Angler

Lurk: Suchen und vernichten

Wie Kaspersky Lab der russischen Polizei half, die Cyberkriminellen hinter dem Banking-Trojaner Lurk und dem Exploit-Kit Angler zu fassen.

John Snow
30 Aug 2016

Vielleicht ist das größte Problem mit Cyberkriminellen, dass sie so schwer zu fangen sind. Stellen Sie sich einen realen Banküberfall mit Waffen und Masken vor – die Diebe hinterlassen Fingerabdrücke, ihre Stimmen werden von Überwachungskameras aufgezeichnet; die Polizei kann ihre Fahrzeuge mithilfe von Verkehrskameras aufspüren, usw. All das hilft bei den Ermittlungen zum Fassen des Verdächtigen. Aber wenn Cyberkriminelle einen Überfall begehen, hinterlassen sie… quasi nichts. Keine Hinweise.

Doch manchmal werden sie gefasst. Erinnern Sie sich an den Banking-Trojaner SpyEye? Seine Entwickler wurden 2011 gefasst. Erinnern Sie sich an die Carberp-Gruppe, die von 2010 bis 2012 aktiv war? Auch gefasst. Und was ist mit dem berüchtigten Angler-Exploit-Kit, das Ende Juni plötzlich vom Radar verschwand? Lurk-Malware stoppte seine Angriffe zur gleichen Zeit – da die Gruppe, die dahintersteckte, festgenommen wurde – mithilfe russischer Behörden und Kaspersky Lab.

Die Story begann 2011, als wir das erste Mal Lurk entdeckten. Was unsere Aufmerksamkeit erregte, war die Tatsache, dass ein namenloser Trojaner, der Remote-Banking-Software zum Stehlen von Geld verwendete, von unserem internen Malware-Bennenungssystem als Trojaner klassifiziert wurde, der viel konnte – aber kein Geld stehlen. Also schauten wir ihn uns genauer an.

Die Ermittlungen führten kaum zu Ergebnissen – der Trojaner schien nichts zu machen. Aber die Angriffe gingen weiter und unsere Analytiker erhielten immer mehr Beispiele, die sie analysieren konnten.

Zu dieser Zeit lernten wir viel über Lurk. Z. B. hatte er eine modulare Struktur: Wenn der Trojaner feststellte, dass er einen Computer mit Remote-Banking-Software infiziert hatte, würde er die Schadsoftware herunterladen, mit der das Geld gestohlen wurde. Darum bezeichnete unser Bennenungssystem Lurk nicht sofort als Banking-Trojaner – es fehlte die Nutzlast.

A technical look at #Lurk #banking #Trojan https://t.co/rNsJ0YHimW pic.twitter.com/vT7YLXZOae

— Kaspersky Lab (@kaspersky) June 10, 2016

Wir fanden auch heraus, dass Lurk es vermied, Fußspuren auf der Festplatte zu hinterlassen, indem er nur auf der RAM des infizierten Computers ausgeführt wurde. Dadurch war es schwieriger, ihn zu fangen. Die Entwickler von Lurk benutzten auch hier und da Verschlüsselung als Tarnung. Ihre Command-and-Control-Server waren in Domains gehostet, die mit falschen Registrierungsdaten angemeldet waren. Und die Software – der Körper von Lurk und Schadsoftware – änderten sich stets und wurden speziell an jede Bank angepasst.

Die Festnahme der Cyberkriminellen, die #Lurk entwickelten
Tweet

Die Entwickler von Lurk waren vorsichtig, und wir wussten, dass ein professionelles Team hinter der komplexen Malware stecken musste. Aber auch Profis sind nur Menschen, und Menschen begehen Fehler. Durch diese Fehler erhielten wir Informationen, mit denen wir die Menschen hinter dem Trojaner finden konnten.

Es stellte sich heraus, dass Lurk von einer Gruppe aus 15 Personen erstellt und gewartet wurde, die bis auf 40 wuchs. Sie hatten zwei Projekte: die Malware an sich und das Botnet für ihre Verteilung. Jedes Projekt hatte sein eigenes Team.

Eine Gruppe von Programmierern entwickelte Lurk, und eine Gruppe von Testern überprüfte, wie er sich in verschiedenen Umgebungen verhielt. Auf Seite des Botnets gab es Verwalter, Anwender, einen Geldflussmanager, und andere Personen. Geldkuriere empfingen das Geld an Geldautomaten und ein Geldkurier-Manager sammelte das Geld von den Kurieren ein.

https://media.kasperskydaily.com/wp-content/uploads/sites/96/2016/08/30172051/lurk-structure.png

Die meisten beteiligten Personen waren im Wesentlichen Lohnarbeiter. Um sie einzustellen, veröffentlichten die Entwickler von Lurk Stellenangebote auf Seiten, mit dem Angebot einer Remote-Stelle in Vollzeit und einem attraktiven Gehalt. Im Bewerbungsgespräch würde der Personalvermittler die Kandidaten fragen, ob sie starke moralische Prinzipien hätten. Die, bei denen das nicht der Fall war, bekamen den Job.

Die Entwicklung von Lurk und die Wartung vom Botnet benötigte nicht nur Personen, sondern auch eine kostspielige Infrastruktur, einschließlich Server, VPNs und andere Tools. Nach ein paar Jahren im Geschäft, wirkte das Lurk-Team wie ein Mittelstands-IT-Unternehmen. Und wie viele Unternehmen, entschieden sie sich nach einiger Zeit dazu, die Geschäftstätigkeiten zu diversifizieren.

Die Cyberkriminellen hinter Lurk waren auch für die Entwicklung von Angler, bzw. XXX verantwortlich, eins der bis heute komplexesten Exploit-Kits. Zunächst war es als Tool designt, um Lurk an seine Opfer zu übermitteln, aber seine Entwickler entschieden sich dazu, es auch an Dritte zu verkaufen. Sein Erfolg und seine scheinbare Unbesiegbarkeit hob die Gruppe hinter Lurk auf einen beinahe legendären Status unter russischen Cyberkriminellen und das hingegen sorgte für hohe Verkaufszahlen von Angler auf den Schwarzmärkten.

Angler wurde unter Cyberkriminellen recht berühmt. Es wurde z. B. zum Verteilen von CryptXXX– und Teslacrypt-Ransomware verwendet.

#Nuclear, #Angler exploit kit activity has disappeared via @threatpost https://t.co/XHxKsObx03 pic.twitter.com/GPjzpJDVvS

— Kaspersky Lab (@kaspersky) June 23, 2016

Aber als der Verkauf von Angler begann, waren die Tage der Gruppe bereits gezählt. Die russische Polizei hatte mithilfe von Kaspersky Lab genug Beweismittel gesammelt, um die verdächtigen Gruppenmitglieder zu verhaften. Im Juni 2016 stoppte die Aktivität von Lurk und kurz danach auch die von Angler. Die Cyberkriminellen dachten bis zum Ende, dass sie aufgrund der getroffenen Vorkehrungen niemals gefasst werden würden.

Ihre Vorkehrungen schützen sie für eine Weile, aber selbst clevere Cyberkriminelle sind noch immer Menschen. Früher oder später straucheln sie und begehen Fehler, und dann wird ein gutes Team von Ermittlern sie finden. Es brauch für gewöhnlich lange und viel Mühe, aber so bringen wir Gerechtigkeit in die Cyberwelt.

Wie Sie die Datenteilung zwischen WhatsApp und Facebook stoppen

Facebook wird Ihre WhatsApp-Daten benutzen, um seine Werbung zu verbessern, aber jetzt können Sie aus dem Deal aussteigen.

Tipps

Gleich kommt das (verifizierte) Vögelchen – Fake oder Wirklichkeit?

So unterscheidest du echte Fotos und Videos von Fakes und stellst ihre Herkunft fest

Zu Kaspersky wechseln: Schritt-für-Schritt-Anleitung für die Migration

So stellst du den Cyberschutz deines Computers oder Smartphones auf die am häufigsten ausgezeichnete Kaspersky-Sicherheitslösung um.

Boss oder Betrüger? Betrug, getarnt als Auftrag deines Chefs

Du hast eine Nachricht von deinem Chef oder einem Kollegen erhalten, in der du auf unerwartete Weise aufgefordert wirst, ein Problem zu beheben? Achtung vor Betrügern! Wie schützt du dich und dein Unternehmen vor einem möglichen Angriff?

Mehr Sicherheit für Privatanwender

Sicherheitsunternehmen bieten intelligente Technologien – in erster Linie Kameras – an, um dein Zuhause vor Einbruch, Feuer und anderen Zwischenfällen zu schützen. Aber wie wäre es, diese Sicherheitssysteme selbst vor Eindringlingen zu schützen? Das ist eine Lücke, die wir füllen.

KOSTENLOSE TOOLS

TARGETED SECURITY-LÖSUNGEN

ENTERPRISE SOLUTIONS

Lurk: Suchen und vernichten

Echtzeit-Hacking bei Apex Legends: Skandal in einem E-Sports-Turnier

Boss oder Betrüger? Betrug, getarnt als Auftrag deines Chefs

Wie Sie die Datenteilung zwischen WhatsApp und Facebook stoppen

Tipps

Gleich kommt das (verifizierte) Vögelchen – Fake oder Wirklichkeit?

Zu Kaspersky wechseln: Schritt-für-Schritt-Anleitung für die Migration

Boss oder Betrüger? Betrug, getarnt als Auftrag deines Chefs

Mehr Sicherheit für Privatanwender

Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen

LÖSUNGEN FÜR HEIMANWENDER

KLEINE UNTERNEHMEN

MITTLERE UNTERNEHMEN

GROSSE UNTERNEHMEN

Securelist

Eugene Personal Blog

Enzyklopädie