Společnost Kaspersky Lab také odhalila, jaké postupy skupina Lazarus volí pro útoky na finanční instituce, kasina, softwarové vývojáře pro investiční společnosti a krypto-měnové obchody po celém světě. Tyto znalosti pomohly odhalit a překazit minimálně další dva útoky, které měly za cíl ukrást finančním institucím velké peněžní obnosy.

V únoru loňského roku se pokusila (v té době neznámá) skupina hackerů ukrást 851 milionů dolarů z Centrální bangladéšské banky, přičemž se jí podařilo převést 81 milionů dolarů. Tento čin představuje jednu z největších a nejúspěšnějších kybernetických krádeží současnosti. Následné vyšetřování, do kterého se zapojili odborníci z mnoha IT bezpečnostních společností včetně Kaspersky Lab, odhalilo, že by nejpravděpodobnějším pachatelem mohla být skupina Lazarus. Tato neblaze proslulá kyberšpionážní a sabotážní skupina má na svědomí sérii pravidelných ničivých útoků. Od roku 2009 se podepsala pod útoky na výrobní podniky, média a finanční instituce přinejmenším v 18 státech po celém světě.

Ačkoliv se skupina po útoku v Bangladéši na několik měsíců odmlčela, nezahálela ve svých aktivitách. Připravovala se na další akci cílící opět na finanční krádeže v bankách. V té době měli navíc kyberzločinci již vytvořené kontakty v jedné z finančních institucí v Jihovýchodní Asii. Plány jim však překazily produkty Kaspersky Lab a následné vyšetřování. Na několik následujících měsíců se proto opět stáhli a rozhodli se pro změnu taktiky – své operace přesunuli do Evropy. Nicméně i zde byly jejich pokusy přerušeny detekčním bezpečnostním softwarem Kaspersky Lab a také díky rychlé reakci, forenzní analýze a reverznímu inženýrství, na kterém se podíleli top odborníci z této společnosti.

KL Lazarus Map 

Taktika Lazarusu

Na základě výsledků forenzní analýzy těchto útoků byli odborníci Kaspersky Lab schopni zrekonstruovat modus operandi skupiny Lazarus.

  • Počáteční infikace: K prolomení dojde prostřednictvím jediného systému uvnitř banky – buď na základě zranitelného kódu se vzdáleným přístupem (např. na webovém serveru) nebo skrz „watering hole attack“ umožněný exploitem na neškodných stránkách. Jakmile některý zaměstnanec banky takovouto stránku navštíví, počítač uchvátí malware, který stáhne další komponenty.
  • Vybudování základny: Poté se kyberzločinci rozšíří do dalších bankovních systémů a nasadí persistentní backdoors – malware jim umožní přijít a odejít kdykoliv chtějí.
  • Interní průzkum: V následujících dnech a týdnech skupina poznává síťové prostředí a identifikuje cenné zdroje. Takovým zdrojem může být záložní server, kam se ukládají autentifikační informace, mailový server nebo celý řadič domény s přístupem do každé části společnosti. V neposlední řadě mohou být cenným zdrojem servery ukládající a zpracovávající záznamy o finančních transakcích.
  • Útok a krádež: Na závěr nasadí speciální malware schopný obejít bezpečnostní mechanismy interního finančního softwaru a provedou jménem banky podvodné transakce.

 

Útočníci a jejich oběti

Experti Kaspersky Lab strávili vyšetřováním tohoto případu týdny práce. Nicméně kyberzločinci mohli fungovat bez povšimnutí spoustu měsíců. Například během vyšetřování incidentu v Jihovýchodní Asii experti zjistili, že hackeři mohli do sítě banky proniknout už 7 měsíců před okamžikem, kdy bezpečnostní tým banky požádal o pomoc s řešením případu. Ve skutečnosti měla skupina přístup do bankovní sítě ještě před incidentem v Bangladéši.

Na základě dat Kaspersky Lab z prosince 2015 se části malwaru vztahující se ke skupině Lazarus objevily ve finančních institucích a kasinech, u softwarových vývojářů pro investiční společnosti či u krypto-měnových obchodů v Koreji, Bangladéši, Indii, Vietnamu, Indonésii, Kostarice, Malajsii, Polsku, Iráku, Etiopii, Keni, Nigérii, Uruguay, Gabonu, Thajsku a několika dalších státech. Poslední zaznamenaná aktivita byla společností Kaspersky Lab detekována v březnu tohoto roku, což značí, že útočníci nemají v plánu přestat.

I když si útočníci dávali velký pozor, aby nezanechali žádnou stopu, na jednom serveru, který napadli v rámci jiné kampaně, udělali vážnou chybu. Během přípravy na akci byl server nakonfigurován jako řídící a kontrolní centrum malwaru. V den konfigurace přicházelo první spojení z několika VPN/proxy serverů indikujících testovací fázi pro C&C sever. Zároveň ale došlo i k jednomu krátkému spojení, které pocházelo z velmi vzácné IP adresy pocházející ze Severní Koreji.

Podle expertů to může mít několik vysvětlení:

  • Útočníci se připojili z dané IP adresy v Severní Koreji.
  • Byla to někým jiným pečlivě naplánovaná krycí operace.
  • Někdo ze Severní Koreji omylem navštívil příkazové a kontrolní URL.

Skupina Lazarus masivně investuje do nových variant svého malwaru. Několik měsíců se její členové snažili vytvořit zákeřnou sadu nástrojů, která by byla bezpečnostními řešeními nedetekovatelná. Pokaždé když se o to ale pokusili, byli odhaleni specialisty Kaspersky Lab, kteří identifikovali unikátní charakteristické rysy jejich kódu. Na jejich základě pak následně mohli sledovat nové případy. V současnosti se kyberzločinci opět odmlčeli, což pravděpodobně znamená, že pracují na vylepšení svého arzenálu.

Aby Kaspersky Lab pomohla dalším organizacím zjistit, zda v jejich firemní síti nejsou přítomné stopy těchto útoků, vydává indikátory napadení označované IoC (Indicators of Compromise). Více informací se dozvíte na stránce Securelist.com.

Společnost Kaspersky Lab také všem organizacím důrazně doporučuje, aby provedly důkladný sken svých sítí. Pokud detekují stopy malwaru Lazarus, měly by infekci odstranit a nahlásit toto neoprávněné narušení příslušným úřadům.

 

Více informací o finančních útocích skupiny Lazarus se dočtete v příspěvku na blogu Securelist.com.