Στοιχεία περί στοχευμένης κυβερνοεπίθεσης εναντίον των πελατών μίας μεγάλης ευρωπαϊκής τράπεζας εντόπισαν ερευνητές της Global Research and Analysis Team της Kaspersky Lab.
Σύμφωνα με αρχεία που εντοπίστηκαν στον server που χρησιμοποιήθηκε από τους κυβερνοεγκληματίες, μέσα σε χρονικό διάστημα μόλις μίας εβδομάδας κλάπηκαν πάνω από μισό εκατομμύριο ευρώ από λογαριασμούς στην τράπεζα.
Οι πρώτες ενδείξεις για τη συγκεκριμένη «εκστρατεία» εντοπίστηκαν στις 20 Ιανουαρίου, όταν ερευνητές της Kaspersky εντόπισαν έναν C&C server όπου υπήρχαν στοιχεία για ένα πρόγραμμα Trojan που είχε σκοπό την κλοπή χρημάτων από τραπεζικούς λογαριασμούς πελατών.
Οι ειδικοί επίσης εντόπισαν logs συναλλαγών τα οποία περιείχαν πληροφορίες σχετικά με το τι ποσά εκλάπησαν από ποιους λογαριασμούς. Συνολικά εντοπίστηκαν πάνω από 190 θύματα, τα περισσότερα εκ των οποίων βρίσκονταν στην Ιταλία και την Τουρκία. Τα ποσά που εκλάπησαν από τον κάθε λογαριασμό, σύμφωνα με τα logs, κυμαίνονταν από 1.700 μέχρι 39.000 ευρώ.
Η εν λόγω «εκστρατεία» ήταν σε εξέλιξη τουλάχιστον μία εβδομάδα όταν εντοπίστηκε ο server, έχοντας ξεκινήσει όχι μετά τις 13 Ιανουαρίου. Μέσα στο συγκεκριμένο χρονικό πλαίσιο οι κυβερνοεγκληματίες έκλεψαν πάνω από 500.000 ευρώ. Δύο ημέρες μετά την εύρεσή του, οι αυτουργοί απομάκρυναν κάθε είδους στοιχείο που θα μπορούσε να οδηγήσει στον εντοπισμό τους. Ωστόσο, εκτιμάται ότι αυτό οφείλεται περισσότερο σε αλλαγές στην τεχνική υποδομή που χρησιμοποιήθηκε για την επιχείρηση παρά ότι σηματοδοτεί το τέλος της εν λόγω «εκστρατείας Luuuk».
«Λίγο μετά τον εντοπισμό του C&C server επικοινωνήσαμε με την υπηρεσία ασφαλείας της τράπεζας και τις υπηρεσίες επιβολής νόμου και τους υποβάλαμε όλα τα στοιχεία» δήλωσε ο Βιτσέντε Ντίαζ, στέλεχος της Kaspersky Lab.
Οι ερευνητές θεωρούν ότι σημαντικά χρηματοοικονομικά δεδομένα υποκλέπτονταν αυτόματα και απατηλές συναλλαγές διεξάγονταν αμέσως μόλις τα θύματα έκαναν login στους λογαριασμούς τους online. Αν και δεν βρέθηκαν στοιχεία σχετικά με το ποιο πρόγραμμα χρησιμοποιήθηκε ακριβώς, υπάρχει μία σειρά προγραμμάτων που έχουν ανάλογες δυνατότητες, όπως ανέφερε ο Ντίαζ.
Στη συνέχεια τα χρήματα περνούσαν στους λογαριασμούς των αυτουργών μέσω ενός ιδιαίτερου τρόπου: οι ειδικοί της Kaspersky αντιλήφθηκαν μία ιδιαιτερότητα στην οργάνωση των αποκαλούμενων «drops», όπου οι συμμετέχοντες στην απάτη λαμβάνουν κάποια από τα κλεμμένα λεφτά σε λογαριασμούς που έχουν δημιουργηθεί ειδικά για αυτή τη δουλειά και τα βγάζουν μέσω ΑΤΜ. Ειδικότερα, υπήρχαν στοιχεία για αρκετές διαφορετικές ομάδες «drops», που στην καθεμία είχαν ανατεθεί διαφορετικά ποσά: μία ήταν υπεύθυνη για τη μεταφορά ποσών 40-50.000 ευρώ, μία των 15-20.000 και μία «μόλις» των 2.000.
«Αυτές οι διαφορές στα ποσά των χρημάτων που ανατέθηκαν στο κάθε ʽdropʼ ίσως να είναι ενδεκτικές για διαφορετικά επίπεδα εμπιστοσύνης για κάθε είδους ʽdropʼ. Ξέρουμε ότι τα μέλη τέτοιων απατών πολύ συχνά εξαπατούν τους συνεργούς τους και εξαφανίζονται με τα χρήματα που τους είχε ανατεθεί να βγάλουν» σημείωσε ο Ντίαζ, επισημαίνοντας ότι οι «εγκέφαλοι» της επιχείρησης ενδεχομένως να προσπαθούν να αποφύγουν κάτι τέτοιο δημιουργώντας διαφορετικά γκρουπ, για διαφορετικά επίπεδα «εμπιστοσύνης»: όσο πιο «έμπιστο» είναι ένα γκρουπ, τόσο περισσότερα χρήματα του ανατίθεται να διαχειριστεί.
Αν και η λειτουργία του server τερματίστηκε, σύμφωνα με την Kaspersky η πολυπλοκότητα της επιχείρησης υποδεικνύει ότι οι αυτουργοί της θα συνεχίσουν να αναζητούν θύματα. Οι έρευνες είναι ακόμα σε εξέλιξη.