​La inceput de 2016, un grup de hackeri a incercat sa fure 851 de milioane de dolari si a reusit sa transfere 81 de milioane de dolari de la Banca Centrala a Bangladeshului. Acesta este considerat unul dintre cele mai mari si mai de succes jafuri informatice realizate vreodata. Kaspersky Lab a publicat rezultatele unei investigatii despre metodele folosite de grupul denumit Lazarus, grup care inca este activ si poate oricand reveni daca va profita de mici greseli de configurare.

Harta de actiune a grupului LazarusFoto: Kaspersky

De-a lungul investigatiei asupra urmelor lasate de grup in banci din Sud-Estul Asiei si din Europa, Kaspersky Lab a reusit sa inteleaga instrumentele malware pe care grupul le foloseste si modul in care opereaza atunci cand ataca institutii financiare, cazinouri, dezvoltatori de software pentru companii de investitii si afaceri cu cripto-monede din toata lumea. Aceasta intelegere a dus la oprirea a cel putin doua operatiuni care ar fi avut acelasi scop: sa fure sume mari de bani de la institutiile financiare.

In februarie 2016, un grup de hackeri (neidentificati la acea data) a incercat sa fure 851 de milioane de dolari si a reusit sa transfere 81 de milioane de dolari de la Banca Centrala a Bangladeshului. Acesta este considerat unul dintre cele mai mari si mai de succes jafuri informatice realizate vreodata.

Investigatiile suplimentare efectuate de cercetatori din diferite companii IT de securitate, printre care si Kaspersky Lab, au indicat o probabilitate ridicata ca atacurile sa fi fost efectuate de Lazarus - un grup de spionaj si sabotaj cibernetic, responsabil pentru o serie de atacuri de anvergura si cunoscut pentru atacarea unor companii industriale, institutii media si financiare in cel putin 18 tari, incepand cu 2009.

Desi dupa atacul din Bangladesh au urmat cateva luni de liniste, grupul Lazarus a ramas activ. Ei s-au pregatit pentru o noua operatiune de furt de la alte banci si au reusit sa patrunda deja intr-o institutie financiara din Asia de Sud-Est. Dupa ce au fost opriti de produsele Kaspersky Lab si de investigatiile care au urmat, au fost blocati alte cateva luni, iar mai tarziu au decis sa schimbe modul de operare, mutandu-se in Europa.

Dar si aici incercarile lor au fost intrerupte de detectiile software-ului de securitate Kaspersky Lab, ca si de actiuni precum raspunsul rapid la incidente, analiza acestora si procesul de reverse engineering, cu sprijinul celor mai buni cercetatori din companie, spun cei de la Kaspersky.

Reteta Lazarus

Bazata pe rezultatele analizei asupra acestor atacuri, cercetatorii Kaspersky Lab au reconstruit modul de operare al grupului.

Compromiterea initiala - Un singur sistem din interiorul unei banci este spart, fie printr-un cod vulnerabil, accesibil de la distanta (de exemplu pe un server) sau printr-un atac de tip watering hole cu exploit-uri plasate pe site-uri inofensive. Atunci cand un asemenea site este vizitat, computerul victimei (angajat al bancii) este infectat cu malware, care instaleaza componente aditionale.

Stabilirea avanpostului - Apoi, grupul migreaza catre alte institutii din domeniul bancar si implementeaza backdoor-uri persistente, malware-ul permitandu-le sa vina si sa plece oricand doresc.

Recunoastere interna – Ulterior, grupul petrece zile si saptamani intregi pentru a invata cum functioneaza reteaua si pentru a identifica resursele valoroase. Una dintre resurse ar putea fi server-ul de backup, unde sunt stocate informatiile de autentificare, un server de mail sau intregul controler de domeniu, cu cheile de la fiecare ”usa” din companie, precum si cu serverele care stocheaza sau proceseaza inregistrari ale tranzactiilor financiare.

Livreaza si fura - In fine, lanseaza un malware special, capabil sa ocoleasca securitatea interna a software-ului financiar si sa emita tranzactii frauduloase in numele bancii.

Localizarea si atribuirea

Atacurile investigate de cercetatorii Kaspersky Lab au durat saptamani. Atacatorii puteau sa fie, insa, prezenti acolo de luni de zile. De exemplu, in timpul analizei incidentului din Sud-Estul Asiei expertii au descoperit ca hackerii au reusit sa compromita reteaua bancii cu mai mult de sapte luni inainte de ziua in care echipa de securitate a bancii a declansat raspunsul la incident. De fapt, grupul a avut acces la reteaua acelei banci chiar inainte de ziua incidentului din Bangladesh.

Conform datelor Kaspersky Lab, din decembrie 2015 au inceput sa apara mostre malware care au legatura cu grupul Lazarus, in activitatea institutiilor financiare, a dezvoltatorilor de programe pentru cazinouri si a afacerilor cu cripto-monede din Coreea, Bangladesh, India, Vietnam, Indonezia, Costa Rica, Malaysia, Polonia, Irak, Etiopia, Kenya, Nigeria, Uruguay, Gabon, Thailanda si in alte cateva tari. Ultimele mostre detectate de Kaspersky Lab dateaza din martie 2017, aratand ca atacatorii nu au nicio intentie de a se opri.

Chiar daca atacatorii au fost destul de precauti incat sa-si stearga urmele, cel putin un server pe care ei l-au spart pentru o alta campanie continea o greseala serioasa, scapandu-le un important artefact. In procesul de pregatire a operatiunii, server-ul a fost configurat ca centru de comanda si control pentru malware. Primele conexiuni facute in ziua configurarii au venit de la cateva servere VPN/ proxy, indicand o perioada de testare pentru serverul C&C. In acea zi a fost insa o scurta conexiune care a venit de la un interval foarte rar de IP-uri, din Coreea de Nord.

Conform cercetatorilor, acest lucru poate insemna urmatoarele:

Atacatorii s-au conectat de la o adresa IP din Coreea de Nord;

Altcineva a planuit cu grija o operatiune de inducere in eroare;

Cineva din Coreea de Nord a vizitat accidental URL-ul de comanda si control.

Grupul Lazarus investeste masiv in noi variante ale programelor lor malware. Timp de cateva luni, ei au incercat sa creeze un set de instrumente care ar fi invizibile pentru sistemele de securitate, dar de cate ori au incercat acest lucru, specialistii Kaspersky Lab au reusit sa identifice elementele specifice din modul in care acestia isi creau codurile, permitand echipei Kaspersky Lab sa dea de urma noilor mostre. Acum, atacatorii sunt relativ tacuti, ceea ce probabil inseamna ca au luat o pauza pentru a-si revizui arsenalul.

”Suntem siguri ca vor reveni. In toate atacurile similare celor realizate de grupul Lazarus se observa ca o mica greseala de configurare poate conduce la o bresa majora de securitate care ar putea sa coste o companie vizata sute de milioane de dolari’, spune Vitaly Kamluk, Head of Global Research and Analysis Team APAC la Kaspersky Lab. ‘Speram ca directorii executivi ai bancilor, cazinourilor si companiilor de investitii din toata lumea vor deveni precauti la auzul numelui Lazarus.”