A Kaspersky Lab ismertette a Lazarus hekkercsoport – amelyet felelőssé tesznek a tavalyi bangladesi központi bank elleni 81 millió dollár összértékű rablásért – ügyében folyt több mint egyéves vizsgálat eredményeit.
A bűnügyi elemzés közben a Kaspersky Lab összesítette a Lazarus támadási módszertanát, hogy milyen kártékony programokat és stratégiát használ a pénzügyi intézmények, kaszinók, befektetési társaságok fejlesztési részlegei és/vagy digitálispénznem-vállalkozások elleni támadások közben. Ez az összesített tudás segített a cég szakembereinek, hogy megállítsanak két hasonló támadást, amelynek célpontjai szintén pénzintézetek voltak.
Tavaly februárban egy (akkor még azonosítatlan) hackercsoport megkísérelt ellopni 851 millió dollárt, az akció végén végül 81 millió dollárhoz jutott hozzá és utalt át a bankszámláira a bangladesi központi bankból. A művelet napjaink legsikeresebb kibertámadásaként vonult be a történelembe. A vizsgálatok eredményei – amelyben más IT-biztonsági cégek mellett a Kaspersky Lab is tevékenyen részt vett – azt mutatják, hogy a háttérben az ismert Lazarus-csoport állhat, amely a többi között felelős olyan rendszeres pusztító támadásokért, amelyeket gyártó cégek, média- és pénzintézetek ellen indítottak világszerte 18 országban immár 8 éve folyamatosan.
Annak ellenére, hogy hónapokig tartott csend követte a bangladesi támadást, a Lazarus-csoport aktívan készítette elő új műveletét, feltörendő más bankokat; sikeresen behatolt egy délkelet-ázsiai pénzintézet rendszerébe. Miután a Kasperksy Lab termékei eredményesen blokkolták a csoport tevékenységét, néhány hónapos pihenő után a díszes társaság úgy döntött, hogy átköltözik Európába. Szerencsére, a támadó kísérleteiket félbeszakították a Kaspersky Lab biztonsági szoftverei, valamint a gyors válaszreakció, a sokrétű biztonsági elemzés, és a kibertanácsadó cég vezető kutatóinak mérnöki támogatása.
Az igazságügyi szakértői elemzés eredményei alapján a Kaspersky Lab kutatói rekonstruálták a csoport működési modelljét:
- Kezdeti kompromisszum: egy bankrendszer feltörhető akár egy távolról is elérhető sebezhető kóddal (pl. egy web-szerveren), akár egy honlapon elhelyezett exploit segítségével, amit a gyanútlan áldozat (pl. banki alkalmazott) a weblap-látogatás közben (akaratlanul) a számítógépére telepített.
- Beépülés: ezután a csoport a bank rendszerében vándorol és állandó backdoor-okat (hátsóajtókat) épít, amelyek lehetővé teszik számára a szabad mozgást.
- Belső felderítés: ezt követően a csoport napokat vagy heteket is eltölt a hálózat tanulmányozásával, hogy azonosítani tudja az értékes erőforrásokat. Ilyenek lehetnek pl. a backup-szerver, ahol a hitelesítési információkat tárolják; a levelező-szerver; a teljes tartományvezérlő, amely rendelkezik az „ajtókat” nyitó „kulcsokkal”, valamint azok a szerverek, amelyek a pénzügyi tranzakciók adatait tárolják.
- Végrehajtás: végül a betörők által telepített speciális malware képes behatolni a pénzügyi szoftverek belső biztonsági funkcióiba, és ily módon hamis tranzakciókat indítani.
A Kaspersky Lab által vizsgált támadások hetekig tartottak, miközben a támadók képesek hónapokig észrevétlenül működni. A délkelet-ázsiai támadás elemzése közben a szakértők felfedezték, hogy a hekkerek 7 hónappal azelőtt törték fel a rendszert, minthogy a bank biztonsági csapata segítséget kért volna. Sőt, valószínűleg már a bangladesi incidens előtt volt hozzáférésük a hálózathoz.
A Kaspersky Lab feljegyzései szerint 2015. december óta észlelhetőek a Lazarus-csoport kártékony program-mintái számos pénzintézet, kaszinó számára fejlesztett szoftverek, valamint digitális pénznem-vállalkozások hálózatában, Dél-Koreában, Bangladesben, Indiában, Vietnamban, Indonéziában, Costa Ricán, Malajziában, Lengyelországban, Irakban, Etiópiában, Kenyában, Nigériában, Uruguayon, Gabonban, Thaiföldön és még sok országban. A Kaspersky Lab által tavaly márciusban észlelt minták alapján valószínűsíthető, hogy a csoportnak nem áll szándékában megállni.
Annak ellenére, hogy a támadók elég óvatosak voltak és törölték a nyomokat, egy általuk feltört szerveren még ott felejtettek egy mintát. Felkészülés közben a szervert a rosszindulatú-program C&C központjaként konfigurálták. A konfiguráció első csatlakozásai néhány VPN/proxy-szerverről érkeztek, tesztelve a C&C szervert. Ugyanakkor volt egy rövid csatlakozás egy nagyon ritka észak-koreai IP-címről.
A kutatók szerint ez a csatlakozás az alábbiakat jelentheti:
# A támadók erről az észak-koreai IP-címről csatlakoznak a rendszerre
# Ez egy gondosan megtervezett hamis művelet volt
# Valaki Észak-Koreában véletlenül meglátogatta a C&C URL-jét