網絡行為。
此外,企業(yè)還需要引入安全保護措施,對針對性攻擊進行檢測。提高威脅預防的最佳策略是增加威脅檢測和響應的投資。即使是最復雜的針對性攻擊,同正常的業(yè)務流量相比,也可以通過異常的行為將其發(fā)現(xiàn)。
卡巴斯基實驗室最新的解決方案——卡巴斯基反針對性攻擊平臺包含能夠分析這類異常行為的智能系統(tǒng),可以有效檢測針對性攻擊。