Немного соображений по поводу “группировки” Lurk.

Группировка работала именно по российским банкам. Работала с 2011 по 2016 год. Добыла примерно милиард, поделив его на численность 40 человек и 72 месяца получаем доход:

1200000000 / (40 * 6 * 12) = 416 тысяч рублей на человека в месяц.

За вычетом накладных расходов соизмеримо с обычной российской зарплатой специалиста такого уровня. Ничего сверхестественного.

Группировка явно не ориентировалась на прибыль. Выбрать из всего спектра доступных для их арсенала тем взлом российских систем ДБО (дистанционного банковского обслуживания), да еще и сидя в России, это несколько сумбурное решение.

Как таковой задачи быть незамеченными западными органами перед ней не было. 25% заражений из-за неактуальных геоданных приходилось на зарубеж и DPI на магистралях и HoneyPot обязаны были их заметить, и не такую мелочь замечают.

Скорее всего действительно парни неявно работали на внутренний госфинмониторинг, выявляли серые маршруты движения безнала. Возможно сами они об этом и догадывались, по крайней мере в части руководства, но явно на этот счет не инструктировались.

Съем добытой информации с них скорее всего происходил косвенным методом снаружи группировки. Зеркалирование железа-каналов на хостерах или еще какие-то рюшечки. В отчетах Касперского слишком много ненужной воды про их хардварную инфраструктуру без конкретики, что какбы намекает.

Поэтому так долго и работали, а закрылись за ненадобностью, когда центробанк начал санировать банки использовавшие любимый ими “ibank 2”.

Источники:

• https://securelist.ru/unikalnyj-bestelesnyj-bot-atakuet-posetitelej-novostnyh-resursov/2604/
• https://securelist.ru/v-stade-bankerov-priby-lo-2/3821/
• https://securelist.ru/bankovskij-troyanec-lurk-specialno-dlya-rossii/28708/
• https://securelist.ru/the-hunt-for-lurk/29220/
• https://www.kaspersky.ru/blog/bye-bye-lurk/12924/
• https://66.ru/news/incident/219244/
• https://bifit.com/