Rambler's Top100
Все новости Новости отрасли

Можно ждать новых атак от группировки Lazarus

05 апреля 2017

Расследование преступления хакеров, укравших 81 миллион долларов из центрального банка Бангладеш, показало, что преступники находятся "в боевой готовности" и ждут случая, чтобы осуществить новое хищение.

«Лаборатория Касперского» рассказала на конференции Security Analyst Summit о результатах расследования деятельности кибергруппировки Lazarus. Это известная банда хакеров, предположительно ответственная за кражу 81 миллиона долларов США из Банка Бангладеш в 2016 году, — инцидент стал одним из самых крупных и успешных киберограблений за всю историю. Благодаря расследованию, длившемуся более года, экспертам удалось детально изучить методы и инструменты группировки и предотвратить по меньшей мере два новых хищения крупных сумм у финансовых учреждений.

После атаки на Банк Бангладеш злоумышленники затаились на несколько месяцев и готовились к новому нападению. Они сумели обосноваться в корпоративной сети одного из банков Юго-Восточной Азии, но были обнаружены защитным решением «Лаборатории Касперского». Последовавшее за этим расследование заставило Lazarus на некоторое время приостановить операцию, после чего вектор атаки сместился в Европу. Однако их попытки вновь были пресечены с помощью продуктов «Лаборатории Касперского», а также благодаря быстрому реагированию и расследованию инцидентов.

Атаки, которые исследовала «Лаборатория Касперского», длились неделями, однако в скрытом режиме хакеры могли вести работу месяцами. Именно так произошло в случае инцидента в Юго-Восточной Азии. Злоумышленники проникли в банковскую сеть как минимум за семь месяцев до того, как служба безопасности банка обратилась за помощью к специалистам.

В большинстве случаев атакующие были осторожны и уничтожали следы проникновения. Тем не менее на одном из взломанных серверов, который Lazarus использовала в качестве командного центра, эксперты обнаружили важный артефакт. Первые подключения к серверу осуществлялись через VPN и прокси, и отследить их местонахождение было практически невозможно. Однако эксперты также зафиксировали один запрос от редкого IP-адреса в Северной Корее. По их мнению, это может объясняться одной из следующих причин:

  • атакующие подключались к серверу с этого адреса из Северной Кореи;
  • подключение было «ложным флагом», призванным запутать экспертов;
  • кто-то из жителей Северной Кореи случайно посетил адрес сервера.

За последние два года следы вредоносного ПО, связанного с Lazarus, были обнаружены в 18 странах. Жертвами атак стали финансовые организации, казино, компании, специализирующиеся на разработке ПО для инвестиционных фирм, и представители криптовалютного бизнеса. Последний всплеск активности Lazarus датируется мартом 2017 года: это означает, что группировка не собирается останавливаться.

«Мы уверены, что скоро снова дадут о себе знать. Подобные атаки показывают, что даже мелкие недочеты в конфигурации сети могут привести к серьезным брешам в безопасности. Эти «дыры» могут стоить бизнесу сотен миллионов долларов. Поэтому мы надеемся, что руководители банков, казино и компаний, разрабатывающих ПО для инвестиционных компаний, с должным вниманием отнесутся к угрозе, исходящей от Lazarus», — прокомментировал итоги расследования Виталий Камлюк, руководитель исследовательского центра «Лаборатории Касперского» в Азиатско-Тихоокеанском регионе.

За время расследования эксперты «Лаборатории Касперского» обнаружили более 150 образцов вредоносного ПО, имеющего отношение к группе. Эксперты  рекомендуют всем компаниям проверить корпоративную сеть на наличие признаков атаки. В случае их обнаружения следует очистить систему с помощью защитного решения, а также сообщить об атаке в правоохранительные органы и группы реагирования на инциденты информационной безопасности.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.