Na początku lata eksperci z Kaspersky Lab pomagali w dochodzeniu dotyczącym cyberprzestępczego gangu Lurk, które zakończyło się aresztowaniem 50 osób podejrzanych o kradzież ponad 45 mln dolarów z instytucji finansowych w Rosji. Okazuje się, że nie była to jedyna aktywność cyberprzestępcza tej grupy. Analiza infrastruktury ugrupowania wykazała, że operatorzy tworzyli na zamówienie i wypożyczali szkodliwe technologie innym atakującym. Było wśród nich najpotężniejsze narzędzie grupy – zestaw Angler składający się ze szkodliwych programów potrafiących infekować komputery poprzez luki w zabezpieczeniach i ukradkowo pobierać niebezpieczne aplikacje.
Przez lata zestaw Angler był jednym z najpotężniejszych narzędzi dostępnych w cyberprzestępczym podziemiu. Pod koniec 2013 r. został udostępniony do wynajęcia i zaczęło z niego korzystać wiele grup cyberprzestępczych zaangażowanych w rozprzestrzenianie rozmaitych szkodliwych programów – od aplikacji reklamowych adware po zagrożenia finansowe oraz narzędzia szyfrujące dane i żądające okupu – tzw. ransomware. Na przykład, zestaw Angler był wykorzystywany przez cyberprzestępców stojących za szkodnikami szyfrującymi CryptXXX oraz TeslaCrypt oraz trojanem bankowym Neverquest, który został zaprojektowany w celu atakowania klientów niemal 100 instytucji finansowych. Funkcjonowanie zestawu Angler zostało przerwane tuż po aresztowaniu cyberprzestępczej grupy Lurk.
Jak wykazały badania prowadzone przez Kaspersky Lab, zestaw Angler pełnił pierwotnie jedno zadanie – dawał grupie Lurk skuteczny i wydajny mechanizm dostarczania bankowych szkodliwych programów, które infekowały komputery użytkowników. Ugrupowanie Lurk funkcjonowało hermetycznie – samodzielnie tworzyło i utrzymywało wszystkie szkodliwe narzędzia i całą infrastrukturę, w przeciwieństwie do innych atakujących, którzy często korzystają z gotowych technologii lub podzlecają ich przygotowanie zewnętrznym programistom. Sytuacja ta zmieniła się jednak w 2013 r. gdy grupa otworzyła dostęp do zestawu Angler dla wszystkich, którzy chcieli zapłacić.
„Uważamy, że decyzja grupy Lurk była częściowo podyktowana koniecznością finansowania rozbudowanej infrastruktury cyberprzestępczej. W czasie, gdy udostępniono do wynajęcia zestaw Angler, główny ‘biznes’ ugrupowania – kradzież pieniędzy od zainfekowanych użytkowników – stawał się coraz mniej dochodowy w związku z wprowadzeniem przez banki nowych zabezpieczeń. W efekcie kradzież pieniędzy stała się znacznie trudniejsza. Jednocześnie, grupa Lurk dysponowała rozbudowaną infrastrukturą oraz licznym ‘personelem’, co generowało duże koszty. Cyberprzestępcy zdecydowali się zatem na rozszerzenie swojej działalności i w pewnym stopniu im się to powiodło. Podczas gdy trojan Lurk stanowił zagrożenie wyłącznie dla rosyjskich firm, po zmianie podejścia zestaw Angler zaczął być wykorzystywany do infekowania ofiar na całym świecie” – tłumaczy Rusłan Stojanow, szef działu odpowiedzialnego za dochodzenia w ramach incydentów komputerowych, Kaspersky Lab.
Rozwój i konserwacja pakietu Angler to nie jedna działalność poboczna grupy Lurk. W ciągu pięciu lat cyberprzestępcy przeszli od tworzenia potężnych szkodliwych programów pozwalających na zautomatyzowaną kradzież pieniędzy do zaawansowanych mechanizmów kradzieży wykorzystujących podmianę kart SIM oraz hakowanie specjalistów zaznajomionych z wewnętrzną infrastrukturą banków.
Wszystkie działania ugrupowania Luk w tym okresie były monitorowane i dokumentowane przez ekspertów z Kaspersky Lab. Szczegóły techniczne są dostępne na stronie https://kas.pr/5aaq .