Lurk: individuato e arrestato

Come Kaspersky Lab ha aiutato la polizia russa a catturare i cybercriminali che si celavano dietro il Trojan bancario Lurk e l’exploit kit di Angler.

Forse il problema maggiore con i cybercriminali è il fatto che siano estremamente difficili da acciuffare. Pensate ad una vera rapina in banca con pistole e maschere (i ladri lasciano impronte digitali; le loro voci sono registrate dalle telecamere di sorveglianza; la polizia può rintracciare le loro automobili utilizzando le telecamere di controllo del traffico; e così via). Tutto questo aiuta gli investigatori a trovare i sospetti. Ma quando i cybercriminali portano a termine una rapina, non lasciano….praticamente nessuna traccia. Nessun indizio.

Eppure, a volte vengono acciuffati. Vi ricordate il Trojan bancario SpyEye? I suoi creatori sono stati presi nel 2011. E il gruppo Carberp, attivo dal 2010 al 2012? Presi anche loro. E cosa possiamo dire sul famigerato exploit kit di Angler, scomparso dalla circolazione a fine giugno? Il malware Lurk ha smesso di attaccare proprio nello stesso periodo (perché il gruppo che stava dietro è stato arrestato, con l’aiuto delle autorità russe e di Kaspersky Lab).

La storia ha avuto inizio nel 2011, quando ci siamo imbattuti per la prima volta in Lurk. Quello che ha catturato la nostra attenzione è stato il fatto che un Trojan anonimo, che utilizzava software di remote banking per rubare denaro, è stato classificato dal nostro sistema interno di assegnazione dei nomi ai malware come un Trojan che potrebbe essere utilizzato per molte cose (ma non per rubare denaro). Quindi abbiamo dato uno sguardo più da vicino.

La nostra ricerca non ha sortito quasi nessun risultato: il Trojan sembrava essere innocuo. Ma gli attacchi continuavano e i nostri analisti sono stati in grado di ottenere sempre più campioni da osservare.

Durante quel periodo di tempo, abbiamo imparato molto su Lurk. Ad esempio, sappiamo che aveva una struttura modulare: quando il Trojan notava di aver infettato un computer su cui vi era installato un software di remote banking, scaricava il payload dannoso, responsabile del furto di denaro. Ecco perché inizialmente il nostro sistema di assegnazione dei nomi non aveva classificato Lurk come un Trojan bancario (mancava il payload).

Abbiamo anche scoperto che Lurk evitava di lasciare tracce sull’hard disk, lavorando esclusivamente nella RAM dei computer che aveva infettato. Questo ha fatto in modo che fosse difficile da scovare. I creatori di Lurk utilizzavano anche crittografia e offuscamento. I loro server command-and-control erano ospitati da domini che erano registrati con dati falsi. E i software (sia Lurk che i payload dannosi) cambiavano costantemente, essendo stati personalizzati per una banca o per un’altra.

I creatori di Lurk sono stati attenti e sappiamo che dietro un malware così complesso deve esserci per forza un team di professionisti. Ma i professionisti sono persone, e le persone sbagliano. Questi errori ci hanno fornito le informazioni necessarie per scovare le persone che c’erano dietro al Trojan.

Si è scoperto che Lurk era stato creato e mantenuto da un gruppo di circa 15 persone; anche se al momento in cui è cessata l’attività, il numero era salito a 40. Avevano due progetti: il malware in sé e la botnet utilizzata per la sua diffusione. Ogni progetto aveva il suo team.

Un gruppo di programmatori ha sviluppato Lurk, e un gruppo di tester ha controllato il suo funzionamento nei diversi contesti. Per quanto riguarda la botnet, c’erano amministratori, operatori, un gestore del flusso di denaro e altra gente. I money mule prelevavano il denaro agli sportelli bancomat e un mule manager riscuoteva il denaro.

Lurk: Seek and destroy

Molte delle persone coinvolte erano lavoratori stipendiati. Per assumerli, le persone che stavano dietro Lurk hanno pubblicato offerte di lavoro sui siti web di reclutamento di personale, promettendo un lavoro in remoto a tempo pieno e uno stipendio allettante. Durante le interviste di lavoro, il reclutatore avrebbe chiesto ai candidati se avessero saldi principi morali. Le persone che non ne avevano, hanno ottenuto il lavoro.

Sviluppare Lurk e mantenere la botnet ha richiesto non solo molte persone, ma anche alcune infrastrutture costose, inclusi server, VPN e altri strumenti. Dopo qualche anno negli affari, il team di Lurk sembrava essere un’azienda IT di medie dimensioni. E come molte aziende, dopo un po’ di tempo aveva deciso di diversificare la propria attività.

I cybercriminali dietro Lurk erano anche responsabili di aver creato Angler, anche conosciuto come XXX (uno degli exploit kit più sofisticati). Inizialmente era stato progettato come uno strumento per consegnare Lurk alle vittime, ma i suoi creatori hanno deciso di vendere Angler anche a terzi. Il suo successo e la sua apparente invincibilità ha reso quasi leggendario il gruppo di Lurk tra i cybercriminali russi, e questo ha incrementato le vendite di Angler nel mercato nero.

Angler è diventato abbastanza famoso tra i cybercriminali. È stato utilizzato, ad esempio, per diffondere i ransomware CryptXXX e Teslacrypt.

Ma nel momento in cui hanno iniziato a vendere Angler, il gruppo aveva i giorni contati. La polizia russa, con l’aiuto di Kaspersky Lab, aveva raccolto abbastanza prove per arrestare i membri sospetti del gruppo. L’attività di Lurk si è fermata nel giugno del 2016, e poco tempo dopo anche Angler ha subito la stessa sorte. I cybercriminali credevano fino alla fine che non sarebbero mai stati acciuffati grazie a tutte le precauzioni che avevano preso.

Le loro precauzioni li hanno protetti per un po’ di tempo, ma anche i cybercriminali più furbi sono esseri umani. Prima o poi fanno qualche passo falso ed è quello il momento in cui un buon team di investigatori li trova. Generalmente si ha bisogno di tanto tempo e di tanti sforzi, ma è così che rendiamo giustizia al mondo informatico.

Consigli