{"id":19008,"date":"2022-02-22T15:50:51","date_gmt":"2022-02-22T18:50:51","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=19008"},"modified":"2022-02-22T16:45:22","modified_gmt":"2022-02-22T19:45:22","slug":"lurk-cybercrime-inc","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/lurk-cybercrime-inc\/19008\/","title":{"rendered":"Lurk: uma empresa exemplar do cibercrime"},"content":{"rendered":"

O julgamento dos criadores do Trojan banc\u00e1rio Lurk<\/a> finalmente acabou. Eles foram presos em uma opera\u00e7\u00e3o conjunta entre v\u00e1rias autoridades e a ajuda de nossos especialistas. Os criminosos foram presos em 2016. No entanto, a investiga\u00e7\u00e3o e o caso judicial se arrastaram por mais cinco anos. Mas isso n\u00e3o deve ser surpresa, j\u00e1 que o n\u00famero de suspeitos e v\u00edtimas envolvidos era sem precedentes.<\/p>\n

Foi necess\u00e1rio, inclusive, transportar os membros do Lurk de \u00f4nibus. E os arquivos do caso totalizaram em m\u00e9dia 4.000 volumes (um volume = 250 p\u00e1ginas). A quantidade de trabalho foi enorme e demorada, todos os registros e depoimentos foram analisados com uma lupa, mas em 2018, 27 r\u00e9us foram a julgamento.<\/p>\n

A Kaspersky monitora as atividades do grupo desde 2011. Ouvi falar pela primeira vez do Lurk quando cheguei \u00e0 empresa em 2013. Lembro que pensei: \u201cQuem conseguir peg\u00e1-los, pode tranquilamente se aposentar. A carreira estar\u00e1 completa.\u201d Comparados com os cibercriminosos usuais da \u00e9poca, eles pareciam ser verdadeiramente sofisticados, tanto tecnicamente quanto organizacionalmente. Tendo dito que, se eu fosse encontrar Lurk hoje, eu provavelmente n\u00e3o ficaria t\u00e3o impressionado e iria v\u00ea-los como um grupo que se apegava \u00e0s melhores pr\u00e1ticas.<\/p>\n

A senten\u00e7a do tribunal \u00e9 uma boa desculpa para olhar para tr\u00e1s para os destaques desta atua\u00e7\u00e3o do cibercrime.<\/p>\n

Esquema de infec\u00e7\u00e3o<\/h2>\n

Temos que come\u00e7ar com o vetor de infec\u00e7\u00e3o. Os atacantes usaram uma t\u00e1tica watering-hole<\/a>, que publicava um redirecionamento para um kit de exploits\u00a0 em v\u00e1rios sites empresarias. Esse m\u00e9todo n\u00e3o era novo, mas neste caso, para se infectar, a v\u00edtima (sempre um contador) tinha visitado o local durante sua refei\u00e7\u00e3o (e somente neste momento). O\u00a0 kit de exploit<\/em>\u00a0 baixava um Trojan sem arquivo para o computador da v\u00edtima, que seria usado exclusivamente para espionagem.<\/p>\n

Os cibercriminosos estudavam quais programas funcionavam na m\u00e1quina, se eram softwares banc\u00e1rios ou qualquer tra\u00e7o de software investigativo, e em quais sub-redes a m\u00e1quina trabalhava (o foco principal eram as redes banc\u00e1rias e governamentais). Em outras palavras, eles avaliaram o qu\u00e3o interessante o computador era, e eles sabiam exatamente quem eles queriam afetar.<\/p>\n

O malware<\/em> principal seria inserido apenas se o computador fosse de interesse. Se n\u00e3o, eles roubaram todas as senhas que podiam obter, por precau\u00e7\u00e3o, e removiam o malware<\/em> da m\u00e1quina da v\u00edtima.<\/p>\n

Comunica\u00e7\u00e3o com C&C<\/h2>\n

O processo de troca de informa\u00e7\u00f5es entre o Trojan e o servidor de comando e controle<\/a> (C&C) n\u00e3o foi menos not\u00e1vel. A maioria dos Trojans daquela \u00e9poca inclu\u00eda o endere\u00e7o C&C prefixado no c\u00f3digo-fonte. Os autores simplesmente especificaram o nome de dom\u00ednio, o que lhes deixou a op\u00e7\u00e3o, se necess\u00e1rio, de alterar o endere\u00e7o IP do servidor: ou seja, se eles perderem o controle dos principais endere\u00e7os C&C, eles poderiam simplesmente substitu\u00ed-los por um backup. Em suma, era um mecanismo de seguran\u00e7a bastante primitivo. No entanto, Lurk era muito diferente: o grupo empregava um m\u00e9todo digno de um filme de espionagem.<\/p>\n

Antes de uma sess\u00e3o de comunica\u00e7\u00e3o, Lurk calculou o endere\u00e7o do servidor C&C. Os cibercriminosos foram ao Yahoo! e procuraram pelo pre\u00e7o das a\u00e7\u00f5es de uma empresa espec\u00edfica (durante nossa pesquisa, foi o McDonald\u2019s). Dependendo do valor do estoque em um momento espec\u00edfico, eles geraram um nome de dom\u00ednio e o acessaram. Ou seja, para controlar o Trojan, os cibercriminosos investigaram o pre\u00e7o das a\u00e7\u00f5es naquele momento exato e registraram um nome de dom\u00ednio com base nesses n\u00fameros. Em outras palavras, era imposs\u00edvel saber com anteced\u00eancia qual nome de dom\u00ednio ser\u00e1 usado para o servidor C&C.<\/p>\n

Isso levanta uma quest\u00e3o leg\u00edtima: se o algoritmo estava embutido no Trojan, o que impediu um pesquisador de gerar tal sequ\u00eancia, registrar um nome de dom\u00ednio perante os cibercriminosos e simplesmente esperar que o Trojan se conectasse a ele?\u00a0Infelizmente, os criadores de Lurk tomaram precau\u00e7\u00f5es.\u00a0Eles usaram\u00a0criptografia assim\u00e9trica<\/a>.\u00a0Ou seja, foi gerado um par de chaves, em que o bot, acessando o servidor C&C, usaria a chave p\u00fablica para verificar se realmente pertencia aos seus propriet\u00e1rios (verificando a assinatura digital).\u00a0Isso \u00e9 imposs\u00edvel de forjar sem conhecer a chave secreta.\u00a0Portanto, apenas o propriet\u00e1rio da chave secreta pode receber solicita\u00e7\u00f5es de bots e emitir comandos \u2013 nenhum pesquisador externo pode emular o servidor C&C.\u00a0Outros cibercriminosos n\u00e3o usavam esse m\u00e9todo de prote\u00e7\u00e3o na \u00e9poca, portanto, se detect\u00e1ssemos uma prote\u00e7\u00e3o de chave privada no servidor, poder\u00edamos ter certeza de que era um ataque Lurk.<\/p>\n

Infraestrutura organizada<\/h2>\n

A configura\u00e7\u00e3o dos processos Lurk merece uma men\u00e7\u00e3o separada. Se outros grupos de cibercriminosos da \u00e9poca eram apenas um conjunto de usu\u00e1rios do f\u00f3rum (um cuidava da programa\u00e7\u00e3o, outro da cobran\u00e7a, um terceiro era o coordenador), ent\u00e3o, em contraste, Lurk era quase uma empresa de TI feita e correta. \u00c9 mais preciso compar\u00e1-los com uma grande empresa de software do que com um grupo de cibercriminosos. Al\u00e9m disso, em termos de n\u00edvel organizacional, eles continuam sendo um modelo para muitos grupos at\u00e9 hoje.<\/p>\n

Os verdadeiros profissionais operavam o Lurk (provavelmente com boa experi\u00eancia de desenvolvimento) por meio da constru\u00e7\u00e3o de uma infraestrutura altamente organizada com gestores e equipe de RH. Ao contr\u00e1rio de muitos grupos, eles pagaram a seus funcion\u00e1rios um sal\u00e1rio (em vez de uma porcentagem dos lucros). Eles at\u00e9 costumavam realizar reuni\u00f5es semanais, o que na \u00e9poca era totalmente in\u00e9dito. Resumindo, era uma corpora\u00e7\u00e3o exemplar com objetivos do mal.<\/p>\n

Eles at\u00e9 tinham um sistema estruturado para restringir o acesso \u00e0 informa\u00e7\u00e3o.\u00a0 Ap\u00f3s a pris\u00e3o, alguns membros do grupo acessaram a correspond\u00eancia de seus chefes e s\u00f3 naquele momento perceberam que n\u00e3o estavam sendo tratados de forma justa.<\/p>\n

Eles documentaram minuciosamente todas as suas atividades, de forma mais sistematizada que muita empresa de TI hoje. Isso, \u00e9 claro, ajudou muito a investiga\u00e7\u00e3o. E, talvez, foi o que acabou causando a queda: quanto mais sistem\u00e1tica sua abordagem, mais f\u00e1cil \u00e9 rastre\u00e1-la. Aqui est\u00e3o alguns exemplos.<\/p>\n

Base de conhecimento<\/h3>\n

O grupo Lurk manteve uma base de conhecimento detalhada que foi dividida em projetos de forma organizada. Cada projeto era acess\u00edvel apenas a certas pessoas, ou seja, os participantes de uma iniciativa n\u00e3o sabiam das atividades de outra. O escopo dos projetos era amplo, do ponto de vista t\u00e9cnico ao organizacional. E os projetos t\u00e9cnicos tamb\u00e9m foram subdivididos em n\u00edveis. Por exemplo, os desenvolvedores do Trojan tiveram acesso \u00e0 base de conhecimento apenas em rela\u00e7\u00e3o aos t\u00f3picos: como evitar antiv\u00edrus, como testar, etc. Mas tamb\u00e9m havia bancos de dados gerais sobre seguran\u00e7a operacional (semelhantes \u00e0s normas de seguran\u00e7a em grandes empresas). Essas informa\u00e7\u00f5es \u00a0orientaram os funcion\u00e1rios do Lurk como deveriam configurar suas esta\u00e7\u00f5es de trabalho para evitar a detec\u00e7\u00e3o e como usar ferramentas de anonimato.<\/p>\n

Acesso \u00e0 informa\u00e7\u00e3o<\/h3>\n

Para ter acesso ao recurso de informa\u00e7\u00f5es do Lurk, os cibercriminosos precisavam se conectar a um servidor usando v\u00e1rias VPNs. Mesmo assim, eles s\u00f3 tiveram acesso \u00e0 gest\u00e3o de bots. Posteriormente, cada empregado obteve seu pr\u00f3prio certificado e sua pr\u00f3pria conta com permiss\u00f5es diferentes. Em outras palavras, era como uma rede corporativa normal criada para trabalho remoto. Em geral, se n\u00e3o fosse pela falta de autentica\u00e7\u00e3o de dois fatores, eles poderiam ter sido considerados uma empresa modelo.<\/p>\n

Fisicamente, todos os servidores estavam localizados em diferentes data centers e em diferentes pa\u00edses. Quando voc\u00ea chega a um desses virtualmente usando uma VPN, voc\u00ea n\u00e3o sabe o verdadeiro endere\u00e7o IP do servidor. E foi por isso que o grupo foi t\u00e3o dif\u00edcil de detectar.<\/p>\n

\u00a0<\/p>\n

Desenvolvimento<\/h3>\n

O grupo Lurk tinha reposit\u00f3rios de c\u00f3digo fonte adequados, procedimentos automatizados de desenvolvimento e testes em v\u00e1rias etapas, um servidor de produ\u00e7\u00e3o, um servidor de teste e um servidor de desenvolvimento. Em ess\u00eancia, eles estavam fazendo um produto de software s\u00e9rio: a qualquer momento eles tinham uma vers\u00e3o de produ\u00e7\u00e3o, teste e desenvolvedor do Trojan.<\/p>\n

O servidor C&C comum da maioria dos Trojans naquela \u00e9poca poderia receber solicita\u00e7\u00f5es de bot, registr\u00e1-las em um banco de dados e fornecer um painel de administra\u00e7\u00e3o para gerenci\u00e1-las. Tudo isso foi efetivamente disponibilizado em uma \u00fanica p\u00e1gina. O Lurk implementou o painel de administra\u00e7\u00e3o e o banco de dados separadamente, enquanto o mecanismo de envio de respostas para bots foi ocultado completamente por um servi\u00e7o intermedi\u00e1rio.<\/p>\n

Kits de exploits<\/em><\/h3>\n

Lurk tinha tr\u00eas kits de exploits<\/em>, cada um com tr\u00eas nomes: um interno, criado por seus desenvolvedores, um para clientes e parceiros, e um destinado aos investigadores. O que aconteceu \u00e9 que n\u00e3o s\u00f3 os autores da Lurk usaram suas cria\u00e7\u00f5es, como tamb\u00e9m venderam kits de exploits<\/em>\u00a0 para outros cibercriminosos. Al\u00e9m disso, as vers\u00f5es para os \u201cparceiros\u201d tinham um c\u00f3digo diferente, o que foi uma clara tentativa de confundi-lo como outro kits de exploits<\/em> muito populares.<\/p>\n

A Queda do Lurk<\/h2>\n

No final, todos os truques dos cibercriminosos n\u00e3o funcionaram. A maioria dos membros do grupo foram presos. Mas s\u00f3 depois que o dano foi feito: durante sua extensa carreira, os atacantes foram capazes de roubar aproximadamente US$ 45 milh\u00f5es. Nossos especialistas estudaram seus m\u00e9todos por quase seis anos (o que, por sinal, proporcionou uma experi\u00eancia valiosa que continuaremos a empregar para derrotar o cibercrime).<\/p>\n

Para os interessados em aprender com essa saga para as empresas, recomendamos a leitura deste artigo<\/a>. E uma an\u00e1lise t\u00e9cnica detalhada est\u00e1 dispon\u00edvel em nossa publica\u00e7\u00e3o Securelist<\/a>.<\/p>\n

\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"

O que os pesquisadores mais se lembram sobre o grupo Lurk. <\/p>\n","protected":false},"author":2701,"featured_media":19010,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655],"tags":[2930,2346,2931,225],"class_list":{"0":"post-19008","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-ameacas-bancarias","10":"tag-investigacao","11":"tag-justica","12":"tag-trojan-bancario"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/lurk-cybercrime-inc\/19008\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/lurk-cybercrime-inc\/23908\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/lurk-cybercrime-inc\/19394\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/lurk-cybercrime-inc\/9752\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/lurk-cybercrime-inc\/26146\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/lurk-cybercrime-inc\/24107\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/lurk-cybercrime-inc\/23917\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/lurk-cybercrime-inc\/26921\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/lurk-cybercrime-inc\/26465\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/lurk-cybercrime-inc\/32377\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/lurk-cybercrime-inc\/10523\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/lurk-cybercrime-inc\/43683\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/lurk-cybercrime-inc\/18559\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/lurk-cybercrime-inc\/15804\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/lurk-cybercrime-inc\/28161\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/lurk-cybercrime-inc\/32446\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/lurk-cybercrime-inc\/28118\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/lurk-cybercrime-inc\/24829\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/lurk-cybercrime-inc\/30251\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/lurk-cybercrime-inc\/30030\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/ameacas-bancarias\/","name":"amea\u00e7as banc\u00e1rias"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/19008","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2701"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=19008"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/19008\/revisions"}],"predecessor-version":[{"id":19030,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/19008\/revisions\/19030"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/19010"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=19008"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=19008"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=19008"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}