בעיות עסקיות של עברייני סייבר: מחפשים הכנסות מהצד

בתחילת הקיץ סייעה מעבדת קספרסקי להביא למעצר חשודים בשייכות לכנופיית Lurk, אשר לכאורה גנבה יותר מ- 45 מיליון דולר ממספר חברות ובנקים ברוסיה. זו קבוצת פשיעת הסייבר הפיננסי הגדולה ביותר שנלכדה בשנים האחרונות. עם זאת, זו לא הייתה פעילות הפשיעה היחידה שקבוצת Lurk הייתה מעורבת בה. על פי ניתוח של תשתית ה- IT שמאחורי הקוד הזדוני Lurk, המפעילים שלה פיתחו כלי פריצה והשכירו אותם לעבריינים אחרים. ערכת הפריצה Angler היא קבוצה של תוכנות זדוניות המסוגלות לנצל פרצות בתוכנות נפוצות ולהתקין בחשאי קוד זדוני נוסף על מחשבים אישיים.

במשך שנים, ערכת הפריצה Angler הייתה אחד מהכלים החזקים ביותר הזמינים בשוק המחתרתי של ההאקרים. הפעילות של Angler מתוארכת לסוף 2013, כאשר הערכה הפכה זמינה להשכרה. מספר קבוצות פשיעת סייבר עשו בה שימוש כדי להפיץ קוד זדוני: החל מכלי פרסום ועד לקוד זדוני לבנקאות ותוכנות כופר. מתוכן בלט השימוש הפעיל בערכה זו  על ידי הקבוצה שמאחורי כלי הכופר CryptXXX – אחד מאיומי הכופר הפעילים והמסוכנים ביותר ברשת, וכן TeslaCrypt ועוד. Angler שימש גם להפצת הטרויאני לבנקאות Neverquest, אשר תוכנן כדי לתקוף כמעט 100 בנקים שונים. הפעילות של Angler שובשה מיד לאחר המעצר של קבוצת Lurk.

מחקר שביצעו מומחי אבטחה של מעבדת קספרסקי הראה כי ערכת הפריצה Angler נוצרה במקור למטרה יחידה: לספק לקבוצת Lurk ערוץ כניסה מהיר ויעיל, שיאפשר לקוד הזדוני שלהם לבנקאות לפגוע מחשבים אישיים. בהיותה קבוצה סגורה מאוד, Lurk חיפשה לשלוט מקרוב על התשתית החיונית שלה, במקום לבצע אאוטסורסינג לחלקים ממנה כפי שעושות קבוצות אחרות. אבל ב- 2013 דברים השתנו בכנופיה, והיא פתחה גישה לערכה עבור כל המרבה בתשלום.

"אנו משערים כי ההחלטה של Lurk לפתוח גישה ל- Angler הגיעה בחלקה מהצורך לשלם חשבונות. עד שהם פתחו את Angler להשכרה, הרווחיות של ה'עסק' המרכזי שלהם – שוד סייבר של ארגונים – פחתה מאוד בעקבות מערך של אמצעי אבטחה שהטמיעו מפתחים של מערכות בנקאות מקוונות. אלה הפכו את תהליך הגניבה לקשה בהרבה עבור ההאקרים. אבל באותו זמן ל- Lurk כבר הייתה תשתית רשת עצומה ומספר גדול של אנשי 'צוות' – והיה צורך לשלם עבור כל זה. לכן הם החליטו לגוון את הפעילות העסקית, והם הצליחו לעשות זאת ברמה מסוימת. בעוד הטרויאני לבנקאות Lurk מהווה איום רק על ארגונים ברוסיה, Angler היה בשימוש להתקפות נגד משתמשים בכל רחבי העולם", הסביר רוסלן סטויאנוב, ראש מחלקת חקירת אירועי מחשב.

ערכת הפריצה Angler -הפיתוח והתמיכה בה – לא הייתה הפעילות הצדדית היחידה של Lurk. במשך תקופה של יותר מ- 5 שנים הקבוצה עברה מיצירה של קוד זדוני עוצמתי מאוד לצורך גניבה אוטומטית של כסף ממערכות בנקאות מקוונת, אל מזימות גניבה מתוחכמות, הכוללות הונאות של החלפת כרטיסי SIM ופריצה למומחים המכירים את התשתית הפנימית של בנקים.