Недавнее заявление о поимке около пятидесяти хакеров, живущих в разных регионах России, и сумевших за пять лет противоправных действий украсть более полутора миллиардов рублей со счетов рядовых граждан, обрастает новыми подробностями.
По ранее предоставленной оперативной информации, хакеры, использовали вредоносное программное обеспечение (далее троян Lurk), с помощью которого удалось вывести огромную сумму со счетов разных банков. Примечательно, что команду хакеров не могли поймать около пяти лет, и только недавно удалось провести масштабную операцию по задержанию преступников, чему предшествовало многолетнее расследование.
По последней информации от следственного отдела, хакерам помогали системные администраторы, работающие в банковских структурах, которые не осознавали, что делают. Подобное заявление прозвучало от представителей МВД РФ.
Также стало известно, что целями хакеров были следующие банки: Металлинвестбанк, главный офис которого находится в Москве, Гарант-Инвест, также являющийся столичным финансовым учреждением, и банк Таата, предоставляющий услуги на территории Якутии. За все время, команде хакеров удалось вывести больше полутора миллиарда рублей, и если не своевременное вмешательство правоохранительных органов, то киберпреступники смогли бы вывести еще больше двух миллиардов рублей, поскольку схема проведения хищений была уже систематизирована.
Следственные органы предоставили информацию о предполагаемых лидерах команды хакеров – это Александр Еремин и Константин Козловский. Интересно, что хакерская команда была рассредоточена на территории 15-и регионов, чем и объясняется длительное расследование дела.
По версии следствия, злоумышленник использовали два способа распространения трояна Lurk:
Суть работы программы Lurk достаточно проста. После скачивания трояна на компьютер, который находился в офисе одного из ограбленных банков и был подключен к общей системе, программа начинала инсталляцию дополнительных компонентов для слежения и сбора информации.
Примечательно, что программа могла самостоятельно определять, подключен ли зараженный компьютер к общей корпоративной системе, и имеет ли доступ к финансовой информации. Если компьютер работал в автономном режиме, то есть не был подключен к корпоративной сети, то вирус никак себя не проявлял. Если же вычислительное устройство было частью сети с доступом к инструментам проведения финансовых переводов, то скачивалось дополнительное программное обеспечение, открывавшее доступ к системам управления счетами клиентов банков.
На основе изложенных данных, можно предположить, что системные администраторы сами запускали вредоносные программы, активирую схему, благодаря которой злоумышленники на протяжении пяти лет незаконно выводили средства со счетов банковских клиентов.
Интересно, что сразу же после задержания основных подозреваемых, вместе с главным вирусом начала действовать еще одна программа под названием Fareit, которая позволяла собирать всю информацию, связанную с функционированием системы банка. Как полагают представители из лаборатории Касперского, принимавшие участие в расследовании, распространение новой программы имело особую цель, а именно – предоставление конфиденциальной банковской информации третьим лицам.
Представители разных банков уже высказались по этому поводу. По их словам, необходимо ужесточить использование сторонних программ в рамках банковской компьютерной техники.