#CyberFiles Grupul Lazarus si jaful financiar al secolului pe ruta cibernetica

Luni, 04 Noiembrie 2019, ora 10:32
3570 citiri
#CyberFiles Grupul Lazarus si jaful financiar al secolului pe ruta cibernetica
Foto: Pixabay

Celebru pentru furtul a 81 de milioane de dolari din Banca Centrala a Bangladesh-ului, in urma cu trei ani, atacul Lazarus se prezinta ca un malware care a facut "cariera" prin atacurile indreptate catre institutii financiare, cazinouri, companii care opereaza cu criptomonede si dezvoltatori de software pentru companii de investitii.

Aparuti din neant, ca orice atacatori cibernetici, membrii gruparii Lazarus au reusit sa pacaleasca retele de securitate considerate sofisticate pana la un moment dat. In cele din urma, infractorii au fost deconspirati.

Jaful record si metodele de intruziune

Inainte ca expertii de la Kaspersky sa publice rezultatele propriei cercetari pe subiectul Lazarus, in 2017, activitatea acestui grup se derulase deja timp de un an. Cu toata grija de a ascunde orice urma, cel putin un server pe care l-au spart intr-o alta campanie continea in log-uri conexiuni de la IP-uri din Coreea de Nord, fapt care i-a determinat pe cercetatori sa creada fie ca atacatorii ar putea proveni din aceasta tara, fie ca altcineva a plantat un indiciu atent confectionat pentru a da vina pe Coreea de Nord sau ca un utilizator din acest stat a vizitat accidental URL-ul de comanda si control.

In cele din urma, prima ipoteza s-a dovedit cea mai plauzibila, fiind sustinuta de faptul ca atacatorii au facut o greseala destul de mare in timpul atacului lansat.

Grupul Lazarus este considerat responsabil de furtul a 81 de milioane de dolari din Banca Centrala a Bangladesh-ului, in 2016. Atacul a avut loc in luna februarie a acelui an, iar grupul necunoscut la acea vreme a incercat sa sustraga de fapt 851 de milioane de dolari, insa in cele din urma a trebuit sa se multumeasca cu putin peste 10% din total. "Ipotezele ulterioare au condus la ideea ca Lazarus poate fi responsabil. Pana atunci, grupul fusese cunoscut pentru o serie de atacuri asupra unor companii din industria producatoare, din media si industria financiara, incepand cu 2009", sustin analistii in securitate informatica ai Kaspersky.

La cateva luni dupa ce au fost descoperiti, creatorii din spatele Lazarus au incercat sa pregateasca o noua operatiune avand ca tinte institutiile financiare din sud-estul Asiei, dar au fost intrerupti de solutiile Kaspersky. Dupa alte cateva luni, au fost detectati in Europa si, din nou, impiedicati sa-si puna planurile in aplicare.

Conform datelor centralizate pe subiectul Lazarus, tintele preferate ale Grupului s-au dovedit a fi: institutiile financiare, cazinourile, companiile care opereaza cu criptomonede, dezvoltatorii de software pentru companii de investitii din tari ca Bangladesh, Coreea, India, Vietnam, Indonezia, Costa Rica, Malaezia, Polonia, Irak, Etiopia, Kenya, Nigeria, Uruguay, Gabon si Thailanda.

Care era modalitatea de actiune gandita de Lazarus? Din analiza expertilor a reiesit faptul ca vectorii de infectare erau fie accesul de la distanta, fie un atac de tip "Watering-hole", adica infectarea unui site extern, de pe care un angajat al bancii acceseaza virusul, care apoi va aduce cu el si alte componente. Ulterior, odata intrati "in paine", atacatorii ramaneau in retea luni intregi pentru a o studia. Ce s-a dovedit ingenios si periculos, in acelasi timp, a fost ca malware-ul care fura efectiv banii era capabil sa pacaleasca securitatea institutiilor financiare si sa genereze tranzactii in numele bancii.

Atacurile celor din Lazarus au durat mai multe saptamani. Numai in cazul incidentului din Asia de sud-est, din Bangladesh, atacatorii au avut acces la retea cu sapte luni inainte ca echipa de securitate a bancii sa solicite ajutor.

Experti: Grupul Lazarus investeste masiv in noi variante ale programelor malware

In luna mai a anului 2017, in plina agitatie determinata de atacurile de ransmoware WannaCry, specialistii din cadrul mai multor echipe de securitate cibernetica au readus in discutie Grupul Lazarus.

Astfel, analistii din echipa globala de cercetare si analiza (GReAT) a Kaspersky mentionau ca un cercetator in securitate de la Google a publicat pe Twitter o mostra ce arata o posibila legatura intre atacurile ransomware WannaCry, care au lovit mii de organizatii si utilizatori individuali din toata lumea, si programul malware atribuit grupului Lazarus, responsabil pentru atacuri de amploare asupra unor organizatii guvernamentale si asupra unor institutii media si financiare.

Se amintea, la vremea respectiva, despre cele mai mari operatiuni legate de Lazarus, si care au inclus atat atacurile impotriva Sony Pictures, din 2014, cat si jaful de la Banca Centrala din Bangladesh din 2016, precum si o serie de atacuri similare din 2017.

"Grupul Lazarus investeste masiv in noi variante ale programelor lor malware, iar timp de cateva luni au incercat sa creeze un set de instrumente care ar fi invizibile pentru sistemele de securitate. Specialistii (...) au reusit, insa, sa identifice elementele specifice din modul in care acestia isi creau codurile, iar produsele companiei detecteaza si blocheaza malware-ul folosit de gruparea Lazarus", nota Kaspersky.

Pe acelasi subiect, expertii Bitdefender afirmau ca atacurile care au avut ca tinta companii internationale cu baze mari de date ale clientilor fac parte dintr-un tipar de actiuni cu un scop bine stabilit.

"Nu trecuse nicio zi de la atacul asupra Sony, ca acelasi grup de hackeri (Lazarus, n.r.) a atacat reteaua de siguranta a lui Nintendo, un alt producator de jocuri de talie mondiala. In ciuda faptului ca, de aceasta data, pare ca atacatorii nu au furat niciun nume, adresa, data de nastere, e-mailuri, numere de telefon sau parole, ca in cazul Sony sau a multor alte companii, putem sa deducem totusi existenta unui tipar de actiuni dintr-o strategie care are ca ultim scop furtul unei cantitati cat mai mari de date confidentiale din servere care nu sunt protejate", a explicat Catalin Cosoi, seful Laboratorului de amenintari online al Bitdefender.

Atacul asupra companiei Sony, petrecut in 2014, a avut loc in timp ce compania se pregatea sa lanseze pelicula "Interviul", o satira la adresa conducerii nord-coreene, ce il are in rol principal pe Seth Rogen. Din cauza problemelor generate de atacul Lazarus, filmul a fost lansat cu intarziere.

Revenind la anul 2016, descoperim un nou atac al celor de la Lazarus impotriva Bancii Centrale a Rusiei, de unde au reusit sa extraga peste 30 de milioane de dolari. Informatia a fost dezvaluita, atunci, de postul american de televiziune CNN, care cita oficiali ai institutiei bancare. Expertii de la Symantec au afirmat, legat de acel atac, ca la originea acestuia ar fi fost o grupare extrem de sofisticata ce ar avea legaturi cu Coreea de Nord, si pe care ei au numit-o "Lazarus". Infractiunea parea sa respecte un model folosit la alte actiuni similare care au afectat sisteme financiare din mai multe tari, printre care Filipine, Ecuador, Vietnam sau Bangladesh.

Echipa globala de cercetare si analiza din cadrul Kaspersky dezvaluie, in august 2018, o noua operatiune declansata de catre Grupul Lazarus si care a vizat furtul de criptomonede. Avansul tehnologic in materie de tranzactii financiare se pare ca nu i-a intimidat pe atacatori care au gasit astfel o noua metoda de furt, denumita AppleJeus. Prin intermediul acestui troian, atacatorii au patruns in reteaua unei case de schimb de criptomonede.

AppleJeus se comporta ca un modul aflat in recunoastere: mai intai colecta informatii generale despre computerul pe care a fost instalat, dupa care trimitea aceste date catre serverul de comanda si control.

"Daca atacatorii decid ca merita sa fie atacat acel computer, codul infectat revine sub forma unei actualizari. Aceasta instaleaza un troian cunoscut ca Fallchill, un instrument vechi pe care grupul Lazarus a inceput recent sa-l refoloseasca (...) In momentul instalarii, troianul Fallchill le ofera atacatorilor acces aproape nelimitat la computer, permitandu-le sa fure informatii financiare valoroase sau sa lanseze alte instrumente in acest scop", explicau, la momentul respectiv, specialistii.

Ca vorbim despre informatii cu caracter personal sau despre sume valoroase de bani, sustrase din conturile bancilor, in orice situatie Lazarus si-a pregatit temeinic fiecare atac.

Cu toate acestea, pe durata mai multor ani, au existat si puncte terminus ale operatiunilor, determinate de metodele de contraatac gasite de catre expertii in securitate cibernetica. Cel mai probabil, Lazarus nu va lasa treaba neterminata si va incerca sa inoveze pentru a trece la urmatorul nivel.

#atacuri cibernetice, #grupul Lazarus, #jaful secolului cibernetica , #Internet hacking