В феврале 2016 года стало известно о попытке хищения из Централь- ного Банка Бангладеш $1 млрд. Год спустя, в феврале 2017-го, были скомпрометированы несколько банков в Польше. В ходе расследования специалисты, проанализировав код вредоносных программ, сошлись во мнении, что за этими атаками стоит группировка Lazarus. Gglobal Cyber Security Company собрали доказательства, однозначно подтверждающие причастность к этим атакам Северной Кореи: выявили и изучили всю инфраструкту- ру управления, используемую Lazarus, и определили северокорейские IP-адреса, непосредственно с которых осуществлялась атака. Из отчета, подготовленного по итогам нашего расследования, вы узнаете, как хаке- ры проникали в сеть банков, какие вредоносные программы использова- ли, и кого еще собирались атаковать.
Начиная с 2016 года группа Lazarus предприняла несколько шагов для того, чтобы выдать себя за русских хакеров. В одну из версий модуля, отвечающего за пересылку сетевого трафика были добавлены отладоч- ные символы и строки с русскими словами, написанными на латинице. Для защиты своих исполняемых файлов был использован коммерче- ский протектор Enigma, разработанный русским автором. А эксплойты для Flash и Silverlight были позаимствованы из наборов эксплойтов, созданных русскоговорящими хакерами. Поначалу это ввело в заблуждение некоторых исследователей, кото- рые лишь на основе быстрого анализа кода сделали вывод о причаст- ности русских хакеров. Околоправительственные хакеры Lazarus получили доступ к систе- ме SWIFT атакованных банков. Хотя подобных инцидентов пока очень мало, но тренд уже заметен: околоправительственные группировки атакуют финансовые организации, которые можно отнести к крити- ческой инфраструктуре, с целью хищений или шпионажа. Из других примеров: в 2010-2013, предположительно, АНБ проводило спецопе- рации по атаке на банковскую инфраструктуру Ближнего Востока с целью получения доступа к системе SWIFT. А в 2017 стало известно об атаках на Украинские банки, осуществленные группой BlackEnergy. Нам удалось найти самый ранний индикатор атаки, относящийся к мар- ту 2016 года. То есть сразу после известного инцидента в Центральном Банке Бангладеш в феврале 2016, когда хакерам не удалось украсть $1 млрд лишь из-за ошибки в назначении платежа — на последнем эта- пе перевода денег. Вероятно, после него Lazarus предпринял попытки внести изменения в свою тактику, а также модифицировать свои ин- струменты. Новый тренд Жертвы Околоправительственные хакеры Lazarus получили доступ к систе- ме SWIFT атакованных банков. Хотя подобных инцидентов пока очень мало, но тренд уже заметен: околоправительственные группировки атакуют финансовые организации, которые можно отнести к крити- ческой инфраструктуре, с целью хищений или шпионажа. Из других примеров: в 2010-2013, предположительно, АНБ проводило спецопе- рации по атаке на банковскую инфраструктуру Ближнего Востока с целью получения доступа к системе SWIFT. А в 2017 стало известно об атаках на Украинские банки, осуществленные группой BlackEnergy. Нам удалось найти самый ранний индикатор атаки, относящийся к мар- ту 2016 года. То есть сразу после известного инцидента в Центральном Банке Бангладеш в феврале 2016, когда хакерам не удалось украсть $1 млрд лишь из-за ошибки в назначении платежа — на последнем эта- пе перевода денег. Вероятно, после него Lazarus предпринял попытки внести изменения в свою тактику, а также модифицировать свои ин- струменты. Новый тренд Жертвы Попытка выдать себя за русских хакеров Среди скомпрометированных сетей мы обнаружили государственные подсети разных стран, фармацевтические компании в Японии, Китае, университеты США, Канады, Великобритании, Индии, Болгарии, Польши, Турции.
Причастность Северной Кореи
Анализируя инфраструктуру Lazarus, мы обнаружили, что подключение к самому последнему, третьему уровню серверов управления происходило с двух IP-адресов Северной Кореи: 210.52.109.22 и 175.45.178.222. Второй IP-адрес относится к району Potonggang в Пхеньяне, в котором распо- лагается Национальная комиссия КНДР по обороне — высший военный орган страны. Еще одним подтверждением причастности северокорейских хакеров стало то, что анализируя открытые источники информации, мы нашли репортаж 2016 года южнокорейского агентства «Arirang News» о расследовании, про- веденном South Korea’s National Police Agency. В рамках расследования атаки северокорейских хакеров Dark Seoul Gang (также известных как Lazarus) на южнокорейские телевизионные станции и банки были выявлены два IP-адре- са злоумышленников: 175.45.178.19 и 175.45.178.97. Оба IP-адреса находятся в том же блоке IP-адресов, что и 175.45.178.222, который был обнаружен нами. ОСНОВНЫЕ НАХОДКИ 01 Уникальные инструменты и инфраструктура управления Причастность Северной Кореи 1 Основные находки Предположительно, группа Lazarus, входит в состав Bureau 121 — одного из подразделений Разведывательного управления генштаба КНА (КНДР), в задачи которого в том числе входит проведение военных киберопераций.