סוס טרויאני - לבנקים ברוסיה בלבד

הקוד הזדוני קיים, פעיל ומתפתח כבר למעלה מ- 5 שנים, אבל עובד באופן סלקטיבי -רק על מחשבים בהם ניתן לגנוב כסף. ב- 5 השנים בהן הוא קיים לפחות, נרשמו כ- 60,000 בוטים בשרתי הפיקוד והשליטה

bigstockphoto.com IsraelDefense

עצה אחת החוזרת על עצמה לעיתים קרובות בפורומים סגורים של עברייני סייבר רוסים היא "אל תעבוד עם RU". זו סוג של הכוונה שנותנים עבריינים רוסים מנוסים יותר לדור הצעיר. ניתן לפרש אותה כ:"אל תגנוב כסף מאנשי רוסיה, אל תדביק את המכונות שלהם, אל תשתמש בארצנו כדי להלבין כספים".

ההצעה ההפוכה - "עבודה עם RU" -  אינה רעיון טוב בכל הנוגע לרווחתם של עברייני סייבר: אנשים ממדינות אחרות אינם צפויים לדווח על אירועים למשטרת רוסיה. בנוסף, בנקאות מקוונת אינה פופולארית במיוחד באזור רוסיה -או לפחות, היא אינה פופולארית כמו במערב. המשמעות היא שפוטנציאל ההכנסות מפעילות אזור RU היא נמוכה מאשר באזורים אחרים, בעוד הסיכון גבוה יותר. ומכאן החוק "אל תעבוד עם RU"

כמו תמיד, ישנם אלו שינצלו את היוצא מן הכלל. בולט בכך סוס טרויאני לבנקאות Lurk -אשר משמש לגניבת כסף מתושבי רוסיה כבר מספר שנים. הטרויאני לכד את תשומת לב מומחי קספרסקי כמעט מיד לאחר הופעתו מכיוון שהוא משתמש במנגנון הפצה ללא קבצים -הקוד הזדוני לא נשמר בדיסק הקשיח ופועל מהזיכרון בלבד. עדיין, עד עתה לא פורסם מסמך מפורט אודות Lurk.

מה שונה ב- Lurk?

הטרויאני לבנקאות Lurk הוא ליגה בפני עצמה בכל הנוגע לתכנון קוד זדוני לגניבת כסף מלקוחות בנקים.

-          הקוד הזדוני קיים, פעיל ומתפתח כבר למעלה מ- 5 שנים, אבל עובד באופן סלקטיבי -רק על מחשבים בהם ניתן לגנוב כסף. ב- 5 השנים בהן הוא קיים לפחות, נרשמו כ- 60,000 בוטים בשרתי הפיקוד והשליטה, מספר שאינו גדול במיוחד.

-          Lurk הוא טרויאני לבנקאות עם יכולות מגוונות -הוא יכול לגנוב כסף  ממערכת iBank 2 המשמשת בנקים ברוסיה, אלא גם ממערכות בנקאות מקוונת ייחודיות המשמשות בנקים גדולים ברוסיה.

·         Lurk מתנגד באופן פעיל לזיהוי: המפתחים שלו עמלו קשה כדי למזער את אפשרויות הזיהוי של הטרויאני שלהם, בעוד האופי הממוקד של התקיפות מקשה על השגת דוגמיות במהירות

·         על פי שיטות הארגון הפנימי של הקוד הזדוני, מערך המאפיינים והתדירות בהן הוא מתעדכן, ניתן להסיק כי עובד על הפרויקט צוות של מפתחים ובודקים מקצועיים.

"לא ניתן לומר כי הטרויאני כתוב היטב: ראינו וניתחנו טרויאנים לבנקאות עם איכות גבוהה בהרבה. יותר מכך, הניתוח של Lurk הראה כי מספר מתכנתים ברמות שונות עבדו על הקוד. המפתחים ביצעו מספר בחירות שגויות ברורות אשר נותרו במשך שנים ללא תיקון. אירועים הידועים  לנו גורמים לנו להאמין כי Lurk מוצלח במה שהוא תוכנן עבורו: אנו מקבלים דוחות קבועים לגבי גניבות ממערכות הבנקאות עם עקבות של Lurk במכונות הנגועות".

מטרות

העבריינים שמאחורי Lurk מעוניינים בארגונים הבאים: ארגוני IT הפועלים בתחומי הטלקום, ארגוני מדיה המונית ואגרגטורים, וכן בנקים וגופים פיננסים.

מחשבים נגועים בחברות IT וטלקום מהווים עבור העבריינים שרתי העברה חדשים באמצעותם הם מפנים תעבורה אל שרתי התוקפים. אתרי מדיה וחדשות, במיוחד כאלה בהם מבקרים רואי חשבון, משמשים כדי להדביק מספר גדול של משתמשים מקרב "קהל המטרה". לא נפרט את הסיבות לתקיפה של מכונות בקרב סוכנויות אבטחה (שגם הם נמצאים על הכוונת של Lurk)

הפצה

טכניקה ידועה של הדבקת "על הדרך" (drive-by) משמשת כדי להפיץ את הטרויאני לבנקאות. בנוסף, עבריינים מפיצים את הטרויאני דרך אתרים נגועים עם תוכנה לגיטימית ורשתות חוצות ארגונים -באמצעות כלי psexec.

דוגמא של התקפה

במהלך המחקר שלנו, זיהינו מתקפת Lurk על בנק רוסי גדול אשר השתמש במודול w3bank כדי לבצע הזרקת רשת. הצלחנו להשיג את הקוד של ההזרקה. קובצי קוד ההזרקה הם בעלי שמות זהים למערכות בנקאות מרוחקת אחרות (content.min.js), אבל בשלב מאוחר יותר מיוצר GUID רנדומלי אחר.

קוד זה מיירט את נתוני האימות המוכנסים במערכת הבנקאות מרחוק. כאשר המשתמש נכנס למערכת הבנקאות המרוחקת, שם המשתמש והסיסמא מיורטים. לאחר אימות מצלח, נוצר session מקביל המוסתר מהמשתמש ובמסגרתו Lurk סורק את עמודי הבנקאות ומחפש אחר השם והטלפון הקשורים בכרטיס. הקוד הזדוני אוסף את כל המידע הנדרש כדי לבצע תשלום במערכת הבנקאות המקוונת. מידע זה נשלח לשרתי הפיקוד והשליטה שהכתובת שלהם זהה לזו של השרתים המתקשרים עם מודול הליבה של הקוד הזדוני.

בתגובה, שרתי הפיקוד והשליטה יכולים לשלוח קוד להפעלה בדפדפן. לא הצלחנו להשיג קוד שכזה במהלך המחקר. שרתי הפיקוד יכולים גם לרשום תשלום אוטומטי אשר יופעל בפעם הבאה שהמשתמש ייכנס למערכת הבנקאות .

סיכום

יוצרי הטרויאני עשו מאמצים גדולים כדי להגן על היצירה שלהם מפני חוקרים, ובמיוחד להגן על Lurk מפני ניתוח עומק, או לפחות, לפגוע משמעותית ביכולת ניתוח שכזו. עם זאת, על אף הקשיים בניתוח הטרויאני, Lurk מזוהה במהירות על ידי פתרונות אנטי וירוס מודרניים. גם יצרנית מערכת הבנקאות  iBank 2 הטמיעה שיטות לטיפול ב- Lurk. המחקר של החברה הראה כי מכל כלי ההגנה שהוטמעו במערכת, רק בקרה על שרת הבנק היא יעילה נגד Lurk וכי כל האמצעים האחרים שהוטמעו נעקפו על ידי יוצרי Lurk, דבר המראה על המקצועיות שלהם.

Lurk עושה רושם כמערכת עוצמתית ומורכבת שתוכננה כדי להשיג בדיוק את יעדי העבריינים שיצרו אותה: גניבת כסף ממשתמשים. המיקוד וההתמדה בה הם עובדים מראה כי יש להם מוטיבציה גבוהה.