A Kaspersky Lab 2011-ben fedezte fel egy szervezett kiberbűnözői csoport tevékenységét, amely a Lurk trójait - egy fejlett, univerzális, több modulos, kiterjedt funkcionalitással ellátott rosszindulatú programot - használta az áldozatok számítógépe feletti ellenőrzés megszerzésére. Egész pontosan a kiberbűnözők az online banki szolgáltatások meghekkelésével kíséreltek meg pénzt ellopni az ügyfelek bankszámlájáról.
"A Kaspersky Lab szakértői a kezdetektől fogva közreműködtek a rendvédelmi szervek Lurk elleni nyomozásában. Már a vizsgálat korai szakaszában megállapítottuk, hogy a Lurk orosz hackerek egy csoportja, amely komoly fenyegetést jelent a szervezetekre és a felhasználókra. A Lurk másfél évvel ezelőtt kezdte támadni a bankokat; ezt megelőzően a rosszindulatú programjával különféle vállalati és otthoni számítógépeket vett célba. "Vállalatunk szakértői elemezték a rosszindulatú szoftvert, továbbá azonosították a hackerek hálózatának számítógépeit és szervereit. Ezen ismeretek birtokában az orosz rendőrség azonosítani tudta a gyanúsítottakat, és bizonyítékokat gyűjtött az elkövetett bűncselekményekről. A jövőben is segíteni fogjuk a hatóságokat abban, hogy minél több kiberbűnöző kerüljön az igazságszolgáltatás látókörébe." - mondta Ruslan Stoyanov, a számítógépes incidensek kivizsgálásával foglalkozó részleg vezetője a Kaspersky Labnél. A letartóztatás során az orosz rendőrségnek sikerült megakadályoznia több mint 30 millió dollár (2,273 milliárd rubel) hamis tranzakciókkal történő átutalását.
A rosszindulatú program terjesztése érdekében a Lurk csoport egy sor legális webhelyet - köztük vezető média- és híroldalakat - fertőzött meg kihasználó kóddal. Az áldozatok egyszerűen egy ily módon feltört oldal meglátogatásával fertőződtek meg a Lurk trójaival. Mihelyt a programkártevő az áldozat PC-jére kerül, azonnal elkezd további rosszindulatú modulokat letölteni, amelyek lehetővé teszik a célszemély pénzének ellopását.
Nem csupán a média weboldalak voltak a csoport nem pénzügyi indíttatású célpontjai. Annak érdekében, hogy elrejtőzzenek egy VPN-kapcsolat mögött, a bűnözők ugyancsak behatoltak több IT and telekommunikációs vállalat informatikai rendszerébe, és azok szervereit használták anonimitásuk megőrzésére.
A Lurk trójai sajátossága, hogy a rosszindulatú kódja nem az áldozat számítógépén tárolódik, hanem a véletlen elérésű memóriában (RAM-ban). Ráadásul a trójai fejlesztői mindent megtettek azért, hogy az antivírus programok számára a lehető legnehezebbé tegyék a Lurk észlelését. Ennek érdekében különféle VPN-szolgáltatásokat, az anonim Tor hálózatot, feltört Wi-Fi hozzáférési pontokat és megtámadott IT-szervezetek szervereit használták.