ايتنا - دستگیری مجرمان سایبری که نرم‌افزار مخرب lurk را ایجاد کردند

شاید بزرگ‌ترین مشکلی که هنگام مواجه شدن با مجرمان سایبری وجود دارد، دستگیری آنها باشد.

در دنیای واقعی سارقان بانک با سلاح و صورت ماسک‌دار از خود اثر انگشت به جا نمی‌گذارند، صداهای آن‌ها توسط دوربین‌های امنیتی ضبط می‌شود، پلیس‌ها می‌توانند اتومبیل آن‌ها را با استفاده از دوربین‌های ترافیک ردیابی کند و راه‌های بهتر دیگر که تمام این موارد به محققان کمک می‌کند تا مظنون واقعی را شناسایی کنند. اما زمانی که مجرمان سایبری دست به سرقت بزنند چه اثر انگشتی از خود بجای می‌گذارند؟ حقیقت این است که آن‌ها هیچ سرنخی از سرقت خود به جا نمی‌گذارند.

با این حال گاهی اوقات پیش می‌آید که آن‌ها به دام می‌افتند. تروجان جاسوس بانکی را به خاطر می‌آورید؟ سازندگان این تروجان در سال ۲۰۱۱ گرفتار شدند. گروه Carberp که فعالیتش از سال ۲۰۱۰ تا سال ۲۰۱۲ بود را به خاطر دارید؟ این‌ها هم همین‌طور دستگیر شدند. در مورد اکسپلویت‌کیت ننگین Angler که راداری را در اواخر ماه ژوئن از کار انداخت، چطور؟ نرم‌افزار مخرب Lurk هم در همین زمان‌ها حملاتش متوقف شد و گروهش با کمک متخصصان روسی و لابراتوار کسپرسکی به دام انداخته شدند.

این داستان به سال ۲۰۱۱ بر میگردد، زمانی که ما برای اولین بار با Lurk روبرو شدیم. آنچه که ما مشاهده کردیم در واقع تروجانی بی‌نام و نشان بود که با استفاده از برنامه کنترل از راه در بانک به سرقت پول دست می‌زد که در سیستم طبقه‌بندی بدافزارهای ما بعنوان تروجانی شناخته شده بود که خیلی کارها انجام می‌داد، البته نه سرقت پول! به همین خاطر ما به بررسی دقیق‌تری پرداختیم.

تحقیقات تقریبا هیچ نتیجه‌ای را در بر نداشت و به نظر می‌رسید که تروجان کاری را انجام نمی‌دهد. اما حمله‌ها ادامه داشت و این موضوع تحلیگران ما را قادر می‌ساخت به نمونه‌های بیشتر برای بررسی‌های بیشتر دسترسی داشته باشند.
در طول این مدت، ما اطلاعات زیادی در مورد Lurk بدست آوردیم. به عنوان مثال، Lurk دارای ساختاری با قسمت‌های کوچک بود، هنگامی‌ تروجان شناسایی شد که یک کامپیوتر را از طریق برنامه کنترل از راه دور آلوده ساخت، آن توانست تروجانی مخرب را دانلود کند که در واقع مسئول سرقت پول بود. به همین دلیل هم بود که سیستم ما ابتدا Lurk را شناسایی نکرد زیرا که تروجان گم شده بود.

ما همچنین متوجه شدیم که Lurk از به جا گذاشتن هر گونه رد بر روی‌هارد دیسک به شدت پرهیز می‌کند، کار این تروجان تنها بر روی آلوده کردن رم کامپیوتر بود. به همین خاطر گرفتن آن خیلی سخت بود. سازندگان Lurk هم در اینجا از رمزگذاری استفاده می‌کردند و این کار باعث ابهام و نامعلومی‌می‌شد. سرور‌های فرمان و کنترل آن‌ها دارای‌هاستی با دامنه‌ای بود که داده‌های جعلی بر روی آن ثبت شده بود. و هم نرم‌افزار خود Lurk و هم تروجان‌های مخرب همواره در حال تغییر بودند که به طور خاصی برای یک بانک و یا چیزی شبیه همین طراحی شده بودند.

سازندگان Lurk خیلی محتاط بودند و ما همه می‌دانستیم که باید یک تیم حرفه‌ای پشت این بدافزار پیچیده وجود داشته باشد. اما متخصصان هم بالاخره جزئی از انسان‌ها هستند و همه ممکن است روزی اشتباه کنند. اشتباهات آن‌ها اطلاعات زیادی به ما داد که ما با استفاده از آن‌ها توانستیم متوجه شویم که چه کسانی پشت این تروجان هستند.
بالاخره دست Lurk رو شد، این تروجان توسط یک گروه ۱۵ نفره ایجاد و برقرار شده بود، هرچند که در ابتدا این گروه به ۴۰ نفر می‌رسید و با گذشت زمان از این تعداد کاهش یافت. آن‌ها دو پروژه داشتند، نرم‌افزار مخرب و بوت‌نتی برای گسترش آن که هر پروژه‌ای تیم مختص خودش را داشت.

یک گروه برنامه‌نویسان Lurk و گروهی برای تست کردن این‌ که چگونه در محیط‌های مختلف انجام می‌شود، وجود داشتند. در آن سوی بوت‌نت ادمین ، اپراتور، یک مدیر مالی و افراد دیگری وجود داشتند. money mule یا قاچاقچیان پول، پول نقد را از عابر بانک‌ها می‌گرفتند و مدیر قاچاقچیان پول، پول‌ها را جمع‌آوری می‌کرد.

بسیاری از افراد برای گرفتن حقوق و دستمزد خود اغلب دچار مشکل می‌شوند. اما برای استخدامی‌پروژه Lurk افرادی که باید پشت این ماجرا کار می‌کردند وعده دورکاری با حقوق و مزایای بالا داده شده بود. در طول مصاحبه شغلی، شخصی که با متقاضیان مصاحبه می‌کرد از آن‌ها می‌پرسید که آیا می‌توانند وفادار بمانند و به موضوعات اخلاقی پایبندند؟ زیراکه آن‌ها تا به حال چنین شغلی نداشته بودند.

توسعه‌دهندگان و حامیان Lurk نه تنها بوت‌نت را برای بسیاری از افراد ضروری می‌دانستند بلکه برخی از زیر ساخت‌های هزینه وار مثل سرور‌ها، وی‌پی‌ان‌ها و دیگر ابزار‌ها هم لازم دانستند. پس از چندین سال کسب و کار، تیم Lurk شبیه یک شرکت آی.تی معمولی به نظر می‌رسید. و مثل خیلی کمپانی‌های دیگر، پس از مدتی آن‌ها تصمیم گرفتند که به کسب‌و‌کار خود تنوع بخشند.

مجرمان سایبری پشت Lurk هم همچنین مسئول ایجاد کردن Angler، aka XXX (یکی از پیچیده‌ترین اکسپلویت‌کیت‌ها تا به امروز) شدند. در ابتدا Lurk همانند ابزاری برای رسیدن به قربانیان طراحی شده بود اما پس از آن سازندگان تصمیم گرفتند Angler را به سوم شخص‌ها بفروشند. موفقیت و شکست‌ناپذیری کسانی که در پشت Lurk بودند تقریبا به افسانه‌ای در میان مجرمان سایبری تبدیل شده بود و فروش Angler در بین بازارهای زیرزمینی به حد مطلوبی رسیده بود.

Angler در میان مجرمان سایبری محبوبیت زیادی پیدا کرده بود، به عنوان مثال از آن برای توزیع باج‌افزارهای CryptXXX و Teslacrypt استفاده می‌شد.
اما در زمانی که آنها شروع به فروش Angler کرده بودند، پلیس روسیه با کمک لابراتوار کسپرسکی، شواهد کافی برای دستگیری اعضای گروه مظنون جمع‌آوری کرده بودند. در ژوئن ۲۰۱۶ ، فعالیت Lurk متوقف شد و پس از آن به دنبال Angler. مجرمان سایبری فک می‌کردند که پایان راهی وجود ندارد و هیچوقت گرفتار پلیس‌ها نمی‌شوند زیرا که آن‌ها تمام موارد امنیتی را رعایت می‌کردند.

اقدامات احتیاطی آن‌ها را برای مدتی محافظت کرد و حتی مجرمان سایبری باهوش هم انسان‌اند و دیر یا زود بالاخره یک خطا از آن‌ها سر می‌زند و محققان امنیتی بالاخره آن‌ها را می‌یابند. درست است که شناسایی و دستگیری آنها زمان زیادی می‌برد و تلاش بسیار می‌خواهد، اما این‌گونه عدالت در جهان سایبری برقرار می‌شود.

منبع: کسپرسکی‌آنلاین