МВД Российской Федерации провело ряд задержаний хакеров, ответственных за создание банковского трояна Lurk, сообщает ТАСС. Ранее в мае 2016 года были задержаны другие участники группировки, которая в общей сложности в период с 2013 по 2016 годы похитила 1 млрд рублей со счетов клиентов российских банков. По информации издания «Коммерсантъ» за время деятельности хакеров со счетов было похищено более 1,7 млрд рублей. В операции по поимке преступников участвовала ФСБ.
Всего хакерская группировка насчитывала 50 человек. Злоумышленники проживали в 17 различных регионах РФ. В ходе их поимки МВД пришлось провести обыски по 34 адресам по всей стране.
«К началу 2017 года были установлены другие участники организованной группы, также причастные к противоправной деятельности. В связи с выявленными фактами 25 января этого года в пяти субъектах России задержаны девять граждан, подозреваемых в участии в хакерских атаках. В отношении одного из них суд избрал меру пресечения в виде заключения под стражу», — сказала представитель МВД России Ирина Волк.
Всего по делу трояна Lurk были привлечены к ответственности 27 организаторов и участников группировки, 19 из них заключены под стражу.
О банковском трояне Lurk стало широко известно в 2016 году. По одной из версий распространялся троян через атаки на официальные сайты банков или через фишинг на специализированных ресурсах и финансовых форумах, которые посещали сотрудники банков.
С другой стороны исследователи из «Лаборатории Касперского» обнаружили, что установочный файл ПО для обеспечения удаленного доступа Ammyy Admin, размещенный для скачивания на сайте производителя, не имел цифровой подписи, то есть был заменен злоумышленниками.
После запуска скачанного дистрибутива исполняемый файл создавал и запускал еще два исполняемых файла: это установщик утилиты и троян Trojan-Spy.Win32.Lurk. Представители преступной группы использовали специальный алгоритм проверки принадлежности зараженного компьютера корпоративной сети. Проверкой занимался модифицированный php-скрипт на сервере Ammyy Group.
Таким образом, в краже средств со счетов клиентов банков косвенно виновны сотрудники, которые недостаточно внимательно отнеслись к используемому и устанавливаемому ими ПО и посещаемым ресурсам. По словам представителя МВД расследование по этому делу продолжается.
Комментарии (31)
RiseOfDeath
08.02.2017 14:26+5Чет какой-то заголовок не правильный. Надо было написать "МВД задержало авторов Лурка". :)
vopper
08.02.2017 14:28+1Самое интересное, как поймали и на чем прокололись
Saffron
08.02.2017 21:18Не расскажут. Будет «официальная» версия, как с автором шёлкового пути.
Надеюсь, похищенные деньги уже не вернуть. Чтобы был хоть какой-то стимул развивать безопасность технологий, а не свистелки и перделки.
Kehit
08.02.2017 14:28почему эти люди всегда остаются/возвращаются в страны, в которых они «нагадили»?
justhabrauser
08.02.2017 19:11> Проверкой занимался модифицированный php-скрипт на сервере Ammyy Group
Или пруфы — или к Ализару и SLY_G присоединится еще и ragequit.
Andrusha
08.02.2017 19:40Про это ещё в прошлом году писали. Вот, например.
justhabrauser
08.02.2017 19:481. Это было в прошлом году
2. «Kaspersky Lab researchers say» не сильно отличается от «Одна Бабка Сказала».Andrusha
08.02.2017 19:541. Ну да, видимо, новых версий не появилось.
2. Очевидно, что Kaspersky Lab занимались проблемой, они и сказали.justhabrauser
08.02.2017 20:052. Кхм… А при чем «Kaspersky Lab занимались проблемой,» к «модифицированный php-скрипт на сервере Ammyy Group»?
Kaspersky Lab != Ammyy Group.
Алегараж… Читать нельзя писать.Andrusha
08.02.2017 20:17Ээээ, ну как вам сказать. Вы же в курсе, что Kaspersky Lab не только антивирусы пишут, а занимаются кибербезопасностью в целом?
justhabrauser
08.02.2017 20:25Внимательнее, пожалуста:
> php-скрипт на сервере Ammyy Group
Или в AMMYY Group специальный php — или Вы слишком быстро читать нельзя писать.
ЗЫ. ну или только-что касперский купил амми.Andrusha
08.02.2017 20:30Представители преступной группы использовали специальный алгоритм проверки принадлежности зараженного компьютера корпоративной сети. Проверкой занимался модифицированный php-скрипт на сервере Ammyy Group.
Вот я прочитал ещё раз, и что тут не так? Злоумышленники залили скрипт, спецы из Касперского его нашли. По-моему, это вы что-то не то читаете, или не так.justhabrauser
08.02.2017 20:45> Вот я прочитал ещё раз, и что тут не так
Вы не прочитайте, а попробуйте найти «php-скрипт» на сайте (особенно, если его там нет).
А тем более — залить туда свой скрипт.
PS. рукалицо > куда мир катится?Andrusha
08.02.2017 20:54А вы можете свою мысль целиком в одном комментарии сформулировать? Пока выходит, что вы либо не можете найти тот самый скрипт на сайте (после того как его нашли специалисты из Касперского. Действительно странно, куда же он делся?), либо считаете, что на веб-сервере у AMMYY статичный сайт на HTML.
MacIn
08.02.2017 23:50+1Внимательнее, пожалуста:
> php-скрипт на сервере Ammyy Group
Так. И?
Или в AMMYY Group специальный php
Как это связано с фразой «php-скрипт на сервере Ammyy Group»?
justhabrauser
09.02.2017 22:01-1Объясняю:
* Если веб-сервер Ammyy Group нормально сконфигурирован — _невозможно_ не только добраться до php-скриптов, но и вообще определить, что там работает php.
Снаружи невозможно.
* А если у Kaspersky Lab есть доступ к сырцам веб-сайта Ammyy Group — пруфы на базу, плиз.
А писать можно что угодно:
— мой сосед говорит, что по 8 раз за ночь!
— ну так и вы говорите, что мешает?..Andrusha
09.02.2017 23:26Ага, а если винда нормально сконфигурирована, и сидит за ней квалифицированный оператор ПК, то заразить её вирусом невозможно. Кажется, мы с вами придумали способ, как уничтожить индустрию кибербезопасности, дело за малым — построить этот идеальный мир. У нас, к сожалению, на данный момент всякие крутые хакеры определяют наличие PHP и ломают сайты контор куда покруче, чем разработчиков не особо популярного российского аналога TeamViewer.
* А если у Kaspersky Lab есть доступ к сырцам веб-сайта Ammyy Group — пруфы на базу, плиз.
А пруфы на то, что в процессе исследования специалисты Kaspersky Lab пользовались компьютером, вам не нужны? Не, я не спорю, что может быть у Касперского настолько суровые спецы, которые проделали все действия злоумышленников и повторно ломанули несчастный веб-сервер, но бритва Оккама кагбэ говорит нам, что если они пишут, что связывались с Ammyy, то те вероятнее всего сами предоставляли им доступ к серверу. Отсутствие в новостях опровержений того пресс-релиза со стороны Ammyy говорит нам, что видимо всё так и было.
pnetmon
08.02.2017 19:50Да тут у них кажется редакторов стало мало… прям на новостной сайт начинает походить.
Тут
О банковском трояне Lurk стало широко известно в 2016 году. По одной из версий распространялся троян через атаки на официальные сайты банков или через фишинг на специализированных ресурсах и финансовых форумах, которые посещали сотрудники банков.
И что писали http://www.kommersant.ru/doc/3053357
Первый вариант заключался в распространении через профильные сайты — бухгалтерские форумы и специализированные новостные сайты скрытых ссылок на файлы с вирусом. Второй путь заключался в использовании взломанных сайтов, в частности, крупной компании Ammyy (на ее сайте в качестве клиентов указаны МВД РФ, "Почта России", система правовой информации "Гарант").
http://www.kommersant.ru/doc/3053357
02.08.2016
По версии следствия, они внедряли троянскую программу Lurk через средства удаленного управления компьютерами Ammyy Admin. Как следует из специального отчета "Лаборатории Касперского" (компания совместно со специалистами Сбербанка оказывала экспертную поддержку следственным органам по данному делу)…
"Как оказалось, размещенный на официальном сайте установщик программы Ammyy Admin не имел цифровой подписи и представлял собой троянец-дроппер. После его запуска во временном каталоге создавались и запускались на исполнение два файла: установщик утилиты и вредоносная программа-шпион Trojan-Spy.Win32.Lurk. Кроме того, злоумышленники модифицировали php-скрипт на веб-сервере Ammyy Group таким образом, чтобы при попытке скачать программу администрирования вирус проверял, является ли заражаемый компьютер частью корпоративной сети и если да, то запускал помимо собственно самой утилиты и вредоносную программу Lurk.justhabrauser
08.02.2017 19:57-1Кино и немцы:
> установщик программы Ammyy Admin не имел цифровой подписи
Цифровой подписи _кого_?
Вы давно устанавливали сертификат тензора, калуга-астрал или иного росаудита, как корневого доверенного?
ragequit
09.02.2017 00:10У вас какие-то проблемы с переходом по ссылкам в тексте? Это называется источники, которые вы можете сами проверить, чем и рекомендую заняться.
/threadpnetmon
09.02.2017 05:50-2Текст не соответствует источникам — и это называют проблемой читателя. Да, Проблема.
Как и просто когда собирают из разных статей в кучу так что получается расхождения в тексте.
blackswanny
08.02.2017 19:30Если правда, то борьба с "вражеским" небезопасным ПО бессмысленна, когда главное зло не в этом
Mr_Franke
09.02.2017 00:08> Проверкой занимался модифицированный php-скрипт на сервере Ammyy Group.
[irony]шах и мат тем кто утверждает что php годится только для сайтов на wordpress [/irony]
scronheim
Хром уже давно не дает качать с офф сайта ammy
blackswanny
Почему хром. Скорее IE, или Яндекс.Стринги тоже в тренде.
А вообще странно, я думал подобное ammyy используют обычные юзеры, а не банки. Где был ammyy, когда их сайт взломали, и как запустили PHP на машине пользователя