بازداشت ۵۰ هکر استفاده کننده از بدافزارهای بانکی Lurk در روسیه !

مقامات پلیس، پنجاه نفوذگر را در روسیه دستگیر کردند. این نفوذگران با استفاده از یک بدافزار مخفی Lurk به کلاه‌برداری می‌پرداختند و در ۱۵ منطقه ۸۶ حمله را انجام داده بودند. چهارده نفر از این افراد که شامل سه نفر از سازمان‌دهندگان اصلی آن‎ها می‌شدند در منطقه‌ی Sverdlovsk دستگیر شدند. تخمین زده شده که مبلغ ۴۵ میلیون دلار به وسیله‌ی این گروه سرقت شده است و پلیس موفق شده است که از وقوع ۳۰ میلون دلار خسارت دیگر جلوگیری کند. تحقیقات مربوط به گروه بدافزار بانکی Lurk با همکاری آزمایشگاه کسپرسکی انجام شده است.

آی تی اس ان (پایگاه خبری امنیت فناوری اطلاعات) , نفوذگران با استفاده از بدافزار بانکی Lurk ، به سرقت از حساب‌های بانکی در روسیه و دیگر کشورهای مستقل مشترک‌المنافع پرداختند. Lurk یک بدافزار اندرویدی است که نرم‌افزارهای بانکی اینترنتی را برای بزرگترین بانک روسیه به نام سبربانک شبیه‌‎سازی می‌کند. زسکالر در تحلیلی که در همان روز دستگیری این بدافزار منتشر شد گزارش داده است: «این بدافزار یک صفحه‌ی شبیه به ورود اطلاعات کاربری کاملاً شبیه به نرم‌افزار اصلی را نشان می‌دهد و به محض اینکه کاربر تلاش کند تا اطلاعات خود را در آن وارد کند، داده‌ها را به سرقت می‌برد». همچنین این بدافزار قادر است تا پیام‌های متنی را سرقت کرده و به نظارت بر تماس‎های ورودی بپردازد تا بتواند رمزهای یک بار مصرف و پین‌هایی را که با استفاده از احراز هویت دو مرحله‌ای ارسال می‌شود، سرقت کند.

به محض اینکه بدافزار Lurk نصب شد، مشکل است که بتوان آن را شناسایی کرده و حذف نمود. به لحاظ بصری هیچ تفاوتی میان نرم‌افزار اصلی بانک سبربانک و بدافزار Lurk وجود ندارد. به لحاظ فنی چون این نرم‌افزار در حافظه‌ی دستگاه قرار می‌گیرد، به سختی می‌توان آن را شناسایی کرد. برای حضور مستمر در دستگاه، «این بدافزار یک گیرنده‌ی پخش رسانه‌ای را نصب می‌کند و هنگامی که قربانی تلاش می‌کند تا مجوز مدیریت این نرم‌افزار را حذف کند، دستگاه اندرویدی را برای چند لحظه قفل می‌کند. در نتیجه نمی‌توان این نرم‌افزار را با گرفتن دسترسی مدیریت از آن حذف کرد».

حدود ۱۸ ماه قبل این بدافزار شروع به حمله به بانک‌های روسی کرده است، در حالی‎که پیش از آن، علیه شرکت‌ها و سامانه‌های مصرف کننده مورد استفاده قرار می‌گرفت. روسلان استویانوف رئیس بخش حوادث رایانه‌ای آزمایشگاه کسپرسکی دیروز در اظهاریه‌ای گفته است: «کارشناسان شرکت ما این نرم‌افزار مخرب را تجزیه و تحلیل کرده‌اند و در شناسایی شبکه‌ی رایانه‌ای نفوذگران و کارگزارهای آن‎ها موفق شدند. با دانستن این مسائل، پلیس روسیه می‌تواند مظنونی را شناسایی کرده و شواهد ارتکاب جرم را از آن‎ها، ضبط کند».
با وجودی که سبربانک تنها بانکی است که کسپرسکی از آن نام برده است اما این شرکت اشاره کرده است که :«این نرم‌افزار مخرب، ‌علاوه بر این، خود را بر روی نرم‌افزارهای ثالث دیگری نیز که معمولاً کاربران دوست دارند آن‎ها را بر روی گوشی خود نصب کنند، قرار می‌دهد از جمله‌ی آن‎ها: نرم‌افزار امن پیام‌رسانی واتس‌آپ، نرم‌افزار گوگل‌پلی و نرم‌افزار بانکی VTB ۲۴»

با این وجود، خبرگزاری تاس گزارش داده است که ۶ بانک روسی از ماه مارس تا آوریل امسال هدف حمله‌ی مجرمان سایبری قرار گرفته‌اند. حدود ۱۰.۲ میلیون دلار از بانک Metallinvestbank سرقت شده است. خبرگزاری تاس می‌گوید: «مجرمان سایبری موفق به دسترسی از راه دور به سامانه‌های Metallinvestbank شده‌اند و این پول‌ها را به حساب‌هایی که در کنترل خود داشته‌اند، انتقال داده‌اند.»
در هر حال، ابهامی در مورد میزان مبلغی که در این دوره از بانک‌ها سرقت شده‌ است، وجود دارد. آزمایشگاه کسپرسکی می‌گوید: «در یک عملیات پنج ساله، سه میلیون روبل (حدود ۴۵ میلیون دلار) از بزرگترین بانک کشور سبربانک سرقت شده است و این در حالی است که بدافزار Lurk حملات خود را حدود یک سال و نیم پیش آغاز کرده است».

خبرگزاری تاس گزارش داده است که هیچ پولی از سبربانک سرقت نشده است، اما یکی از سخنگویان پلیس روسیه می‌گوید: «این نفوذگران بیش از ۱.۷ میلیارد روبل (۲۵.۷ میلیون دلار) از حساب‌های مؤسسات مالی روسیه به سرقت برده‌اند».
او همچنین اضافه می‌کند که وزیر کشور این مبلغ را ۴۵ میلیون دلار می‌داند. سخنگوی وزارت کشور ارینا ولک روز چهارشنبه به خبرگزاری تاس گفته است: «خسارتی که به وسیله‌ی این اشخاص که مجرمان سایبری در روسیه هستند برآورد شده به بیش از سه میلیون روبل (۴۵ میلیون دلار) می‌رسد».
اما چیزی که در آن اختلافی نیست، این است که آزمایشگاه کسپرسکی به مقامات روسیه در پیدا کردن محل و دستگیری ۵۰ نفوذگری که از بدافزار Lurk استفاده می‌کرده‌اند، کمک کرده است.

security week/asis