دستگیری مجرمان سایبری که نرمافزار مخرب lurk را ایجاد کردند
ارسال شده: چهارشنبه سپتامبر 07, 2016 1:33 pm
[IMG]http://itna.ir/images/docs/000045/n00045251-b.jpg[/IMG]
http://itna.ir/fa/doc/news/45251/%D8%AF ... 9%86%D8%AF
شاید بزرگترین مشکلی که هنگام مواجه شدن با مجرمان سایبری وجود دارد، دستگیری آنها باشد.
در دنیای واقعی سارقان بانک با سلاح و صورت ماسکدار از خود اثر انگشت به جا نمیگذارند، صداهای آنها توسط دوربینهای امنیتی ضبط میشود، پلیسها میتوانند اتومبیل آنها را با استفاده از دوربینهای ترافیک ردیابی کند و راههای بهتر دیگر که تمام این موارد به محققان کمک میکند تا مظنون واقعی را شناسایی کنند. اما زمانی که مجرمان سایبری دست به سرقت بزنند چه اثر انگشتی از خود بجای میگذارند؟ حقیقت این است که آنها هیچ سرنخی از سرقت خود به جا نمیگذارند.
با این حال گاهی اوقات پیش میآید که آنها به دام میافتند. تروجان جاسوس بانکی را به خاطر میآورید؟ سازندگان این تروجان در سال ۲۰۱۱ گرفتار شدند. گروه Carberp که فعالیتش از سال ۲۰۱۰ تا سال ۲۰۱۲ بود را به خاطر دارید؟ اینها هم همینطور دستگیر شدند. در مورد اکسپلویتکیت ننگین Angler که راداری را در اواخر ماه ژوئن از کار انداخت، چطور؟ نرمافزار مخرب Lurk هم در همین زمانها حملاتش متوقف شد و گروهش با کمک متخصصان روسی و لابراتوار کسپرسکی به دام انداخته شدند.
این داستان به سال ۲۰۱۱ بر میگردد، زمانی که ما برای اولین بار با Lurk روبرو شدیم. آنچه که ما مشاهده کردیم در واقع تروجانی بینام و نشان بود که با استفاده از برنامه کنترل از راه در بانک به سرقت پول دست میزد که در سیستم طبقهبندی بدافزارهای ما بعنوان تروجانی شناخته شده بود که خیلی کارها انجام میداد، البته نه سرقت پول! به همین خاطر ما به بررسی دقیقتری پرداختیم.
تحقیقات تقریبا هیچ نتیجهای را در بر نداشت و به نظر میرسید که تروجان کاری را انجام نمیدهد. اما حملهها ادامه داشت و این موضوع تحلیگران ما را قادر میساخت به نمونههای بیشتر برای بررسیهای بیشتر دسترسی داشته باشند.
در طول این مدت، ما اطلاعات زیادی در مورد Lurk بدست آوردیم. به عنوان مثال، Lurk دارای ساختاری با قسمتهای کوچک بود، هنگامی تروجان شناسایی شد که یک کامپیوتر را از طریق برنامه کنترل از راه دور آلوده ساخت، آن توانست تروجانی مخرب را دانلود کند که در واقع مسئول سرقت پول بود. به همین دلیل هم بود که سیستم ما ابتدا Lurk را شناسایی نکرد زیرا که تروجان گم شده بود.
ما همچنین متوجه شدیم که Lurk از به جا گذاشتن هر گونه رد بر رویهارد دیسک به شدت پرهیز میکند، کار این تروجان تنها بر روی آلوده کردن رم کامپیوتر بود. به همین خاطر گرفتن آن خیلی سخت بود. سازندگان Lurk هم در اینجا از رمزگذاری استفاده میکردند و این کار باعث ابهام و نامعلومیمیشد. سرورهای فرمان و کنترل آنها دارایهاستی با دامنهای بود که دادههای جعلی بر روی آن ثبت شده بود. و هم نرمافزار خود Lurk و هم تروجانهای مخرب همواره در حال تغییر بودند که به طور خاصی برای یک بانک و یا چیزی شبیه همین طراحی شده بودند.
سازندگان Lurk خیلی محتاط بودند و ما همه میدانستیم که باید یک تیم حرفهای پشت این بدافزار پیچیده وجود داشته باشد. اما متخصصان هم بالاخره جزئی از انسانها هستند و همه ممکن است روزی اشتباه کنند. اشتباهات آنها اطلاعات زیادی به ما داد که ما با استفاده از آنها توانستیم متوجه شویم که چه کسانی پشت این تروجان هستند.
بالاخره دست Lurk رو شد، این تروجان توسط یک گروه ۱۵ نفره ایجاد و برقرار شده بود، هرچند که در ابتدا این گروه به ۴۰ نفر میرسید و با گذشت زمان از این تعداد کاهش یافت. آنها دو پروژه داشتند، نرمافزار مخرب و بوتنتی برای گسترش آن که هر پروژهای تیم مختص خودش را داشت.
یک گروه برنامهنویسان Lurk و گروهی برای تست کردن این که چگونه در محیطهای مختلف انجام میشود، وجود داشتند. در آن سوی بوتنت ادمین ، اپراتور، یک مدیر مالی و افراد دیگری وجود داشتند. money mule یا قاچاقچیان پول، پول نقد را از عابر بانکها میگرفتند و مدیر قاچاقچیان پول، پولها را جمعآوری میکرد.
بسیاری از افراد برای گرفتن حقوق و دستمزد خود اغلب دچار مشکل میشوند. اما برای استخدامیپروژه Lurk افرادی که باید پشت این ماجرا کار میکردند وعده دورکاری با حقوق و مزایای بالا داده شده بود. در طول مصاحبه شغلی، شخصی که با متقاضیان مصاحبه میکرد از آنها میپرسید که آیا میتوانند وفادار بمانند و به موضوعات اخلاقی پایبندند؟ زیراکه آنها تا به حال چنین شغلی نداشته بودند.
توسعهدهندگان و حامیان Lurk نه تنها بوتنت را برای بسیاری از افراد ضروری میدانستند بلکه برخی از زیر ساختهای هزینه وار مثل سرورها، ویپیانها و دیگر ابزارها هم لازم دانستند. پس از چندین سال کسب و کار، تیم Lurk شبیه یک شرکت آی.تی معمولی به نظر میرسید. و مثل خیلی کمپانیهای دیگر، پس از مدتی آنها تصمیم گرفتند که به کسبوکار خود تنوع بخشند.
مجرمان سایبری پشت Lurk هم همچنین مسئول ایجاد کردن Angler، aka XXX (یکی از پیچیدهترین اکسپلویتکیتها تا به امروز) شدند. در ابتدا Lurk همانند ابزاری برای رسیدن به قربانیان طراحی شده بود اما پس از آن سازندگان تصمیم گرفتند Angler را به سوم شخصها بفروشند. موفقیت و شکستناپذیری کسانی که در پشت Lurk بودند تقریبا به افسانهای در میان مجرمان سایبری تبدیل شده بود و فروش Angler در بین بازارهای زیرزمینی به حد مطلوبی رسیده بود.
Angler در میان مجرمان سایبری محبوبیت زیادی پیدا کرده بود، به عنوان مثال از آن برای توزیع باجافزارهای CryptXXX و Teslacrypt استفاده میشد.
اما در زمانی که آنها شروع به فروش Angler کرده بودند، پلیس روسیه با کمک لابراتوار کسپرسکی، شواهد کافی برای دستگیری اعضای گروه مظنون جمعآوری کرده بودند. در ژوئن ۲۰۱۶ ، فعالیت Lurk متوقف شد و پس از آن به دنبال Angler. مجرمان سایبری فک میکردند که پایان راهی وجود ندارد و هیچوقت گرفتار پلیسها نمیشوند زیرا که آنها تمام موارد امنیتی را رعایت میکردند.
اقدامات احتیاطی آنها را برای مدتی محافظت کرد و حتی مجرمان سایبری باهوش هم انساناند و دیر یا زود بالاخره یک خطا از آنها سر میزند و محققان امنیتی بالاخره آنها را مییابند. درست است که شناسایی و دستگیری آنها زمان زیادی میبرد و تلاش بسیار میخواهد، اما اینگونه عدالت در جهان سایبری برقرار میشود.
http://itna.ir/fa/doc/news/45251/%D8%AF ... 9%86%D8%AF
شاید بزرگترین مشکلی که هنگام مواجه شدن با مجرمان سایبری وجود دارد، دستگیری آنها باشد.
در دنیای واقعی سارقان بانک با سلاح و صورت ماسکدار از خود اثر انگشت به جا نمیگذارند، صداهای آنها توسط دوربینهای امنیتی ضبط میشود، پلیسها میتوانند اتومبیل آنها را با استفاده از دوربینهای ترافیک ردیابی کند و راههای بهتر دیگر که تمام این موارد به محققان کمک میکند تا مظنون واقعی را شناسایی کنند. اما زمانی که مجرمان سایبری دست به سرقت بزنند چه اثر انگشتی از خود بجای میگذارند؟ حقیقت این است که آنها هیچ سرنخی از سرقت خود به جا نمیگذارند.
با این حال گاهی اوقات پیش میآید که آنها به دام میافتند. تروجان جاسوس بانکی را به خاطر میآورید؟ سازندگان این تروجان در سال ۲۰۱۱ گرفتار شدند. گروه Carberp که فعالیتش از سال ۲۰۱۰ تا سال ۲۰۱۲ بود را به خاطر دارید؟ اینها هم همینطور دستگیر شدند. در مورد اکسپلویتکیت ننگین Angler که راداری را در اواخر ماه ژوئن از کار انداخت، چطور؟ نرمافزار مخرب Lurk هم در همین زمانها حملاتش متوقف شد و گروهش با کمک متخصصان روسی و لابراتوار کسپرسکی به دام انداخته شدند.
این داستان به سال ۲۰۱۱ بر میگردد، زمانی که ما برای اولین بار با Lurk روبرو شدیم. آنچه که ما مشاهده کردیم در واقع تروجانی بینام و نشان بود که با استفاده از برنامه کنترل از راه در بانک به سرقت پول دست میزد که در سیستم طبقهبندی بدافزارهای ما بعنوان تروجانی شناخته شده بود که خیلی کارها انجام میداد، البته نه سرقت پول! به همین خاطر ما به بررسی دقیقتری پرداختیم.
تحقیقات تقریبا هیچ نتیجهای را در بر نداشت و به نظر میرسید که تروجان کاری را انجام نمیدهد. اما حملهها ادامه داشت و این موضوع تحلیگران ما را قادر میساخت به نمونههای بیشتر برای بررسیهای بیشتر دسترسی داشته باشند.
در طول این مدت، ما اطلاعات زیادی در مورد Lurk بدست آوردیم. به عنوان مثال، Lurk دارای ساختاری با قسمتهای کوچک بود، هنگامی تروجان شناسایی شد که یک کامپیوتر را از طریق برنامه کنترل از راه دور آلوده ساخت، آن توانست تروجانی مخرب را دانلود کند که در واقع مسئول سرقت پول بود. به همین دلیل هم بود که سیستم ما ابتدا Lurk را شناسایی نکرد زیرا که تروجان گم شده بود.
ما همچنین متوجه شدیم که Lurk از به جا گذاشتن هر گونه رد بر رویهارد دیسک به شدت پرهیز میکند، کار این تروجان تنها بر روی آلوده کردن رم کامپیوتر بود. به همین خاطر گرفتن آن خیلی سخت بود. سازندگان Lurk هم در اینجا از رمزگذاری استفاده میکردند و این کار باعث ابهام و نامعلومیمیشد. سرورهای فرمان و کنترل آنها دارایهاستی با دامنهای بود که دادههای جعلی بر روی آن ثبت شده بود. و هم نرمافزار خود Lurk و هم تروجانهای مخرب همواره در حال تغییر بودند که به طور خاصی برای یک بانک و یا چیزی شبیه همین طراحی شده بودند.
سازندگان Lurk خیلی محتاط بودند و ما همه میدانستیم که باید یک تیم حرفهای پشت این بدافزار پیچیده وجود داشته باشد. اما متخصصان هم بالاخره جزئی از انسانها هستند و همه ممکن است روزی اشتباه کنند. اشتباهات آنها اطلاعات زیادی به ما داد که ما با استفاده از آنها توانستیم متوجه شویم که چه کسانی پشت این تروجان هستند.
بالاخره دست Lurk رو شد، این تروجان توسط یک گروه ۱۵ نفره ایجاد و برقرار شده بود، هرچند که در ابتدا این گروه به ۴۰ نفر میرسید و با گذشت زمان از این تعداد کاهش یافت. آنها دو پروژه داشتند، نرمافزار مخرب و بوتنتی برای گسترش آن که هر پروژهای تیم مختص خودش را داشت.
یک گروه برنامهنویسان Lurk و گروهی برای تست کردن این که چگونه در محیطهای مختلف انجام میشود، وجود داشتند. در آن سوی بوتنت ادمین ، اپراتور، یک مدیر مالی و افراد دیگری وجود داشتند. money mule یا قاچاقچیان پول، پول نقد را از عابر بانکها میگرفتند و مدیر قاچاقچیان پول، پولها را جمعآوری میکرد.
بسیاری از افراد برای گرفتن حقوق و دستمزد خود اغلب دچار مشکل میشوند. اما برای استخدامیپروژه Lurk افرادی که باید پشت این ماجرا کار میکردند وعده دورکاری با حقوق و مزایای بالا داده شده بود. در طول مصاحبه شغلی، شخصی که با متقاضیان مصاحبه میکرد از آنها میپرسید که آیا میتوانند وفادار بمانند و به موضوعات اخلاقی پایبندند؟ زیراکه آنها تا به حال چنین شغلی نداشته بودند.
توسعهدهندگان و حامیان Lurk نه تنها بوتنت را برای بسیاری از افراد ضروری میدانستند بلکه برخی از زیر ساختهای هزینه وار مثل سرورها، ویپیانها و دیگر ابزارها هم لازم دانستند. پس از چندین سال کسب و کار، تیم Lurk شبیه یک شرکت آی.تی معمولی به نظر میرسید. و مثل خیلی کمپانیهای دیگر، پس از مدتی آنها تصمیم گرفتند که به کسبوکار خود تنوع بخشند.
مجرمان سایبری پشت Lurk هم همچنین مسئول ایجاد کردن Angler، aka XXX (یکی از پیچیدهترین اکسپلویتکیتها تا به امروز) شدند. در ابتدا Lurk همانند ابزاری برای رسیدن به قربانیان طراحی شده بود اما پس از آن سازندگان تصمیم گرفتند Angler را به سوم شخصها بفروشند. موفقیت و شکستناپذیری کسانی که در پشت Lurk بودند تقریبا به افسانهای در میان مجرمان سایبری تبدیل شده بود و فروش Angler در بین بازارهای زیرزمینی به حد مطلوبی رسیده بود.
Angler در میان مجرمان سایبری محبوبیت زیادی پیدا کرده بود، به عنوان مثال از آن برای توزیع باجافزارهای CryptXXX و Teslacrypt استفاده میشد.
اما در زمانی که آنها شروع به فروش Angler کرده بودند، پلیس روسیه با کمک لابراتوار کسپرسکی، شواهد کافی برای دستگیری اعضای گروه مظنون جمعآوری کرده بودند. در ژوئن ۲۰۱۶ ، فعالیت Lurk متوقف شد و پس از آن به دنبال Angler. مجرمان سایبری فک میکردند که پایان راهی وجود ندارد و هیچوقت گرفتار پلیسها نمیشوند زیرا که آنها تمام موارد امنیتی را رعایت میکردند.
اقدامات احتیاطی آنها را برای مدتی محافظت کرد و حتی مجرمان سایبری باهوش هم انساناند و دیر یا زود بالاخره یک خطا از آنها سر میزند و محققان امنیتی بالاخره آنها را مییابند. درست است که شناسایی و دستگیری آنها زمان زیادی میبرد و تلاش بسیار میخواهد، اما اینگونه عدالت در جهان سایبری برقرار میشود.