Сложнейшие
атаки, похищенные миллионы и тысячи скомпрометированных аккаунтов —
происхождение одной из самых профессиональных хакерских группировок,
возможно, раскрыто. О том, что сотворили преступники и кто их вычислил —
в программе Вести.Нет
За хакерами из кибергруппировки Lazarus, вероятно, стоит Северная
Корея. Такой вывод следует из доклада "Лаборатории Касперского", который
был представлен на конференции Security Analyst Summit. Lazarus — одна
из самых известных в определенных кругах хакерских групп, которая с 2011
года промышляет кибершпионажем и киберсаботажем. И, скорее всего,
ответственна за кражу 81 миллиона долларов из центрального банка
Бангладеш в 2016 году, – инцидент стал едва ли не крупнейшим в истории.
По крайней мере, из успешных.
"Лаборатория Касперского отслеживала после атаки на Бангладеш все
активности с использованием того же самого вредоносного кода, и где-то
летом 2016 г. к нам поступил тревожный звоночек, что появились новые
файлы, они были использованы в одном из банков Юго-Восточной Азии. И мы
поняли, что готовится новая операция, по сути, возможно, похожая на
Бангладеш. Нам удалось связаться с банком, мы установили контакт и
помогли им, во-первых, определить машины, компьютеры, которые были
заражены, изолировать их, провести полный анализ, что с ними случилось,
как атакующие проникли на них, и помочь им предотвратить атаку", —
рассказал Виталий Камлюк, руководитель исследовательского центра
"Лаборатории Касперского" в Азиатско-Тихоокеанском регионе.
По данным "Лаборатории Касперского", эта атака готовилась довольно
долго, хакеры проникли в банковскую сеть как минимум за семь месяцев до
того, как был распознан вредоносный код. Несколько месяцев специалисты
лаборатории изучали зараженные компьютеры и собирали байты-следы,
оставленные хакерами. А в январе этого года появилась новая волна атак
на банки — на этот раз в Европе. В процессе расследования этого случая
на одном из взломанных европейских серверов, который Lazarus
использовала в качестве командного центра, эксперты зафиксировали один
запрос от редкого IP-адреса в Северной Корее.
"В том случае, когда европейский сервер управления вредоносными
программами и на нём появился северокорейский IP-адрес, на том же
сервере находилась программное обеспечение, которое занималось майнингом
или добычей криптовалюты. И она была настолько тяжелым и настолько
интенсивно использовала ресурсы компьютера, что он просто перестал быть
доступен и оператор потерял управление. Он не смог даже уничтожить и
затереть следы своего присутствия, удалить файл этого веб-сервера, где
появился северокорейский адрес. Только благодаря этому мы собственно и
обладаем теми уликами, о которых мы сейчас говорим", — продолжил Виталий
Камлюк, руководитель исследовательского центра "Лаборатории
Касперского" в Азиатско-Тихоокеанском регионе.
Это стало самой важной уликой, доказывающей причастность этой страны к
хакерской группировке Lazarus. Среди косвенных также называются
совпадение часового пояса Северной Кореи с активностью атакущих, а также
явные попытки скрыть использование корейской версии операционной
системы Windows, в которой разрабатывался вредоносный код.
"Мы не торопимся с громкими заявлениями, мы не обвиняем Северную
Корею, но однозначно северная Корея принимала какое-то участие, играла
очень важную роль в этой атаки. Возможно, существует небольшая
вероятность, что кто-то пытается подставить Северную Корею. Но в этом
случае это будет очень дорогостоящая операция, если это действительно
цель. Другой вариант, что кто-то помогает Северной Корее делать эту
операцию, проводить операцию. И это объясняет — почему используется
английский язык в сообщениях вредоносных программ. Это объясняет то, как
они смогли развить такую сложную систему атак и систему построения
вредоносного кода, который достаточно запутан. Либо, если это
действительно Северная Корея – это значит, что мы что-то не знаем о том,
каковы их интересы и мотивации в поиске вот этой незаконной прибыли
путём кражи денег или перевода денег. И кое-что не знаем об их
технологическом развитии", — признался Виталий Камлюк, руководитель
исследовательского центра "Лаборатории Касперского" в
Азиатско-Тихоокеанском регионе.
Стоит сказать, что впервые Северную Корею и группу Лазарус связали
вместе после крупнейшей хакерской атаки на компанию Sony, в процессе
которой злоумышленники украли у корпорации личные данные 47 тыс.
работников и кинозвезд, обрушили ряд сервисов и серверов (среди которых
был и PSN). В качестве мотива для атаки ФБР называли неадекватную
реакцию властей Северной Кореи на выход комедийного фильма "Интервью" с
Сетом Рогеном и Джеймсом Франко в главных ролях. В фильме, кстати
говоря, погибает лидер страны Ким Чен Ын.
Правительство Северной Кореи действительно тогда оскорбилось и обещало наказать создателей картины.
