卡巴斯基实验室专家和俄罗斯最大的银行之一联邦储蓄银行同俄罗斯执法机关紧密配合，对名为Lurk的网络犯罪组织进行调查，最终逮捕了50名涉案人员。被捕人员涉嫌参与创建受感染的计算机网络，自2011年起，从银行和其他金融机构以及企业共盗窃超过4500万美元。这是俄罗斯迄今为止规模最大的一次黑客逮捕行动。

2011年，卡巴斯基实验室检测到一个有组织网络犯罪团伙使用Lurk木马进行攻击。Lurk木马是一种复杂的、通用的、多模块的多功能恶意软件，能够获取受害者计算机的访问权限。上述网络犯罪组织主要用这种木马远程控制银行服务，从而窃取银行客户账户中的资金。

“从最开始，卡巴斯基实验室专家就协同执法机关参与到Lurk网络犯罪组织的调查中。我们发现，Luck攻击组织最早由一群俄罗斯黑客组成，攻击目标为一些组织和用户。一年半之前，Lurk攻击组织开始对银行进行攻击，而之前，这种恶意程序主要用来对多个企业和消费者系统进行攻击。

“我们的安全专家对这种恶意软件进行了分析，发现了黑客创建的僵尸网络和服务器。利用这些信息，俄罗斯警方可以识别嫌疑人，并且收集他们的犯罪证据。我们期待能够帮助执法机关将更多网络罪犯绳之以法，”卡巴斯基实验室计算机事故调查总监Ruslan Stoyanov说。

逮捕嫌疑人期间，俄罗斯警方想办法阻止了超过3000万美元（22.73亿卢布2）被转移出去。

为了传播这种恶意软件，Lurk网络犯罪组织利用漏洞利用程序，感染了大量合法网站，包括一些主流媒体和新闻网站。受害者只要访问受感染的页面，就会被Lurk木马所感染。一旦侵入受害者的计算机，Lurk木马会下载其它恶意模块到系统，通过这些模块窃取受害者的资金。

除了媒体网站外，该犯罪组织也会对其他非金融目标进行攻击。为了在VPN连接后面隐藏自己的踪迹，网络罪犯还入侵了多家IT和电信企业，使用他们的服务器保持匿名。

Lurk木马非常独特，它的恶意代码不会存储在受害者的计算机中，而是在随机访问存储器（RAM）中。此外，开发者还想尽办法让反病毒解决方案无法检测到这种木马。他们会使用不同的VPN服务、匿名的Tor网络以及属于受攻击IT组织的Wi-Fi连接点和服务器干扰检测。

我们建议企业密切关注自身的安全措施，定期对企业的IT基础设施安全进行检查，至少确保企业的IT基础设施没有已知的安全漏洞。此外，对员工进行基础的安全培训业非常重要，让企业员工了解怎样才是负责任的网络行为。

此外，企业还需要引入安全保护措施，对针对性攻击进行检测。提高威胁预防的最佳策略是增加威胁检测和响应的投资。即使是最复杂的针对性攻击，同正常的业务流量相比，也可以通过异常的行为将其发现。

卡巴斯基实验室最新的解决方案——卡巴斯基反针对性攻击平台包含能够分析这类异常行为的智能系统，可以有效检测针对性攻击。