Lazaurus pod lupou

Pavel Houser , 04. duben 2017 11:11 0 komentářů
Rubriky: Security, Internet

Krádež z Centrální bangladéšské banky byla jednou z vůbec největších a nejúspěšnějších akcí kybernetického zločinu.

Po více než ročním vyšetřování uveřejnila společnost Kaspersky Lab výsledky svého šetření aktivit skupiny Lazarus. Jedná se o hackerskou skupinu, která pravděpodobně stála za krádeží 81 milionů dolarů z Centrální bangladéšské banky v roce 2016.

Získané znalosti údajně pomohly odhalit a překazit minimálně další dva útoky, které měly za cíl ukrást finančním institucím velké peněžní obnosy.

V únoru loňského roku se pokusila (v té době neznámá) skupina hackerů ukrást 851 milionů dolarů z Centrální bangladéšské banky, přičemž se jí podařilo převést 81 milionů dolarů. Tento čin představuje jednu z největších a nejúspěšnějších kybernetických krádeží vůbec. Následné vyšetřován odhalilo, že by nejpravděpodobnějším pachatelem mohla být skupina Lazarus, která od roku 2009 prováděla pod útoky na výrobní podniky, média a finanční instituce přinejmenším v 18 státech.

Taktika skupiny

Na základě výsledků forenzní analýzy útoků odborníci Kaspersky Lab rekonstruují taktiku skupiny Lazarus.

Počáteční infikace: K prolomení dojde prostřednictvím jediného systému uvnitř banky. Jakmile malware pronikne dovnitř, ihned stáhne další komponenty.

Vybudování základny: Poté kyberzločinci rozšiřují své kódy do dalších bankovních systémů a nasadí persistentní backdoor.

Interní průzkum: V následujících dnech a týdnech skupina zkoumá síťové prostředí a identifikuje cenné zdroje. Takovým zdrojem může být záložní server, kam se ukládají autentifikační informace, e-mailový server nebo celý řadič domény s přístupem do každé části společnosti. V neposlední řadě mohou být cenným zdrojem servery ukládající a zpracovávající záznamy o finančních transakcích.

Útok a krádež: Na závěr nasadí speciální malware schopný obejít bezpečnostní mechanismy interního finančního softwaru a provedou jménem banky podvodné transakce.

Části malwaru vztahující se ke skupině Lazarus objevily ve finančních institucích a kasinech, u softwarových vývojářů pro investiční společnosti či u krypto-měnových obchodů v Koreji, Bangladéši, Indii, Vietnamu, Indonésii, Kostarice, Malajsii, Polsku, Iráku, Etiopii, Keni, Nigérii, Uruguay, Gabonu, Thajsku a několika dalších státech. Poslední zaznamenaná aktivita byla společností Kaspersky Lab detekována v březnu tohoto roku.

I když si útočníci dávali velký pozor, aby nezanechali žádnou stopu, na jednom serveru, který napadli v rámci jiné kampaně, udělali vážnou chybu. Během přípravy na akci byl server nakonfigurován jako řídící a kontrolní centrum malwaru. V den konfigurace přicházelo první spojení z několika VPN/proxy serverů indikujících testovací fázi pro C&C sever. Zároveň ale došlo i k jednomu krátkému spojení, které pocházelo z velmi vzácné IP adresy pocházející ze Severní Koreji.

Podle expertů to může mít několik vysvětlení:

Útočníci se připojili z dané IP adresy v Severní Koreji.

Byla to někým jiným pečlivě naplánovaná krycí operace.

Někdo ze Severní Koreji omylem navštívil URL řídícího serveru.


Komentáře

RSS 

Komentujeme

Agilita a devops, přepracování a vyhoření

Pavel Houser , 12. červenec 2018 12:30

Michael Cote na The Register upozorňuje na častý problém: nové „agilní“ metody vývoje, všechny příst...

Více







RSS 

Zprávičky

Coca-Cola připojí 300.000 chladicích boxů v Evropě k internetu

ČTK , 22. červenec 2018 12:56

Smart chladicí boxy umožňují i interakci prostřednictvím mobilních aplikací....

Více 0 komentářů

Hackeři ukradli zdravotní záznamy 1,5 milionu Singapurců

ČTK , 20. červenec 2018 14:37

Cílem útoku bylo prý získat podrobné údaje o singapurském premiérovi a také o lécích, které užíval....

Více 0 komentářů

Ericsson je díky úsporám v mírném zisku

ČTK , 20. červenec 2018 11:36

Švédský podnik se v poslední době potýkal se slábnoucí poptávkou telekomunikačních operátorů....

Více 0 komentářů

Kalendář

04. 08.

09. 08.
Black Hat USA 2018
09. 08.

12. 08.
DEF CON 26
06. 09.

07. 09.
Humusoft Technical Computing Camp 2018

Starší zprávičky

Čip v občanském průkazu si zatím aktivovala třetina lidí

ČTK , 20. červenec 2018 08:00

Prostřednictvím Portálu občana lidé mají přístup např. k údajům o důchodu nebo si mohou pořídit výpi...

Více 0 komentářů

Red Hat Ansible Engine přináší další automatizaci cloudu

Pavel Houser , 19. červenec 2018 13:52

Nejnovější verze platformy Red Hat Ansible Engine 2.6 rozšiřuje automatizaci cloudů AWS, Google Clou...

Více 0 komentářů

Samsung chystá na příští rok telefon se sklopným displejem

ČTK , 19. červenec 2018 10:00

Displej půjde složit na polovinu jako peněženku. Ve složeném stavu je na přední straně přístroje men...

Více 0 komentářů

Internet Mall snížil ztrátu, tržby mu vzrostly na 7,2 miliardy Kč

ČTK , 18. červenec 2018 17:29

Internet Mall mj. investuje do distribučního centra v Jirnech u Prahy, které by mělo sloužit 7 střed...

Více 0 komentářů