- Сообщения
- 7.810
- Реакции
- 10.691
История Lurk удобна тем, что она разрушает два наивных представления о киберпреступности. Первое: будто бы это всегда одиночки и импровизация. Второе: будто бы киберпреступность живёт где-то отдельно, в абстрактном "киберпространстве", а не в экономике и повседневной инфраструктуре. Lurk был именно организованной группой в мафиозном смысле, с разделением ролей, дисциплиной доступа, внутренними правилами и экономикой, завязанной на теневые площадки и сервисы, которые принято сводить к слову "даркнет". Но важнее другое: Lurk стал примером того, как криминальный проект превращается в устойчивую компанию, а потом вынужденно диверсифицируется, когда "основной бизнес" перестаёт быть таким прибыльным. Если говорить строго, Lurk это не один "вирус" и не один канал атак. Это длительная кампания, которая началась как банковский троян, ориентированный на дистанционное банковское обслуживание в России, а затем выросла в экосистему. Внутри экосистемы были разработка вредоносного кода, инфраструктура командования, каналы заражения, разведка и отбор жертв, техническое сопровождение атак, работа с подставными лицами и вывод денег. Именно такая связность и делает кейс Lurk материалом для серии "ОПГ в даркнете".
Для киберпреступных групп "даркнет" это, прежде всего, рынок услуг и доверия, где продают не товары для потребителя, а инструменты и доступ. Это могут быть закрытые форумы, теневые каналы найма, подпольные посредники по обналичиванию, сервисы аренды инфраструктуры, обменники, продавцы баз, поставщики фишинговых рассылок. Lurk существовал в этой среде как производитель и пользователь услуг. По оценке экспертов, группа имела в подпольной среде почти легендарный статус, и это важно: репутация в криминальном рынке снижает транзакционные издержки, облегчает найм, помогает покупать доступ и продавать "продукт" без рекламы. В истории Lurk особенно показателен момент, когда группа, по данным исследователей, начала сдавать в аренду свой самый мощный актив - набор для эксплуатации уязвимостей Angler. Иначе говоря, они не только грабили, но и продавали лопаты, которыми можно грабить другим. Именно здесь киберпреступность становится похожа на обычную экономику: падает маржа в основном направлении, и появляется вторичный рынок, где выгоднее монетизировать инфраструктуру как сервис. (
В техническом описании Lurk важна не деталь "какой модуль что делал", а логика. Этот троян был селективным. Он не стремился заразить всех подряд. Он "прощупывал" среду, оценивал, может ли украсть деньги, и только после этого разворачивал полноценную атаку. Это снижало шум, уменьшало вероятность раннего обнаружения и позволяло концентрировать ресурсы на богатых целях. По данным аналитиков, за годы активности в инфраструктуре командования фиксировались десятки тысяч ботов, что по меркам массовых эпидемий немного, но для прицельных атак на организации этого более чем достаточно. (
Angler здесь важен не как отдельная "программа", а как показатель уровня организации. Набор для эксплуатации уязвимостей - это промышленный конвейер заражений: он ищет слабое место в популярном программном обеспечении, использует его, ставит полезную нагрузку и делает это в масштабе. По данным исследований, Angler был одним из самых развитых наборов своего времени: быстро подхватывал новые уязвимости, умел избегать анализа, распознавал виртуальные машины и среду исследователя, а вредоносный код часто выполнялся из памяти. (
Lurk интересен ещё и тем, что его часто приводят как пример редкого, но возможного успеха расследования. В 2016 году российские правоохранительные органы сообщали о задержании десятков подозреваемых в разных регионах, а затем в медиа и аналитике закрепилась цифра порядка 50 задержанных, при оценках ущерба в миллиарды рублей. Важным элементом истории стало участие экспертов частной компании в многолетнем расследовании и технической атрибуции. (
У классической мафии есть территория, крышевание, силовой ресурс и контроль над рынком. У киберОПГ территория заменяется инфраструктурой, а силовой ресурс - доступом. В истории Lurk можно выделить несколько функциональных слоёв.
Первый слой - разработка и сопровождение. Это ядро, которое пишет код, обновляет модули, исправляет ошибки, адаптируется к защитным мерам банков и операционных систем. У такой команды есть внутренние стандарты качества и тестирование, иначе кражи будут ломаться на каждом обновлении браузера.
Второй слой - инфраструктура. Это серверы командования, прокси-цепочки, домены, хостинг, регистрация и маскировка. Именно этот слой требует денег и организационной дисциплины. В аналитике по Angler подчёркивались масштабы инфраструктуры и доходность рынка наборов эксплуатации уязвимостей, что помогает понять, почему группа могла позволить себе "большую сеть". (
Третий слой - разведка и отбор целей. Это операторы, которые понимают, где стоит нужное дистанционное банковское обслуживание, как устроена бухгалтерия, какие компании дают максимальную отдачу. Здесь киберпреступность становится ближе к экономической разведке.
Четвёртый слой - вывод денег. Это самая уязвимая часть любой схемы. Именно здесь цифровое превращается в физическое, и нужны подставные лица, цепочки счетов, обналичивание, иногда покупка товарных транзакций или услуг для маскировки. Для популярного текста это звучит как очевидность, но в реальности именно "касса" часто выдаёт структуру и приводит следствие к людям.
Пятый слой - рынок. Это теневые площадки, где можно купить доступ, продать инструмент, нанять исполнителя или найти посредника. Даже если конкретная площадка не называется, сама логика работы через подпольный рынок для Lurk подтверждается тем, как Angler превращался в арендуемый сервис, а также тем, как исследователи описывают репутационный эффект группы в подпольной среде. (
Lurk показывает, что киберпреступность давно стала индустрией, где есть специализация и управление рисками. Во-вторых, это кейс про платформизацию криминала: когда инструмент становится сервисом, преступность масштабируется не за счёт роста одной группы, а за счёт множества клиентов. В-третьих, это кейс про селективность и скрытность: будущее атаки часто не в "массовых заражениях", а в тихих кампаниях, которые ищут богатые цели и долго остаются незаметными. В контексте серии "ОПГ в даркнете" Lurk важен как мост между двумя эпохами. Это период, когда банковские трояны атаковали дистанционное обслуживание и корпоративные счета, а наборы эксплуатации уязвимостей были главным конвейером заражений. В следующую эпоху на первый план выйдут шифровальщики, торговля доступом и вымогательство, но многие организационные приёмы будут теми же: разделение ролей, инфраструктура как продукт, репутация как капитал, вывод денег как точка уязвимости.
Этот обзор носит исключительно информационный характер и не является руководством к применению. Мы рекомендуем соблюдать законодательства любых стран! Автор не имеет конфликта интересов, статья подготовлена на основе открытых данных и рецензируемых публикаций, перечисленных по ходу текста или собраны в конце статьи. Этот материал был создан с использованием нескольких редакционных инструментов, включая искусственный интеллект, как часть процесса. Редакторы-люди проверяли этот контент перед публикацией.
Нажимай на изображение ниже, там ты найдешь все информационные ресурсы A&N
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Для киберпреступных групп "даркнет" это, прежде всего, рынок услуг и доверия, где продают не товары для потребителя, а инструменты и доступ. Это могут быть закрытые форумы, теневые каналы найма, подпольные посредники по обналичиванию, сервисы аренды инфраструктуры, обменники, продавцы баз, поставщики фишинговых рассылок. Lurk существовал в этой среде как производитель и пользователь услуг. По оценке экспертов, группа имела в подпольной среде почти легендарный статус, и это важно: репутация в криминальном рынке снижает транзакционные издержки, облегчает найм, помогает покупать доступ и продавать "продукт" без рекламы. В истории Lurk особенно показателен момент, когда группа, по данным исследователей, начала сдавать в аренду свой самый мощный актив - набор для эксплуатации уязвимостей Angler. Иначе говоря, они не только грабили, но и продавали лопаты, которыми можно грабить другим. Именно здесь киберпреступность становится похожа на обычную экономику: падает маржа в основном направлении, и появляется вторичный рынок, где выгоднее монетизировать инфраструктуру как сервис. (
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
)В техническом описании Lurk важна не деталь "какой модуль что делал", а логика. Этот троян был селективным. Он не стремился заразить всех подряд. Он "прощупывал" среду, оценивал, может ли украсть деньги, и только после этого разворачивал полноценную атаку. Это снижало шум, уменьшало вероятность раннего обнаружения и позволяло концентрировать ресурсы на богатых целях. По данным аналитиков, за годы активности в инфраструктуре командования фиксировались десятки тысяч ботов, что по меркам массовых эпидемий немного, но для прицельных атак на организации этого более чем достаточно. (
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
) Классический сценарий выглядел так. Сначала заражение через уязвимости в браузере или плагинах, часто без сохранения на диск, то есть с выполнением в памяти. Затем этап разведки: проверка, какие системы стоят у жертвы, какие финансовые инструменты используются, где находится нужный оператор, как устроены процессы. И только после этого - попытка кражи: перехват данных, подмена платёжных поручений, захват удалённого доступа, имитация действий оператора. Именно эта стадийность делает Lurk близким к "корпоративной" модели атак. (
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
) С экономической точки зрения это похоже на криминальный аудит. Группа не просто ворует пароли, она встраивается в хозяйственную операцию. Если цель - корпоративный счёт, надо понимать, как бухгалтер формирует платёж, как подписывается поручение, какие окна контроля стоят у банка, как обходится подтверждение. В материалах аналитиков подчёркивалось, что со временем группа переходила к более сложным схемам, включая варианты с подменой операций и использованием особенностей банковских процессов (
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
)Angler здесь важен не как отдельная "программа", а как показатель уровня организации. Набор для эксплуатации уязвимостей - это промышленный конвейер заражений: он ищет слабое место в популярном программном обеспечении, использует его, ставит полезную нагрузку и делает это в масштабе. По данным исследований, Angler был одним из самых развитых наборов своего времени: быстро подхватывал новые уязвимости, умел избегать анализа, распознавал виртуальные машины и среду исследователя, а вредоносный код часто выполнялся из памяти. (
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
) Ключевой момент для темы "даркнета" в том, что Angler, по данным исследователей, сначала создавался как внутренний канал доставки именно для Lurk, а затем стал сдаваемым в аренду сервисом для других преступных групп. Здесь снова проявляется рыночная логика: инфраструктура стоит денег, и её выгодно монетизировать. При этом для других преступников аренда инструмента снижает барьер входа. Не нужно самому разрабатывать сложный конвейер заражения, достаточно купить доступ. Это и есть криминальная платформизация. (
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
)Lurk интересен ещё и тем, что его часто приводят как пример редкого, но возможного успеха расследования. В 2016 году российские правоохранительные органы сообщали о задержании десятков подозреваемых в разных регионах, а затем в медиа и аналитике закрепилась цифра порядка 50 задержанных, при оценках ущерба в миллиарды рублей. Важным элементом истории стало участие экспертов частной компании в многолетнем расследовании и технической атрибуции. (
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
) Дальше начинается то, что редко попадает в популярные пересказы: киберпреступность может быть быстрее следствия, но правосудие часто растянуто. В 2022 году суд в Екатеринбурге вынес приговор по делу Lurk, назначив сроки от нескольких лет до четырнадцати лет лишения свободы, а фигура, которую называют лидером, получила максимальный срок. Затем в 2022 году появлялись сообщения о частичном смягчении приговора в апелляции. Это важная часть криминальной истории, потому что показывает масштаб дела и его институциональную тяжесть. (
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
) Прекращение активности Lurk и быстрый уход Angler с рынка в тот же период стали для исследователей косвенным подтверждением связности этих направлений. Если инструмент исчезает сразу после задержаний, это похоже на то, как в офлайн-криминале закрывается подпольный цех после арестов ключевых людей. (
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
)У классической мафии есть территория, крышевание, силовой ресурс и контроль над рынком. У киберОПГ территория заменяется инфраструктурой, а силовой ресурс - доступом. В истории Lurk можно выделить несколько функциональных слоёв.
Первый слой - разработка и сопровождение. Это ядро, которое пишет код, обновляет модули, исправляет ошибки, адаптируется к защитным мерам банков и операционных систем. У такой команды есть внутренние стандарты качества и тестирование, иначе кражи будут ломаться на каждом обновлении браузера.
Второй слой - инфраструктура. Это серверы командования, прокси-цепочки, домены, хостинг, регистрация и маскировка. Именно этот слой требует денег и организационной дисциплины. В аналитике по Angler подчёркивались масштабы инфраструктуры и доходность рынка наборов эксплуатации уязвимостей, что помогает понять, почему группа могла позволить себе "большую сеть". (
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
)Третий слой - разведка и отбор целей. Это операторы, которые понимают, где стоит нужное дистанционное банковское обслуживание, как устроена бухгалтерия, какие компании дают максимальную отдачу. Здесь киберпреступность становится ближе к экономической разведке.
Четвёртый слой - вывод денег. Это самая уязвимая часть любой схемы. Именно здесь цифровое превращается в физическое, и нужны подставные лица, цепочки счетов, обналичивание, иногда покупка товарных транзакций или услуг для маскировки. Для популярного текста это звучит как очевидность, но в реальности именно "касса" часто выдаёт структуру и приводит следствие к людям.
Пятый слой - рынок. Это теневые площадки, где можно купить доступ, продать инструмент, нанять исполнителя или найти посредника. Даже если конкретная площадка не называется, сама логика работы через подпольный рынок для Lurk подтверждается тем, как Angler превращался в арендуемый сервис, а также тем, как исследователи описывают репутационный эффект группы в подпольной среде. (
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
)Lurk показывает, что киберпреступность давно стала индустрией, где есть специализация и управление рисками. Во-вторых, это кейс про платформизацию криминала: когда инструмент становится сервисом, преступность масштабируется не за счёт роста одной группы, а за счёт множества клиентов. В-третьих, это кейс про селективность и скрытность: будущее атаки часто не в "массовых заражениях", а в тихих кампаниях, которые ищут богатые цели и долго остаются незаметными. В контексте серии "ОПГ в даркнете" Lurk важен как мост между двумя эпохами. Это период, когда банковские трояны атаковали дистанционное обслуживание и корпоративные счета, а наборы эксплуатации уязвимостей были главным конвейером заражений. В следующую эпоху на первый план выйдут шифровальщики, торговля доступом и вымогательство, но многие организационные приёмы будут теми же: разделение ролей, инфраструктура как продукт, репутация как капитал, вывод денег как точка уязвимости.
Этот обзор носит исключительно информационный характер и не является руководством к применению. Мы рекомендуем соблюдать законодательства любых стран! Автор не имеет конфликта интересов, статья подготовлена на основе открытых данных и рецензируемых публикаций, перечисленных по ходу текста или собраны в конце статьи. Этот материал был создан с использованием нескольких редакционных инструментов, включая искусственный интеллект, как часть процесса. Редакторы-люди проверяли этот контент перед публикацией.
Нажимай на изображение ниже, там ты найдешь все информационные ресурсы A&N
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
