{"id":26465,"date":"2022-02-15T15:24:11","date_gmt":"2022-02-15T13:24:11","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=26465"},"modified":"2022-02-15T15:24:11","modified_gmt":"2022-02-15T13:24:11","slug":"lurk-cybercrime-inc","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/lurk-cybercrime-inc\/26465\/","title":{"rendered":"Lurk: un esemplare di Cybercrime Inc."},"content":{"rendered":"<p>Il processo ai creatori del <a href=\"https:\/\/www.kaspersky.it\/blog\/bye-bye-lurk\/8869\/\" target=\"_blank\" rel=\"noopener\">trojan bancario Lurk<\/a> \u00e8 finalmente finito. Sono stati fermati come risultato di un\u2019operazione congiunta senza precedenti tra una moltitudine di autorit\u00e0 e l\u2019aiuto dei nostri esperti. I criminali sono stati arrestati nel 2016, ma l\u2019indagine e il processo si sono trascinati per altri cinque anni. Questo non \u00e8 sorprendente, dato che il numero di sospetti e di vittime coinvolte era senza precedenti. I membri di Lurk trasportati in tribunale erano tantissimi e i fascicoli del caso arrivavano a 4000 volumi (un volume = 250 pagine). La quantit\u00e0 di lavoro era colossale e richiedeva molto tempo, i sospetti hanno analizzato ogni record e dichiarazione con gran cautela, ma nel 2018, 27 imputati hanno affrontato il processo.<\/p>\n<p>Kaspersky ha monitorato le attivit\u00e0 del gruppo dal 2011. Ho sentito parlare per la prima volta di Lurk quando sono entrato in azienda nel 2013. Ricordo di aver pensato tra me e me: \u201cPrendili e potrai andare in pensione facilmente. Considera la tua carriera completa\u201d. Rispetto ai soliti criminali informatici dell\u2019epoca, sembravano davvero sofisticati, sia tecnicamente che organizzativamente. Detto questo, se incontrassi Lurk oggi, probabilmente sarei meno impressionato e li vedrei solo come un gruppo che ha seguito le migliori pratiche.<\/p>\n<p>Il verdetto dei tribunali \u00e8 una buona scusa per gettare un occhio su ci\u00f2 che era cos\u00ec speciale nella loro attivit\u00e0 cybercriminale, in passato.<\/p>\n<h2>Schema di infezione<\/h2>\n<p>Dovremmo iniziare con il vettore di infezione. Gli hacker hanno usato la tattica <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/watering-hole\/\" target=\"_blank\" rel=\"noopener\">watering-hole<\/a>, pubblicando un reindirizzamento a un kit di exploit su diversi siti web di media aziendali. Il metodo in s\u00e9 non era nuovo, ma in questo caso, per essere infettata, la vittima (sempre un contabile) doveva visitare il sito durante la sua pausa pranzo (e solo a quell\u2019ora). Il kit di exploit ha scaricato un Trojan senza corpo sul loro computer, che \u00e8 stato utilizzato esclusivamente per spiare.<\/p>\n<p>I criminali informatici hanno prima studiato quali programmi erano in esecuzione sul dispositivo, se c\u2019erano software bancari o tracce di software di indagine, e in quali subnet stava lavorando (l\u2019attenzione principale era sulle reti bancarie e governative). In altre parole, hanno valutato l'\u201dinteresse\u201d del computer, e sapevano esattamente chi volevano infettare.<\/p>\n<p>Il malware principale veniva scaricato solo se il computer era effettivamente interessante. Altrimenti, rubavano tutte le password su cui potevano mettere le mani, per sicurezza, e rimuovevano il malware dal dispositivo della vittima.<\/p>\n<h2>Comunicazione con C&amp;C<\/h2>\n<p>Non meno notevole era il processo di scambio di informazioni tra il Trojan e il server di <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/command-and-control-server-cc\/\" target=\"_blank\" rel=\"noopener\">comando e controllo (C&amp;C).<\/a> La maggior parte dei Trojan dell\u2019epoca conteneva l\u2019indirizzo C&amp;C hardcoded. Gli autori specificavano semplicemente il nome del dominio, lasciandosi la possibilit\u00e0, se necessario, di cambiare l\u2019indirizzo IP del server: cio\u00e8, se perdevano il controllo sull\u2019indirizzo C&amp;C principale, potevano semplicemente sostituirlo con uno di riserva. Tutto sommato, era un meccanismo di sicurezza piuttosto primitivo. Lurk era molto diverso in questo senso: il gruppo impiegava un metodo degno di un romanzo di spionaggio.<\/p>\n<p>Prima di una sessione di comunicazione, Lurk calcolava l\u2019indirizzo del server C&amp;C. I criminali informatici andavano su Yahoo e guardavano il prezzo delle azioni di una particolare azienda (durante la nostra ricerca era McDonald\u2019s). A seconda del valore delle azioni in un determinato momento, hanno generato un nome di dominio e vi hanno acceduto. Cio\u00e8, per controllare il Trojan, i criminali informatici guardavano il prezzo delle azioni in quel momento e registravano un nome di dominio basato su queste cifre. In altre parole, era impossibile sapere in anticipo quale nome di dominio sarebbe stato utilizzato per il server C&amp;C.<\/p>\n<p>Questo solleva una domanda legittima: se l\u2019algoritmo era incorporato nel Trojan, cosa impediva a un ricercatore di generare una tale sequenza, registrando un nome di dominio prima dei criminali informatici, e semplicemente aspettando che il Trojan si collegasse ad esso? Ahinoi, i creatori di Lurk avevano preso precauzioni. Hanno usato la <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/asymmetric-encryption\/\" target=\"_blank\" rel=\"noopener\">cifratura asimmetrica<\/a>. Cio\u00e8, \u00e8 stata generata una coppia di chiavi, dopodich\u00e9 il bot, accedendo al server C&amp;C, avrebbe usato la chiave pubblica per controllare se apparteneva davvero ai suoi proprietari (verificando la firma digitale). Questo \u00e8 impossibile da falsificare senza conoscere la chiave segreta. Quindi, solo il proprietario della chiave segreta pu\u00f2 ricevere richieste dai bot ed emettere comandi, nessun ricercatore esterno pu\u00f2 imitare il server C&amp;C. Altri criminali informatici non usavano questo metodo di protezione all\u2019epoca, quindi se avessimo individuato una protezione della chiave privata sul server, potevamo essere sicuri che si trattava di un attacco Lurk.<\/p>\n<h2>Infrastruttura organizzata<\/h2>\n<p>L\u2019organizzazione dei processi di Lurk merita una menzione a parte. Se gli altri gruppi di criminali informatici di allora erano solo un gruppo casuale di utenti di forum (uno faceva la programmazione, un altro l\u2019incasso, un terzo era il coordinatore), al contrario, Lurk era quasi una vera e propria azienda informatica. \u00c8 pi\u00f9 accurato paragonarli ad una grande societ\u00e0 di software che ad un gruppo di criminali informatici. Inoltre, in termini di livello organizzativo, rimangono un modello per molti gruppi fino ad oggi.<\/p>\n<p>Lurk era gestito da veri professionisti (molto probabilmente con una forte esperienza di sviluppo) che hanno costruito un\u2019infrastruttura altamente organizzata con manager e personale delle risorse umane. A differenza della maggior parte delle bande, pagavano ai loro dipendenti uno stipendio (piuttosto che una percentuale dei proventi). Tenevano persino dei briefing settimanali, cosa che a quei tempi era del tutto inaudita. In breve, era una corporazione dannosa \u201cesemplare\u201d.<\/p>\n<p>Avevano persino un sistema chiaramente strutturato basato sui ruoli per limitare l\u2019accesso alle informazioni. Dopo il loro arresto, alcuni membri del gruppo hanno potuto leggere la corrispondenza dei loro capi e solo allora hanno capito che non erano stati trattati in modo equo.<\/p>\n<p>Hanno documentato meticolosamente tutte le loro attivit\u00e0, molto pi\u00f9 di molte aziende IT di oggi. Questo, naturalmente, ha aiutato molto l\u2019indagine. E forse ha portato, alla fine, alla loro rovina: pi\u00f9 sistematico \u00e8 l\u2019approccio, pi\u00f9 facile da rintracciare. Ecco alcuni esempi.<\/p>\n<h3>Basi di conoscenza<\/h3>\n<p>Il gruppo Lurk manteneva una base di conoscenza dettagliata, chiaramente divisa in progetti. Ogni progetto era accessibile solo ad una certa cerchia di persone, cio\u00e8 i partecipanti ad un progetto non sapevano delle attivit\u00e0 di un altro. I progetti variavano molto in portata, da altamente tecnici a organizzativi. E anche i progetti tecnici erano suddivisi in livelli. Per esempio, gli sviluppatori di Trojan avevano accesso alla base di conoscenza solo su argomenti correlati: come aggirare gli antivirus, come testare, e cos\u00ec via.<\/p>\n<p>Ma c\u2019erano anche database generali sulla sicurezza operativa (simili alle reali norme di sicurezza nelle grandi aziende). Questi fornivano informazioni su come i dipendenti di Lurk dovevano impostare le loro workstation per evitare di essere scoperti e come usare i tool di anonimizzazione.<\/p>\n<h3>Accesso alle informazioni<\/h3>\n<p>Per ottenere l\u2019accesso alla risorsa di informazioni di Lurk, i criminali informatici hanno dovuto connettersi a qualche server attraverso diverse VPN. Anche allora hanno ricevuto solo l\u2019accesso alla gestione dei bot. Poi, ogni dipendente ha ottenuto il proprio certificato e il proprio account con diversi diritti. In altre parole, era come una normale rete aziendale impostata per il lavoro a distanza. Nel complesso, se non fosse stato per la loro mancanza di 2FA, sarebbero potuti essere un\u2019azienda modello.<\/p>\n<p>Fisicamente, tutti i server erano situati in diversi data center e in diversi paesi. Quando si raggiunge uno di essi a livello virtuale attraverso una VPN, non si conosce il vero indirizzo IP del server. Era in gran parte ci\u00f2 che rendeva il gruppo cos\u00ec difficile da scoprire.<\/p>\n<h3>Sviluppo<\/h3>\n<p>Il gruppo Lurk aveva repository adeguati del codice sorgente, procedure automatizzate di compilazione e test a pi\u00f9 fasi, un server di produzione, un server di test e un server di sviluppo. Stavano essenzialmente realizzando un prodotto software serio: in qualsiasi momento avevano una versione di produzione, di test e per sviluppatori del Trojan.<\/p>\n<p>Il server C&amp;C medio di un tipico Trojan di allora poteva ricevere richieste dai bot, registrarle in un database e fornire un pannello di amministrazione per gestirle. Tutto questo era effettivamente implementato in una singola pagina. Lurk implementava il pannello di amministrazione e il database separatamente, mentre il meccanismo di invio delle risposte per i bot era completamente oscurato da un servizio intermedio.<\/p>\n<h3>Kit di exploit<\/h3>\n<p>Lurk aveva tre kit di exploit, ognuno dei quali aveva tre nomi diversi: uno interno, fatto dai suoi sviluppatori, uno per i clienti e partner, e uno assegnato dai ricercatori. Il fatto \u00e8 che non solo gli autori di Lurk hanno usato i loro sviluppi, ma hanno anche venduto exploit kit sul lato, ad altri criminali informatici. Inoltre, le versioni per i \u201cpartner\u201d avevano un codice diverso, chiaramente un tentativo di mascherarli come un altro exploit kit molto popolare.<\/p>\n<h2>La caduta di Lurk<\/h2>\n<p>Alla fine, tutti i trucchi dei criminali informatici sono stati di scarso aiuto. La maggior parte dei membri del gruppo \u00e8 stata arrestata, ma solo dopo che il danno era fatto. Durante la loro lunga carriera, i criminali informatici sono riusciti a rubare circa 45 milioni di dollari. I nostri esperti hanno studiato i loro metodi per quasi sei anni (il che, per inciso, ha fornito una preziosa esperienza che continuiamo a impiegare per sconfiggere il crimine informatico).<\/p>\n<p>Per coloro che sono interessati ai risultati rilevanti per il business di questa saga, consigliamo questo post e un\u2019analisi tecnica dettagliata disponibile nel nostro <a href=\"https:\/\/securelist.com\/the-hunt-for-lurk\/75944\/\" target=\"_blank\" rel=\"noopener\">post su Securelist<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ci\u00f2 che i ricercatori ricordano maggiormente del gruppo Lurk. <\/p>\n","protected":false},"author":2701,"featured_media":26466,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955,2956],"tags":[2125,3623,1860,938],"class_list":{"0":"post-26465","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-giustizia","11":"tag-indagine","12":"tag-minacce-bancarie","13":"tag-trojan-bancario"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/lurk-cybercrime-inc\/26465\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/lurk-cybercrime-inc\/23908\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/lurk-cybercrime-inc\/19394\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/lurk-cybercrime-inc\/9752\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/lurk-cybercrime-inc\/26146\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/lurk-cybercrime-inc\/24107\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/lurk-cybercrime-inc\/23917\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/lurk-cybercrime-inc\/26921\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/lurk-cybercrime-inc\/32377\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/lurk-cybercrime-inc\/10523\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/lurk-cybercrime-inc\/43683\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/lurk-cybercrime-inc\/18559\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/lurk-cybercrime-inc\/19008\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/lurk-cybercrime-inc\/15804\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/lurk-cybercrime-inc\/28161\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/lurk-cybercrime-inc\/32446\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/lurk-cybercrime-inc\/28118\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/lurk-cybercrime-inc\/24829\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/lurk-cybercrime-inc\/30251\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/lurk-cybercrime-inc\/30030\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/minacce-bancarie\/","name":"minacce bancarie"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/26465","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2701"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=26465"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/26465\/revisions"}],"predecessor-version":[{"id":26468,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/26465\/revisions\/26468"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/26466"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=26465"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=26465"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=26465"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}