Спонсируемая государством хакерская группировка Lazarus, предположительно причастная к атаке на Sony Pictures Entertainment в 2014 году, сформировала целевую команду для кражи денежных средств на внутренние нужды.

APT-группу Lazarus, которая, по общему мнению, имеет северокорейские корни, винят также в прошлогоднем ограблении Центрального банка Бангладеш. Преступникам удалось украсть учетные данные к системе SWIFT и провести мошеннические транзакции на сумму более $850 млн, из которых $80 млн банку так и не удалось вернуть.

Выступая на саммите SAS, исследователи из «Лаборатории Касперского» и BAE Systems рассказали об атаках Bluenoroff, «дочки» Lazarus, на финансовые организации, казино, разработчиков ПО для торговых операций и на коммерческие структуры, оперирующие криптовалютой. Новоявленную группу также связывают с недавней атакой на польские банки — на основании характерных строк кода и используемого ею зловреда-стирателя из арсенала Lazarus.

В понедельник Виталий Камлюк из «Лаборатории» совместно с Эдрианом Нишем (Adrian Nish) и Сергеем Шевченко из BAE опубликовал дополнительную информацию о Lazarus и Bluenoroff, свидетельствующую о повышенном интересе этих хакеров к программному обеспечению международной сети SWIFT. По свидетельству экспертов, злоумышленники прилежно изучают этот софт и разрабатывают патчи, позволяющие воровать значительные суммы денег, не оставляя следов во взломанных системах.

Lazarus SWIFT attacks

На SAS также появился Дрис Ваттейне (Dries Watteyne), глава службы обеспечения кибербезопасности клиентов SWIFT, который подтвердил, что атакующие хорошо знают, каким образом происходит обработка транзакций и деловых сообщений в сети SWIFT. «Они обладают глубокими знаниями на уровне бизнес-сферы, — заявил Ваттейне. — Им удалось сделать так, чтобы все сообщения, отосланные этим банком, и ответы американского банка были сокрыты».

Представитель SWIFT пояснил, что при проведении международной транзакции в долларах США отправитель посылает в американский банк платежное поручение и тот отвечает подтверждением, прежде чем совершить перевод в офшорный банк. Используя краденые идентификаторы, злоумышленники внедрили в банк кастомного зловреда, умеющего удалять все платежные поручения из атакуемой базы данных, модифицировать SWIFT-сообщения и обходить штатные механизмы проверки на целостность.

Lazarus также связывают с утечкой огромного количества конфиденциальных данных Sony Pictures Entertainment в 2014 году, в том числе приватных писем и объектов авторского права. Вскоре после этого взлома, в январе 2015 года, американские власти ввели санкции в отношении оборонных агентств Северной Кореи, двух других правительственных структур и десяти физических лиц. Приказ о введении санкций был подписан президентом через две недели после DDoS-атаки, отрезавшей большую часть Северной Кореи от Интернета.

Интерес Lazarus к получению финансовой выгоды довольно необычен, как утверждают исследователи. Хакеры взяли на вооружение ряд тактических приемов, популярных у киберкриминала, — в частности, используют метод водопоя для компрометации мишеней финансового характера. При проведении таких атак вредоносный код внедряется в сайт, представляющий интерес для целевых организаций, и затем отдается посетителям.

По словам Ниша из BAE, участники Bluenoroff используют iframe для перенаправления браузера на сайты со скриптами, которые производят поиск уязвимостей, доставляют эксплойты и полезную нагрузку. Вначале Bluenoroff преимущественно атаковала мишени в Юго-Восточной Азии и развивающихся странах, затем переключилась на Польшу и, добившись успеха, расширила свои горизонты.

Камлюк со своей стороны отметил, что анализ европейского командного сервера, задействованного в атаках Bluenoroff, позволил получить дополнительные свидетельства связи этой группы хакеров с Lazarus и Северной Кореей. Исследователи определили, каким образом атакующие подключаются к серверу и тестируют свои бэкдоры, используя множество IP-адресов, разбросанных по всему миру. Удалось также зафиксировать одно короткое соединение из блока IP в Северной Корее.

Bluenoroff C2 in Europe

Со слов Камлюка, установка майнера криптовалюты вызвала сбой на сервере и, видимо, не позволила злоумышленникам как следует замести следы. Никто из докладчиков не взялся с уверенностью утверждать, что в атаках повинна Северная Корея, однако новые свидетельства косвенно на это указывают. «Если это Северная Корея, — сказал Камлюк, — то нам слишком мало известно о ее нынешней мотивации и характере наступательных действий».

Категории: Аналитика, Вредоносные программы, Главное, Хакеры