Поймай их, если сможешь: как эксперты ищут хакеров, укравших 81 миллион долларов из центрального банка БангладешИсточник: kaspersky.ru
"Лаборатория Касперского" рассказала на конференции Security Analyst Summit о результатах расследования деятельности кибергруппировки Lazarus. Это известная банда хакеров, предположительно ответственная за кражу 81 миллиона долларов США из Банка Бангладеш в 2016 году, - инцидент стал одним из самых крупных и успешных киберограблений за всю историю. Благодаря расследованию, длившемуся более года, экспертам удалось детально изучить методы и инструменты группировки и предотвратить по меньшей мере два новых хищения крупных сумм у финансовых учреждений. После атаки на Банк Бангладеш злоумышленники затаились на несколько месяцев и готовились к новому нападению. Они сумели обосноваться в корпоративной сети одного из банков Юго-Восточной Азии, но были обнаружены защитным решением "Лаборатории Касперского". Последовавшее за этим расследование заставило Lazarus на некоторое время приостановить операцию, после чего вектор атаки сместился в Европу. Однако их попытки вновь были пресечены с помощью продуктов "Лаборатории Касперского", а также благодаря быстрому реагированию и расследованию инцидентов. Атаки, которые исследовала "Лаборатория Касперского", длились неделями, однако в скрытом режиме хакеры могли вести работу месяцами. Именно так произошло в случае инцидента в Юго-Восточной Азии. Злоумышленники проникли в банковскую сеть как минимум за семь месяцев до того, как служба безопасности банка обратилась за помощью к специалистам. В большинстве случаев атакующие были осторожны и уничтожали следы проникновения. Тем не менее на одном из взломанных серверов, который Lazarus использовала в качестве командного центра, эксперты обнаружили важный артефакт. Первые подключения к серверу осуществлялись через VPN и прокси, и отследить их местонахождение было практически невозможно. Однако эксперты также зафиксировали один запрос от редкого IP-адреса в Северной Корее. По их мнению, это может объясняться одной из следующих причин:
За последние два года следы вредоносного ПО, связанного с Lazarus, были обнаружены в 18 странах. Жертвами атак стали финансовые организации, казино, компании, специализирующиеся на разработке ПО для инвестиционных фирм, и представители криптовалютного бизнеса. Последний всплеск активности Lazarus датируется мартом 2017 года: это означает, что группировка не собирается останавливаться. "Мы уверены, что Lazarus скоро снова дадут о себе знать. Подобные атаки показывают, что даже мелкие недочеты в конфигурации сети могут привести к серьезным брешам в безопасности. Эти "дыры" могут стоить бизнесу сотен миллионов долларов. Поэтому мы надеемся, что руководители банков, казино и компаний, разрабатывающих ПО для инвестиционных компаний, с должным вниманием отнесутся к угрозе, исходящей от Lazarus", - прокомментировал итоги расследования Виталий Камлюк, руководитель исследовательского центра "Лаборатории Касперского" в Азиатско-Тихоокеанском регионе. За время расследования эксперты "Лаборатории Касперского" обнаружили более 150 образцов вредоносного ПО, имеющего отношение к группе. Все они успешно нейтрализуются защитными решениями "Лаборатории Касперского". Полный перечень зловредов, а также список критически важных показателей компрометации (Indicators of Compromise, IOC), который поможет компаниям обнаружить следы атаки на свою корпоративную сеть, доступны в отчете "Лаборатории Касперского": https://securelist.com/blog/sas/77908/lazarus-under-the-hood. "Лаборатория Касперского" рекомендует всем компаниям проверить корпоративную сеть на наличие признаков атаки. В случае их обнаружения следует очистить систему с помощью защитного решения, а также сообщить об атаке в правоохранительные органы и группы реагирования на инциденты информационной безопасности. Интернет-магазин
|