Lurk: Suchen und vernichten

Wie Kaspersky Lab der russischen Polizei half, die Cyberkriminellen hinter dem Banking-Trojaner Lurk und dem Exploit-Kit Angler zu fassen.

Vielleicht ist das größte Problem mit Cyberkriminellen, dass sie so schwer zu fangen sind. Stellen Sie sich einen realen Banküberfall mit Waffen und Masken vor – die Diebe hinterlassen Fingerabdrücke, ihre Stimmen werden von Überwachungskameras aufgezeichnet; die Polizei kann ihre Fahrzeuge mithilfe von Verkehrskameras aufspüren, usw. All das hilft bei den Ermittlungen zum Fassen des Verdächtigen. Aber wenn Cyberkriminelle einen Überfall begehen, hinterlassen sie… quasi nichts. Keine Hinweise.

Lurk: Seek and destroy

Doch manchmal werden sie gefasst. Erinnern Sie sich an den Banking-Trojaner SpyEye? Seine Entwickler wurden 2011 gefasst. Erinnern Sie sich an die Carberp-Gruppe, die von 2010 bis 2012 aktiv war? Auch gefasst. Und was ist mit dem berüchtigten Angler-Exploit-Kit, das Ende Juni plötzlich vom Radar verschwand? Lurk-Malware stoppte seine Angriffe zur gleichen Zeit – da die Gruppe, die dahintersteckte, festgenommen wurde – mithilfe russischer Behörden und Kaspersky Lab.

Die Story begann 2011, als wir das erste Mal Lurk entdeckten. Was unsere Aufmerksamkeit erregte, war die Tatsache, dass ein namenloser Trojaner, der Remote-Banking-Software zum Stehlen von Geld verwendete, von unserem internen Malware-Bennenungssystem als Trojaner klassifiziert wurde, der viel konnte – aber kein Geld stehlen. Also schauten wir ihn uns genauer an.

Die Ermittlungen führten kaum zu Ergebnissen – der Trojaner schien nichts zu machen. Aber die Angriffe gingen weiter und unsere Analytiker erhielten immer mehr Beispiele, die sie analysieren konnten.

Zu dieser Zeit lernten wir viel über Lurk. Z. B. hatte er eine modulare Struktur: Wenn der Trojaner feststellte, dass er einen Computer mit Remote-Banking-Software infiziert hatte, würde er die Schadsoftware herunterladen, mit der das Geld gestohlen wurde. Darum bezeichnete unser Bennenungssystem Lurk nicht sofort als Banking-Trojaner – es fehlte die Nutzlast.

Wir fanden auch heraus, dass Lurk es vermied, Fußspuren auf der Festplatte zu hinterlassen, indem er nur auf der RAM des infizierten Computers ausgeführt wurde. Dadurch war es schwieriger, ihn zu fangen. Die Entwickler von Lurk benutzten auch hier und da Verschlüsselung als Tarnung. Ihre Command-and-Control-Server waren in Domains gehostet, die mit falschen Registrierungsdaten angemeldet waren. Und die Software – der Körper von Lurk und Schadsoftware – änderten sich stets und wurden speziell an jede Bank angepasst.
Die Entwickler von Lurk waren vorsichtig, und wir wussten, dass ein professionelles Team hinter der komplexen Malware stecken musste. Aber auch Profis sind nur Menschen, und Menschen begehen Fehler. Durch diese Fehler erhielten wir Informationen, mit denen wir die Menschen hinter dem Trojaner finden konnten.

Es stellte sich heraus, dass Lurk von einer Gruppe aus 15 Personen erstellt und gewartet wurde, die bis auf 40 wuchs. Sie hatten zwei Projekte: die Malware an sich und das Botnet für ihre Verteilung. Jedes Projekt hatte sein eigenes Team.

Eine Gruppe von Programmierern entwickelte Lurk, und eine Gruppe von Testern überprüfte, wie er sich in verschiedenen Umgebungen verhielt. Auf Seite des Botnets gab es Verwalter, Anwender, einen Geldflussmanager, und andere Personen. Geldkuriere empfingen das Geld an Geldautomaten und ein Geldkurier-Manager sammelte das Geld von den Kurieren ein.

Die meisten beteiligten Personen waren im Wesentlichen Lohnarbeiter. Um sie einzustellen, veröffentlichten die Entwickler von Lurk Stellenangebote auf Seiten, mit dem Angebot einer Remote-Stelle in Vollzeit und einem attraktiven Gehalt. Im Bewerbungsgespräch würde der Personalvermittler die Kandidaten fragen, ob sie starke moralische Prinzipien hätten. Die, bei denen das nicht der Fall war, bekamen den Job.

Die Entwicklung von Lurk und die Wartung vom Botnet benötigte nicht nur Personen, sondern auch eine kostspielige Infrastruktur, einschließlich Server, VPNs und andere Tools. Nach ein paar Jahren im Geschäft, wirkte das Lurk-Team wie ein Mittelstands-IT-Unternehmen. Und wie viele Unternehmen, entschieden sie sich nach einiger Zeit dazu, die Geschäftstätigkeiten zu diversifizieren.

Die Cyberkriminellen hinter Lurk waren auch für die Entwicklung von Angler, bzw. XXX verantwortlich, eins der bis heute komplexesten Exploit-Kits. Zunächst war es als Tool designt, um Lurk an seine Opfer zu übermitteln, aber seine Entwickler entschieden sich dazu, es auch an Dritte zu verkaufen. Sein Erfolg und seine scheinbare Unbesiegbarkeit hob die Gruppe hinter Lurk auf einen beinahe legendären Status unter russischen Cyberkriminellen und das hingegen sorgte für hohe Verkaufszahlen von Angler auf den Schwarzmärkten.

Angler wurde unter Cyberkriminellen recht berühmt. Es wurde z. B. zum Verteilen von CryptXXX– und Teslacrypt-Ransomware verwendet.

Aber als der Verkauf von Angler begann, waren die Tage der Gruppe bereits gezählt. Die russische Polizei hatte mithilfe von Kaspersky Lab genug Beweismittel gesammelt, um die verdächtigen Gruppenmitglieder zu verhaften. Im Juni 2016 stoppte die Aktivität von Lurk und kurz danach auch die von Angler. Die Cyberkriminellen dachten bis zum Ende, dass sie aufgrund der getroffenen Vorkehrungen niemals gefasst werden würden.

Ihre Vorkehrungen schützen sie für eine Weile, aber selbst clevere Cyberkriminelle sind noch immer Menschen. Früher oder später straucheln sie und begehen Fehler, und dann wird ein gutes Team von Ermittlern sie finden. Es brauch für gewöhnlich lange und viel Mühe, aber so bringen wir Gerechtigkeit in die Cyberwelt.

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.