Krádež z Centrální bangladéšské banky byla jednou z vůbec největších a nejúspěšnějších akcí kybernetického zločinu.
Po více než ročním vyšetřování uveřejnila společnost Kaspersky Lab výsledky svého šetření aktivit skupiny Lazarus. Jedná se o hackerskou skupinu, která pravděpodobně stála za krádeží 81 milionů dolarů z Centrální bangladéšské banky v roce 2016.
Získané znalosti údajně pomohly odhalit a překazit minimálně další dva útoky, které měly za cíl ukrást finančním institucím velké peněžní obnosy.
V únoru loňského roku se pokusila (v té době neznámá) skupina hackerů ukrást 851 milionů dolarů z Centrální bangladéšské banky, přičemž se jí podařilo převést 81 milionů dolarů. Tento čin představuje jednu z největších a nejúspěšnějších kybernetických krádeží vůbec. Následné vyšetřován odhalilo, že by nejpravděpodobnějším pachatelem mohla být skupina Lazarus, která od roku 2009 prováděla pod útoky na výrobní podniky, média a finanční instituce přinejmenším v 18 státech.
Taktika skupiny
Na základě výsledků forenzní analýzy útoků odborníci Kaspersky Lab rekonstruují taktiku skupiny Lazarus.
Počáteční infikace: K prolomení dojde prostřednictvím jediného systému uvnitř banky. Jakmile malware pronikne dovnitř, ihned stáhne další komponenty.
Vybudování základny: Poté kyberzločinci rozšiřují své kódy do dalších bankovních systémů a nasadí persistentní backdoor.
Interní průzkum: V následujících dnech a týdnech skupina zkoumá síťové prostředí a identifikuje cenné zdroje. Takovým zdrojem může být záložní server, kam se ukládají autentifikační informace, e-mailový server nebo celý řadič domény s přístupem do každé části společnosti. V neposlední řadě mohou být cenným zdrojem servery ukládající a zpracovávající záznamy o finančních transakcích.
Útok a krádež: Na závěr nasadí speciální malware schopný obejít bezpečnostní mechanismy interního finančního softwaru a provedou jménem banky podvodné transakce.
Části malwaru vztahující se ke skupině Lazarus objevily ve finančních institucích a kasinech, u softwarových vývojářů pro investiční společnosti či u krypto-měnových obchodů v Koreji, Bangladéši, Indii, Vietnamu, Indonésii, Kostarice, Malajsii, Polsku, Iráku, Etiopii, Keni, Nigérii, Uruguay, Gabonu, Thajsku a několika dalších státech. Poslední zaznamenaná aktivita byla společností Kaspersky Lab detekována v březnu tohoto roku.
I když si útočníci dávali velký pozor, aby nezanechali žádnou stopu, na jednom serveru, který napadli v rámci jiné kampaně, udělali vážnou chybu. Během přípravy na akci byl server nakonfigurován jako řídící a kontrolní centrum malwaru. V den konfigurace přicházelo první spojení z několika VPN/proxy serverů indikujících testovací fázi pro C&C sever. Zároveň ale došlo i k jednomu krátkému spojení, které pocházelo z velmi vzácné IP adresy pocházející ze Severní Koreji.
Podle expertů to může mít několik vysvětlení:
Útočníci se připojili z dané IP adresy v Severní Koreji.
Byla to někým jiným pečlivě naplánovaná krycí operace.
Někdo ze Severní Koreji omylem navštívil URL řídícího serveru.