返回新闻列表

卡巴斯基实验室协助俄罗斯警方逮捕窃取4500万美元的黑客

        卡巴斯基实验室专家和俄罗斯最大的银行之一联邦储蓄银行(Sberbank)同俄罗斯执法机关紧密配合,对名为Lurk的网络犯罪组织进行调查,最终逮捕了50名涉案人员。被捕人员涉嫌参与创建受感染的计算机网络,自2011年起,从银行和其他金融机构以及企业共盗窃超过4500万美元(30亿卢布1)。这是俄罗斯迄今为止规模最大的一次黑客逮捕行动。

        2011年,卡巴斯基实验室检测到一个有组织网络犯罪团伙使用Lurk木马进行攻击。Lurk木马是一种复杂的、通用的、多模块的多功能恶意软件,能够获取受害者计算机的访问权限。上述网络犯罪组织主要用这种木马远程控制银行服务,从而窃取银行客户账户中的资金。

       “从最开始,卡巴斯基实验室专家就协同执法机关参与到Lurk网络犯罪组织的调查中。我们发现,Luck攻击组织最早由一群俄罗斯黑客组成,攻击目标为一些组织和用户。一年半之前,Lurk攻击组织开始对银行进行攻击,而之前,这种恶意程序主要用来对多个企业和消费者系统进行攻击。

       “我们的安全专家对这种恶意软件进行了分析,发现了黑客创建的僵尸网络和服务器。利用这些信息,俄罗斯警方可以识别嫌疑人,并且收集他们的犯罪证据。我们期待能够帮助执法机关将更多网络罪犯绳之以法,”卡巴斯基实验室计算机事故调查总监Ruslan Stoyanov说。

       逮捕嫌疑人期间,俄罗斯警方想办法阻止了超过3000万美元(22.73亿卢布2)被转移出去。

Lurk木马

       为了传播这种恶意软件,Lurk网络犯罪组织利用漏洞利用程序,感染了大量合法网站,包括一些主流媒体和新闻网站。受害者只要访问受感染的页面,就会被Lurk木马所感染。一旦侵入受害者的计算机,Lurk木马会下载其它恶意模块到系统,通过这些模块窃取受害者的资金。

       除了媒体网站外,该犯罪组织也会对其他非金融目标进行攻击。为了在VPN连接后面隐藏自己的踪迹,网络罪犯还入侵了多家IT和电信企业,使用他们的服务器保持匿名。

       Lurk木马非常独特,它的恶意代码不会存储在受害者的计算机中,而是在随机访问存储器(RAM)中。此外,开发者还想尽办法让反病毒解决方案无法检测到这种木马。他们会使用不同的VPN服务、匿名的Tor网络以及属于受攻击IT组织的Wi-Fi连接点和服务器干扰检测。

       我们建议企业密切关注自身的安全措施,定期对企业的IT基础设施安全进行检查,至少确保企业的IT基础设施没有已知的安全漏洞。此外,对员工进行基础的安全培训业非常重要,让企业员工了解怎样才是负责任的网络行为。

       此外,企业还需要引入安全保护措施,对针对性攻击进行检测。提高威胁预防的最佳策略是增加威胁检测和响应的投资。即使是最复杂的针对性攻击,同正常的业务流量相比,也可以通过异常的行为将其发现。

       卡巴斯基实验室最新的解决方案——卡巴斯基反针对性攻击平台包含能够分析这类异常行为的智能系统,可以有效检测针对性攻击。

       卡巴斯基实验室将Lurk木马检测为Trojan.Win32.Lurk、Trojan-Banker.Win32.Lurk 和 Trojan-Spy.Win32.Lurk.

       1数据来自俄罗斯联邦内务部

       2数据来自俄罗斯联邦内务部