روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ ماجرای دادگاه توسعه‌دهندگان تروجان بانکی Lurk در نتیجه‌ی عملیاتی مشترک بین چندین مقامات و متخصصین کسپرسکی سرانجام به اتمام رسید. مجرمان در سال 2016 دستگیر شدند اما تا 5 سال بعدش بررسی‌ها و تحقیقات هنوز ادامه داشت که خوب تعجبی هم ندارد زیرا تعداد مظنونین و قربانیان بی‌سابقه بود. اعضای Lurk مجبور بودند با اتوبوس به دادگاه منتقل شوند. همچنین پرونده‌ها هم به 4000 جلد (هر جلد شامل 250 صفحه) می‌رسید. حجم کار سنگین و وقت‌گیر بود؛ همه سوابق و اظهارات مظنونین بررسی شد و در نهایت در سال 2018 تعداد 27 متهم به محاکمه کشیده شدند. کسپرسکی فعالیت این گروه را از سال 2011 زیر نظر گرفته بود. این گروه شده بود کابوس متخصصین کسپرسکی. نیروها با خود می‌گفتند، «اگر این گروه را شکست دهیم بعد از آن خود را بازنشسته خواهیم کرد». در مقایسه با سایر مجرمانِ آن زمان، سازندگان Lurk بسیار پیچیده عمل می‌کردند (هم از حیث فنی و هم از حیث سازمانی). اما اکنون تیم کسپرسکی آنقدر فناوری‌های خود را پیشرفته‌تر کرده است که اگر اکنون با چنین گروهی برای اولین بار مواجه می‌شد آن را یک گروه ساده که بهترین تلاش خود را برای فریب کاربران می‌کنند قلمداد می‌کرد. حکم دادگاه بهانه‌ی خوبیست تا باری دیگر نگاهی بیاندازیم به فعالیت این گروه. با ما همراه بمانید.

نقشه‌ی تخریب

بگذارید ابتدا با بردار تخریب شروع کنیم. مهاجمین از تاکتیک حفره آب[1] استفاده کردند و در چندین وبسایت رسانه تجاری ریدایرکتی را به کیت اکسپلویت ارسال کردند. این روش جدید نبود، اما در این پرونده خاص برای آلوده شدن، قربانی (همیشه یک حسابدار) باید در زمان استراحت ناهار خود (و فقط در این زمان) به سایت مراجعه می‌کرد. کیت اکسپلویت یک تروجان روی دستگاه آن‌ها دانلود کرده بود که صرفاً برای جاسوسی استفاده می‌شد. مجرمان سایبری ابتدا بررسی کردند که چه برنامه‌هایی روی دستگاه اجرا می‌شوند، آیا نرم‌افزار بانکی وجود دارد یا اثری از نرم‌افزار تحقیقاتی وجود دارد، و دستگاه در چه زیرشبکه‌هایی کار می‌کند (تمرکز اولیه روی شبکه‌های بانکی و دولتی بود). به عبارت دیگر، آنها "جذابیت" کامپیوتر را ارزیابی کردند - و دقیقاً می‌دانستند می‌خواهند چه کسی را آلوده کنند. بدافزار اصلی تنها در صورتی دانلود می‌شد که رایانه واقعاً جذاب بود. در غیر این صورت، آنها تمام رمزهای عبور را که می ‌توانستند روی آن بگذارند دزدیده و بدافزار را از دستگاه قربانی حذف می‌کردند.

ارتباط با C&C

فرآیند تبادل اطلاعات بین تروجان و سرور فرمان و کنترل (c&c) نیز بسیار قابل‌توجه بود. اکثر تروجان‌های آن زمان حاوی آدرس سخت‌افزاری C&C بودند. نویسندگان به سادگی نام دامنه را مشخص کردند و در صورت نیاز، گزینه‌ای را برای خود باقی گذاشتند که آدرس IP سرور را تغییر دهند: یعنی اگر کنترل آدرس اصلی C&C را از دست دادند، می‌توانستند به سادگی آن را با یک نسخه پشتیبان جایگزین کنند. در مجموع، این یک مکانیسم امنیتی نسبتاً ابتدایی بود. Lurk در این زمینه بسیار متفاوت بود: این گروه از روشیدر خور رمان جاسوسی استفاده کرد. قبل از یک سشن ارتباطی، لورک آدرس سرور C&C را محاسبه کرد. مجرمان سایبری به یاهو رفتند و قیمت سهام یک شرکت خاص را بررسی کردند (در طول تحقیقات ما، آن شرکت مک دونالد بود). بسته به ارزش سهام در یک مقطع زمانی خاص، آنها یک نام دامنه تولید کردند و به آن دسترسی پیدا کردند. یعنی برای کنترل تروجان، مجرمان سایبری به قیمت لحظه‌ایِ سهم نگاه کردند و بر اساس این ارقام یک نام دامنه ثبت نمودند. به عبارت دیگر، نمی‌توان از قبل دانست که کدام نام دامنه برای سرور C&C استفاده می‌شود.

حال این سوال پیش می‌آید که: اگر این الگوریتم در تروجان تعبیه شده بود، چه چیزی مانع از ایجاد چنین توالی‌ای توسط محقق، ثبت نام دامنه در برابر مجرمان سایبری و به سادگی انتظار تروجان برای اتصال به آن شد؟ افسوس، سازندگان Lurk اقدامات احتیاطی را انجام داده بودند. آنها از رمزنگاری نامتقارن استفاده کردند.

 به این معنی که یک جفت رمز ایجاد شد که در نتیجه‌ی آن بات با دسترسی به سرور C&C، از کلید عمومی برای بررسی اینکه آیا واقعاً متعلق به صاحبان آن است (با تأیید امضای دیجیتال) استفاده می‌کرد. جعل آن بدون دانستن کلید مخفی غیرممکن است. بنابراین، تنها صاحب رمز مخفی می‌تواند درخواست‌هایی از ربات‌ها دریافت و دستورات را صادر کند – هیچ محقق خارجی نمی‌تواند سرور C&C را تقلید نماید. سایر مجرمان سایبری در آن زمان از این روش محافظتی استفاده نمی‌کردند و از این رو بود که اگر نشانه‌هایی از این محافظت را می‌دیدیم بی‌شک ذهنمان به Lurk می‌رفت.

زیرساخت سازماندهی‌شده

تنظیم فرآیندهای Lurk نیز برای خود مقاله‌ای جدا می‌طلبد. اگر دیگر گروه‌های مجرم سایبری در آن زمان فقط یک دسته تصادفی از کاربران تالار گفت‌وگو بودند (یکی برنامه نویسی می‌کرد، دیگری پول نقد می‌کرد، سومی هماهنگ کننده بود)، در مقابل، Lurk تقریباً یک شرکت فناوری اطلاعاتیِ تمام عیار بود. بیشتر از اینکه بخواهد با سایر گروه‌های جرم سایبری مقایسه شود با شرکت‌های بزرگ فناوری قابل‌قیاس بود. علاوه بر این، از نظر سطح سازمانی، آنها تا به امروز الگوی بسیاری از گروهها بوده‌اند.

Lurk توسط متخصصان واقعی (به احتمال زیاد با تجربه قوی در حیطه توسعه) اداره می‌شد که زیرساخت بسیار سازمان یافته‌ای را با مدیران و کارکنان منابع انسانی ایجاد کرده بودند. برخلاف اکثر باندها، آنها به کارمندان خود حقوق می‌دادند (به جای درصدی از درآمد). حتی جلسات توجیهی هفتگی برگزار می‌کردند که آن روزها کاملاً بی‌سابقه بود. Lurk در یک جمله نماد شرکت شیطانی برتر بود. آنها حتی برای محدود کردن دسترسی به اطلاعات یک سیستم مبتنی بر نقشِ به شدت ساختارمند داشتند. پس از دستگیری، برخی از اعضای گروه‌های دیگر مکاتبات رؤسای خود را مطالعه کردند و تازه متوجه شدند چه کلاه بزرگی سرشان رفته است. همین شفافیت در عمل گروه Lurk بود که شاید کار دستشان داد: هرقدر رویکرد نظام‌مندتر، قابلیت رهگیری بالاتر.

پایگاه‌های اطلاعاتی

گروه Lurk پایگاه دانش قوی‌ای داشت و در آن پروژه‌ها تقسیم‌بندی شده بودند. هر پروژه فقط برای حلقه خاصی از افراد قابل دسترسی بود، یعنی شرکت‌کنندگان در یک پروژه از فعالیت‌های پروژه دیگر اطلاعی نداشتند. پروژه ها از نظر دامنه بسیار متفاوت بودند، از بسیار فنی گرفته تا سازمانی. و پروژه‌های فنی نیز به سطوح زیر تقسیم شدند. به عنوان مثال، توسعه‌دهندگان تروجان تنها در مورد موضوعات مرتبط به پایگاه دانش دسترسی داشتند: نحوه دور زدن آنتی ویروس‌ها، نحوه آزمایش، و غیره. اما پایگاه‌های اطلاعاتی عمومی در مورد امنیت عملیاتی نیز وجود داشت (مشابه قوانین امنیتی واقعی در شرکت‌های بزرگ). این اطلاعات در مورد اینکه چگونه کارکنان Lurk باید ایستگاه‌های کاری خود را برای جلوگیری از شناسایی و نحوه استفاده از ابزارهای ناشناس‌سازی راه‌اندازی کنند، ارائه می‌دهد.

دسترسی به اطلاعات

برای دسترسی به منبع اطلاعاتی Lurk، مجرمان سایبری باید از طریق چندین VPN به برخی از سرورها متصل شوند. حتی در آن زمان آنها فقط به مدیریت ربات دسترسی داشتند. در مرحله بعد، هر کارمند مدرک و حساب خود را با حقوق متفاوت دریافت کرد.  به عبارت دیگر، مانند یک شبکه شرکتی معمولی بود که برای دورکاری راه اندازی شده بود. به طور کلی اگر بخش راه‌اندازی احراز هویت دوعاملی را کنار بگذاریم آنها می‌توانستند یک شرکت نمونه در نظر گرفته شوند. از نظر فیزیکی، همه سرورها در مراکز داده مختلف و در کشورهای مختلف قرار داشتند. وقتی از طریق VPN به یکی از آنها در سطح مجازی می‌رسید، آدرس IP واقعی سرور را نمی‌دانید. تا حد زیادی این چیزی بود که شناسایی گروه را دشوار می‌ساخت.

پیشرفت

گروه Lurk دارای مخازن کد منبع مناسب، سازه‌ی خودکار و مراحل تست چند مرحله‌ای، سرور تولید، سرور تست و سرور توسعه بود. آنها اساساً یک محصول نرم افزاری جدی می‌ساختند: در هر لحظه از زمان نسخه تولید، آزمایش و توسعه دهندگان تروجان را داشتند.

متوسط سرور C&C یک تروجان معمولی در آن زمان می‌توانست درخواست‌هایی از ربات‌ها دریافت کند، آنها را در پایگاه داده ثبت نموده و یک پنل مدیریت برای مدیریت آنها ارائه دهد. همه اینها به طور موثر در یک صفحه پیاده سازی شد. Lurk پنل مدیریت و پایگاه داده را به طور جداگانه پیاده سازی کرد، در حالی که مکانیسم ارسال پاسخ برای ربات‌ها توسط یک سرویس واسطه کاملاً مبهم بود.

کیت‌های اکسپلویت

Lurk سه کیت اکسپلویت داشت که هر کدام سه نام مختلف داشتند: یکی داخلی که توسط توسعه دهندگانش ساخته شده بود. یکی برای مشتریان و شرکا؛ و یکی از آنها توسط محققان تعیین شده بود. مسئله این است که نویسندگان Lurk نه تنها از پیشرفت‌های خود استفاده کردند، بلکه کیت‌های اکسپلویتی را نیز در کنار دیگر مجرمان سایبری فروختند. علاوه بر این، نسخه‌های «شرکا» کدهای متفاوتی داشتند - به وضوح تلاشی بود برای پنهان کردن آن‌ها به عنوان یک کیت اکسپلویت بسیار محبوب دیگر.

سقوط Lurk

در آخر، هر قدر گروه Lurk ترفند پیاده کرد اما با هم به دادم افتاد. بیشتر اعضای این گروه دستگیر شدند اما درست بعد از اینکه تمام نقشه‌های شرورانه پیاده شده بود: در طول حرفه‌ی قدمت‌دارشان، مهاجمین حدود 45 میلیون دلار آمریکا سرقت کردند. متخصصین ما بیش از 6 سال است که دارند متودهای به کارگرفته‌شده توسط این گروه را بررسی می‌کنند (که از قضا تجربه‌ی باارزشی بود زیرا با کمک آن‌ها می‌شود جرایم سایبری دیگر را نیز در آینده شکست داد).

[1] watering-hole: یک استراتژی حمله رایانه‌ای است که در آن مهاجم حدس می‌زند یا مشاهده می‌کند که یک سازمان اغلب از کدام وب‌سایت‌ها استفاده می‌کند و یک یا چند مورد را با بدافزار آلوده می‌کند.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.