יום שני , אוקטובר 23 2017
מבזקים
דף הבית > נושאים בכותרות > אבטחה ו-Cyber > פושעי סייבר מגוונים את הפעילות העיסקית שלהם –

פושעי סייבר מגוונים את הפעילות העיסקית שלהם –

מדוע קבוצת הסייברLurk  שגנבה מיליונים מציעה גישה לרוב הכלים העוצמתיים שלה?

בתחילת הקיץ סייעה מעבדת קספרסקי להביא למעצר חשודים בשייכות לכנופיית Lurk, אשר לכאורה גנבה יותר מ- 45 מיליון דולר ממספר חברות ובנקים ברוסיה. זו קבוצת פשיעת הסייבר הפיננסי הגדולה ביותר שנלכדה בשנים האחרונות. עם זאת, זו לא הייתה פעילות הפשיעה היחידה שקבוצת Lurk הייתה מעורבת בה. על פי ניתוח של תשתית ה- IT שמאחורי הקוד הזדוני Lurk, המפעילים שלה פיתחו כלי פריצה והשכירו אותם לעבריינים אחרים. ערכת הפריצה Angler היא קבוצה של תוכנות זדוניות המסוגלות לנצל פרצות בתוכנות נפוצות ולהתקין בחשאי קוד זדוני נוסף על מחשבים אישיים.

lurk_hunt_4במשך שנים, ערכת הפריצה Angler הייתה אחד מהכלים החזקים ביותר הזמינים בשוק המחתרתי של ההאקרים. הפעילות של Angler מתוארכת לסוף 2013, כאשר הערכה הפכה זמינה להשכרה. מספר קבוצות פשיעת סייבר עשו בה שימוש כדי להפיץ קוד זדוני: החל מכלי פרסום ועד לקוד זדוני לבנקאות ותוכנות כופר. מתוכן בלט השימוש הפעיל בערכה זו  על ידי הקבוצה שמאחורי כלי הכופר CryptXXX – אחד מאיומי הכופר הפעילים והמסוכנים ביותר ברשת, וכן TeslaCrypt ועוד. Angler שימש גם להפצת הטרויאני לבנקאות Neverquest, אשר תוכנן כדי לתקוף כמעט 100 בנקים שונים. הפעילות של Angler שובשה מיד לאחר המעצר של קבוצת Lurk.

מחקר שביצעו מומחי אבטחה של מעבדת קספרסקי הראה כי ערכת הפריצה Angler נוצרה במקור למטרה יחידה: לספק לקבוצת Lurk ערוץ כניסה מהיר ויעיל, שיאפשר לקוד הזדוני שלהם לבנקאות לפגוע מחשבים אישיים. בהיותה קבוצה סגורה מאוד, Lurk חיפשה לשלוט מקרוב על התשתית החיונית שלה, במקום לבצע אאוטסורסינג לחלקים ממנה כפי שעושות קבוצות אחרות. אבל ב- 2013 דברים השתנו בכנופיה, והיא פתחה גישה לערכה עבור כל המרבה בתשלום.

"אנו משערים כי ההחלטה של Lurk לפתוח גישה ל- Angler הגיעה בחלקה מהצורך לשלם חשבונות. עד שהם פתחו את Angler להשכרה, הרווחיות של ה'עסק' המרכזי שלהם – שוד סייבר של ארגונים – פחתה מאוד בעקבות מערך של אמצעי אבטחה שהטמיעו מפתחים של מערכות בנקאות מקוונות. אלה הפכו את תהליך הגניבה לקשה בהרבה עבור ההאקרים. אבל באותו זמן ל- Lurk כבר הייתה תשתית רשת עצומה ומספר גדול של אנשי 'צוות' – והיה צורך לשלם עבור כל זה. לכן הם החליטו לגוון את הפעילות העסקית, והם הצליחו לעשות זאת ברמה מסוימת. בעוד הטרויאני לבנקאות Lurk מהווה איום רק על ארגונים ברוסיה, Angler היה בשימוש להתקפות נגד משתמשים בכל רחבי העולם", הסביר רוסלן סטויאנוב, ראש מחלקת חקירת אירועי מחשב.

ערכת הפריצה Angler -הפיתוח והתמיכה בה – לא הייתה הפעילות הצדדית היחידה של Lurk. במשך תקופה של יותר מ- 5 שנים הקבוצה עברה מיצירה של קוד זדוני עוצמתי מאוד לצורך גניבה אוטומטית של כסף ממערכות בנקאות מקוונת, אל מזימות גניבה מתוחכמות, הכוללות הונאות של החלפת כרטיסי SIM ופריצה למומחים המכירים את התשתית הפנימית של בנקים.

כל הפעילות של קבוצת Lurk באותה תקופה נוטרה ותועדה על ידי מומחי האבטחה של מעבדת קספרסקי. לדוח המלא – ראו כאן

 

אודות קספרסקי

 Kaspersky Lab היא חברת אבטחה גלובלית שנוסדה ב-1997. מודיעין האיומים ומיומנות האבטחה המוכחות שלה עומדים בבסיס פתרונות ושירותי האבטחה שהיא מספקת והמסייעים להגן על חברות, ארגונים, תשתיות קריטיות, גופי ממשל ומשתמשים פרטיים  ברחבי העולם. פורטפוליו המוצרים המקיף של מעבדת קספרסקי כולל פתרונות אבטחה מובילים למשתמשי קצה ומספר פתרונות ושירותים מתמחים במאבק נגד האיומים הדיגיטליים המתפתחים. יותר מ-400 מיליון משתמשים ו-270,000 אלף לקוחות ארגוניים ברחבי העולם מוגנים על ידי טכנולוגיות קספרסקי ברחבי העולם. לפרטים נוספים בקרו ב-www.kaspersky.com

אודות מערכת ITNEWS מאיר עשת

מנהל/עורך אתר ITNEWS. בוגר כלכלה ומנה"ס באונ' בן גוריון ו- MBA בירושליים. בעבר: כהן כיועץ כלכלי מטעם המדינה בהולנד ובהודו. היה סמנכ"ל שיווק בברדר, משנה למנכ"ל בסטארטאפ TVNGO, מנהל IT מגזין של גלובס בשנתיים האחרונות.