Следы печально известной группировки Lazarus обнаружены в деле о неудачном ограблении крупнейшего в Тайване банка. Эксперты ИБ сходятся в том, что эти хакеры спонсируются КНДР и несут ответственность за целую серию крупных атак, включая эпидемию WannaCry.

Нападение на тайваньский Far Eastern International Bank (FEIB) произошло в начале октября. Преступники проникли в сеть банка, используя зараженный документ Microsoft Office. Оказавшись внутри, хакеры смогли подробно изучить ИТ-инфраструктуру и определить компьютеры с доступом к важным данным. В первый день октября злоумышленники разместили специально созданный зловред, а через двое суток попытались перевести 60 млн долларов в несколько банков Шри-Ланки, Камбоджи и США. Для этого они использовали аккаунт одного из сотрудников FEIB в системе межбанковских переводов SWIFT. Преступным планам помешала техническая ошибка в оформлении одной из транзакций, которая вкупе с впечатляющей суммой перевода привлекла внимание службы безопасности. В итоге ущерб составил 500 тыс. долларов США.

Несколько дней спустя одному из участников преступления удалось снять 192 тыс. долларов в шриланкийском Bank of Ceylon. Однако при попытке обналичить еще 52 тыс. долларов его задержали представители правопорядка. Второго сообщника арестовали на следующий день.

Неудачную попытку ограбления связали с Lazarus из-за использованных в атаке вредоносов. Всего аналитики идентифицировали девять образцов зловредного ПО, три из которых напоминали инструменты из арсенала киберпреступной группировки. Еще четыре оказались модифицированным шифровальщиком Hermes — осознавшие провал злоумышленники пытались с его помощью скрыть следы и затруднить расследование.

Если атаку на FEIB действительно предприняли северокорейские хакеры, то это уже второе их крупное свершение в банковской сфере. Ранее группировка похитила более 80 млн долларов с государственного счета Бангладеш в Федеральном резервном банке Нью-Йорка. Если бы не грамматическая ошибка в наименовании одного из получателей — Shalika Fandation вместо Shalika Foundation, добыча преступников приблизилась бы к 1 млрд долларов. Власти Бангладеш пытались предъявить банку претензии в связи с ушедшими миллионами, однако эксперты по безопасности возлагают вину на кого-то из бангладешских высокопоставленных лиц — атака прошла без взлома банковских систем, значит, хакеры использовали скомпрометированные пользовательские данные.

За последние два года система SWIFT часто попадала в заголовки в связи с крупными хищениями. Атакам подверглись банки в Уругвае, Вьетнаме, Польше, Украине, Мексике, Филлипинах и других странах. В нескольких случаях злоумышленники использовали технологии и приемы группировки Lazarus, однако на текущий момент напрямую с ней связывают только атаки в Бангладеш и Тайване.

Вплоть до этого года интересы северокорейских хакеров лежали вне финансовых махинаций. В 2009–2012 годах они провели серию DoS-атак на правительственные структуры своих южных соседей, а в 2014-м похитили с серверов Sony Pictures Entertainment персональную информацию сотрудников кинокомпании и членов их семей, электронные письма, копии неизданных фильмов и прочие конфиденциальные данные. Последнюю акцию многие связывали с сатирическим фильмом про северокорейского лидера, который в то время готовился к выходу на экраны. В эпидемии WannaCry также нашлись характерные следы Lazarus.

Для борьбы с группировкой был сформирован ИБ-альянс Operation Blockbuster, объединивший «Лабораторию Касперского», компании Novetta, AlienVault, Invincea, ThreatConnect, Volexity, Symantec и Punch Cyber. Его участники отмечают, что невысокий уровень подготовки северокорейских специалистов заставляет взломщиков раз за разом использовать одни и те же инструменты. Это упрощает построение связей между разными инцидентами и в перспективе может помочь остановить злоумышленников.

Категории: Аналитика, Хакеры