Поймай их, если сможешь: как эксперты ищут хакеров, укравших 81 миллион долларов из центрального банка Бангладеш

Дата публикации: 4 апреля 2017

Поймай их, если сможешь: как эксперты ищут хакеров, укравших 81 миллион долларов из центрального банка Бангладеш

«Лаборатория Касперского» рассказала на конференции Security Analyst Summit о результатах расследования деятельности кибергруппировки Lazarus. 

Это известная банда хакеров, предположительно ответственная за кражу 81 миллиона долларов США из Банка Бангладеш в 2016 году, — инцидент стал одним из самых крупных и успешных киберограблений за всю историю. Благодаря расследованию, длившемуся более года, экспертам удалось детально изучить методы и инструменты группировки и предотвратить по меньшей мере два новых хищения крупных сумм у финансовых учреждений.

После атаки на Банк Бангладеш злоумышленники затаились на несколько месяцев и готовились к новому нападению. Они сумели обосноваться в корпоративной сети одного из банков Юго-Восточной Азии, но были обнаружены защитным решением «Лаборатории Касперского». Последовавшее за этим расследование заставило Lazarus на некоторое время приостановить операцию, после чего вектор атаки сместился в Европу. Однако их попытки вновь были пресечены с помощью продуктов «Лаборатории Касперского», а также благодаря быстрому реагированию и расследованию инцидентов.

Атаки, которые исследовала «Лаборатория Касперского», длились неделями, однако в скрытом режиме хакеры могли вести работу месяцами. Именно так произошло в случае инцидента в Юго-Восточной Азии. Злоумышленники проникли в банковскую сеть как минимум за семь месяцев до того, как служба безопасности банка обратилась за помощью к специалистам.

В большинстве случаев атакующие были осторожны и уничтожали следы проникновения. Тем не менее на одном из взломанных серверов, который Lazarus использовала в качестве командного центра, эксперты обнаружили важный артефакт. Первые подключения к серверу осуществлялись через VPN и прокси, и отследить их местонахождение было практически невозможно. Однако эксперты также зафиксировали один запрос от редкого IP-адреса в Северной Корее. По их мнению, это может объясняться одной из следующих причин:

  • атакующие подключались к серверу с этого адреса из Северной Кореи;
  • подключение было «ложным флагом», призванным запутать экспертов;
  • кто-то из жителей Северной Кореи случайно посетил адрес сервера.

За последние два года следы вредоносного ПО, связанного с Lazarus, были обнаружены в 18 странах. Жертвами атак стали финансовые организации, казино, компании, специализирующиеся на разработке ПО для инвестиционных фирм, и представители криптовалютного бизнеса. Последний всплеск активности Lazarus датируется мартом 2017 года: это означает, что группировка не собирается останавливаться.

Мы уверены, что Lazarus скоро снова дадут о себе знать. Подобные атаки показывают, что даже мелкие недочеты в конфигурации сети могут привести к серьезным брешам в безопасности.

Эти «дыры» могут стоить бизнесу сотен миллионов долларов. Поэтому мы надеемся, что руководители банков, казино и компаний, разрабатывающих ПО для инвестиционных компаний, с должным вниманием отнесутся к угрозе, исходящей от Lazarus.

Виталий Камлюк

ВиталийКамлюк

«Лаборатория Касперского»в Азиатско-Тихоокеанском регионеРуководитель исследовательского центра

За время расследования эксперты «Лаборатории Касперского» обнаружили более 150 образцов вредоносного ПО, имеющего отношение к группе. Все они успешно нейтрализуются защитными решениями «Лаборатории Касперского». Полный перечень зловредов, а также список критически важных показателей компрометации (Indicators of Compromise, IOC), который поможет компаниям обнаружить следы атаки на свою корпоративную сеть, доступны в отчете «Лаборатории Касперского»: https://securelist.com/blog/sas/77908/lazarus-under-the-hood.

«Лаборатория Касперского» рекомендует всем компаниям проверить корпоративную сеть на наличие признаков атаки. В случае их обнаружения следует очистить систему с помощью защитного решения, а также сообщить об атаке в правоохранительные органы и группы реагирования на инциденты информационной безопасности.