A Kaspersky Lab kutatói szerint egy célzott támadás egyértelmű nyomait fedezték fel, amely egy nagy európai bank ügyfeleit célozta. A támadók szerverein talált naplók szerint egyértelmű, hogy mindössze egy hét alatt a csoport több mint félmillió eurót lopott a bank számlatulajdonosaitól.

A kampány első jeleit január 20-án fedezték fel, amikor a vállalat szakértői egy C&C szervert azonosítottak. A szerver kezelőpanelja mutatta meg egy trójai program egyértelmű nyomait, ami az érintett bank ügyfeleinek bankszámláját célozta. A szakértők tranzakciós naplókat is azonosítottak; ezek tartalmazzák, hogy melyik számlákról mekkora összeget loptak el.

Összesen több mint 190 áldozatot sikerült azonosítani, akik főleg olasz és török állampolgárok. Az ellopott összegek 1700 és 39 ezer euró között mozognak.

A kampány legalább már egy hete zajlott, amikor a C&C szervert felfedezték. Ekkorra a bűnözők több mint 500 ezer eurót loptak el. Két nappal azután, hogy a szervert felfedezték, a bűnözők eltávolítottak minden bizonyítékot, amik alapján követni lehetett volna őket. A szakértők szerint ez valószínűleg csak az infrastrukturális átalakításokra utal, nem arra, hogy vége a Luuuk néven futó kampánynak. 

Nem sokkal a C&C szerver észlelése után, felvettük a kapcsolatot az érintett bank biztonsági szolgálatával és a hatóságokkal, akiknek átadtunk minden bizonyítékot, hogy az ügyet mihamarabb kivizsgálhassák.

– mondta Vicente Diaz, a Kaspersky Lab vezető biztonsági kutatója.

A szakértők szerint az elkövetők a fontos pénzügyi adatokat automatikusan fogták el, és a kétes ügyleteket azonnal végrehajtották, amint az áldozatok bejelentkeztek az online bankszámlájukra.

A C&C szerveren nem találtunk konkrét információt arra vonatkozólag, hogy melyik rosszindulatú programot használták a kampányban. Azonban sok létező Zeus variáció rendelkezik a szükséges képességekkel. Úgy gondoljuk, hogy a rosszindulatú vírus a Zeus egyik változata volt.

– mondta Diaz.

Meddig tart ez még?

Az ellopott pénzek egy már rég alkalmazott módszerrel jutottak el a bűnözők számláira. A szakértők rábukkantak a szervezet közvetítőire, akiknek a számláira átutalták a lopott összegeket, és akik ATM-ken keresztül vették ki a pénzt. Bizonyítékokat találtak több közvetítői csoportról, amelyekhez különböző összegek voltak hozzárendelve. Az egyik csoport a 40 és 50 ezer euró közötti összegek kezeléséért volt a felelős, míg a másik a 15 és 20 ezer euró közötti összegekért, végül a harmadik a 2000 euró alatti összegekért.

A kezelt pénzösszegek nagyságában mutatkozó különbségek arra utalnak, hogy egyesekben jobban megbíztak az akció vezetői, mint másokban. Tudjuk, hogy a bűnözők gyakran átverik egymást, és előfordulhat, hogy lelépnek a pénzzel. A Luuuk vezetői is ezeket a veszteségeket próbálták minimalizálni a különböző csoportok létrehozásával.

– mondta Diaz.

A Luuuk C&C szerverét röviddel a vizsgálat megkezdése után leállították, de a komplex kivitelezés miatt a szakértők úgy gondolják, hogy a támadók nem hagynak föl a tevékenységükkel.