Хакеры работали на скорость

Фото: Сергей Карпухин / Reuters

С помощью нового вида вредоносной программы похищено сотни тысяч евро; возможны новые сетевые атаки

Алексей Аликин

25 июня, 2014 09:16

3 мин

В Cети действует организованная группа киберпреступников, укравшая как минимум €500 тысяч со счетов крупного европейского банка. Хакерская деятельность была обнаружена аналитическим отделом «Лаборатории Касперского» — российской компании, известной своими компьютерными системами защиты.

«Эта крайне серьезная махинация. Дело не в том, сколько денежных средств было украдено, а с какой быстротой это было сделано. Только один процесс обналичивания украденного требуют серьезной организации», — цитирует «Би-би-си» независимого эксперта по безопасности Алана Вудварда.

Эксперты «Лаборатории Касперского» засекли первые следы сетевой группировки в январе — им удалось засечь так называемый command-and-control-сервер, используемый для централизованного управления сетью зараженных компьютеров. Детальное изучение сервера показало, что неизвестные мошенники используют троянскую программу для похищения денег.

Всего за неделю было обворовано почти 200 клиентов банка, чье название не раскрывается, большинство из жертв киберкриминала — жители Турции и Италии. С каждого счета изымалось от €1700 до €39 000, сообщает «Лаборатория Касперского».

Украденные деньги отмывались необычным способом — существовала целая иерархия посредников, снимавших ворованное со специально созданных для этой цели счетов и банкоматов. Одна группа курьеров отвечала за суммы порядка €40—50 тысяч, другая — €15—20 тысяч, третья — не более €2000.

«Часто участники жульнических схем обманывают своих партнеров и скрываются с обналиченными средствами. Основатели схемы видимо пытались застраховать себя от таких потерь, создав структуру из групп с разным уровнем доверия — чем больше денег доверяют посреднику, тем сильнее на него полагаются», — поясняет аналитик Висенте Диаз.

Схему похищения эксперты окрестили Luuuk. Имя было дано по названию папки в котором была размещена панель управления командного сервера пояснили «Русской планете» в пресс-службе компании.

Это может быть полностью новая программа для взлома или серьезно модифицированный «троянский конь». По всей видимости сведения перехватывались автоматически, как только жертва начинала работать со своим банковским счетом через интернет — вводимые клиентом данные копировались в реальном времени и почти сразу использовались для нелегальных переводов денег.

«На командном сервере наши специалисты не нашли точного указания, какие именно вредоносные программы использовали злоумышленники, однако множество модификаций троянца Zeus (Citadel, SpyEye, IcelX и другие) обладают подходящим для этого функционалом. Предположительно, использованные в данной операции вредоносные программы могут являться вариантом Zeus с поддержкой механизма веб-инъекций», — пояснили РП в «Лаборатории Касперского».

Аналитики передали все полученные сведения службе безопасности атакованного банка и силовым структурам, но поймать преступников не удалось. Спустя два дня после обнаружения их сервера, киберворы удалили из сети все сведения, которые могли быть использованы против них в качестве улик.

Хакеры, стоящие за Luuuk крайне активны, меняют тактику и зачищают следы в случае обнаружения. Их временное исчезновение говорит о смене подхода, но не прекращении деятельности, предупреждают эксперты. Силовые органы продолжают их поиски.

В апреле Министерство юстиции США предъявило обвинения девяти подозреваемым в краже миллионов долларов с помощью ZeuS. Координаторами и организаторами хакерской группировки были названы четверо граждан Украины и России, объявленные в розыск. По данным из открытых источников, кибер-преступники, заразившие «трояном» тысячи корпоративных компьютеров, также как и Luuuk, отмывали деньги с помощью разветвленной сети посредников.

ТЕГИ

поддержать проект

Для поднятия хорошего настроения, вы можете угостить наших редакторов чашечкой кофе

Маленькая чашка кофе