Стали известны подробности расследования резонансного уголовного дела преступного сообщества хакеров из 15 регионов России, которые с помощью троянской программы Lurk за пять лет похитили со счетов клиентов российских банков более 1,7 млрд руб. Эксперты по компьютерной безопасности выяснили, что мошенничеству способствовало использование системными администраторами пострадавших компаний зараженных программ для работы по удаленному доступу.
По сведениям "Ъ", следователи следственного департамента МВД РФ установили возможные методы получения хакерами доступа к компьютерам пострадавших банков. Напомним, в июне МВД РФ совместно с ФСБ РФ заявило о задержании порядка 50 хакеров из 15 регионов России, которые похитили 1,7 млрд руб. из российских банков и пытались вывести еще около 2,2 млрд руб. В частности, от действий хакеров пострадали московские Металлинвестбанк и банк "Гарант-инвест", якутский банк "Таатта", которые подверглись атакам троянской программы Lurk. Именно разработкой данного вируса, по версии следствия, занимались хакеры, основными членами и лидерами которых были жители Свердловской области. 14 из них во главе с предполагаемыми лидерами сообщества Константином Козловским и Александром Ереминым были задержаны в Екатеринбурге и доставлены в Москву.
По версии следствия, они внедряли троянскую программу Lurk через средства удаленного управления компьютерами Ammyy Admin. Как следует из специального отчета "Лаборатории Касперского" (компания совместно со специалистами Сбербанка оказывала экспертную поддержку следственным органам по данному делу), было два основных пути распространения вируса: использование эксплойт-паков и взломанных сайтов. Первый вариант заключался в распространении через профильные сайты — бухгалтерские форумы и специализированные новостные сайты скрытых ссылок на файлы с вирусом. Второй путь заключался в использовании взломанных сайтов, в частности, крупной компании Ammyy (на ее сайте в качестве клиентов указаны МВД РФ, "Почта России", система правовой информации "Гарант").
"Как оказалось, размещенный на официальном сайте установщик программы Ammyy Admin не имел цифровой подписи и представлял собой троянец-дроппер. После его запуска во временном каталоге создавались и запускались на исполнение два файла: установщик утилиты и вредоносная программа-шпион Trojan-Spy.Win32.Lurk. Кроме того, злоумышленники модифицировали php-скрипт на веб-сервере Ammyy Group таким образом, чтобы при попытке скачать программу администрирования вирус проверял, является ли заражаемый компьютер частью корпоративной сети и если да, то запускал помимо собственно самой утилиты и вредоносную программу Lurk. Это свидетельствует о том, что злоумышленники охотились именно за корпоративными рабочими станциями и серверами",— отмечается в отчете экспертов. По их мнению, запускать вирус могли сами системные администраторы потерпевших компаний, использовавшие зараженный софт для удаленной помощи своим клиентам. "Примечательно, что 1 июня содержимое дроппера изменилось — вместо Lurk, об аресте создателей которого было объявлено в тот же день, с сайта начала распространяться вредоносная программа Trojan-PSW.Win32.Fareit, также предназначенная для кражи персональной информации. Это позволяет предположить, что злоумышленники, стоящие за взломом сайта Ammyy Admin, за определенную плату предлагают всем желающим "место" в трояне-дроппере для распространения с ammyy.com",— отмечается в отчете "Лаборатории Касперского".
В МВД РФ пока ход расследования не комментируют.
Участники уральского банковского рынка отмечают, что избежать подобных инцидентов можно только с помощью строгого контроля использования постороннего программного обеспечения. "В своей деятельности программы удаленного администрирования мы не используем. Это запрещено и строго контролируется. А любые готовые программные продукты проходят комплексную проверку безопасности, которая позволяет исключить наличие скрытых кодов",— отметили в пресс-службе Уральского банка Сбербанка РФ. А начальник управления безопасности информационных систем Уральского банка реконструкции и развития (УБРиР) Александр Падерин пояснил "Ъ", что УБРиР использует программные продукты для удаленного подключения к рабочим компьютерам только в рамках своей корпоративной сети для оказания технической поддержки. "Такие программные решения, как Ammyy Admin, предполагают использование внешних по отношению к банку центров управления рабочими станциями. Подобные решения в банке запрещены",— отметил он.