Специалисты Group-IB доказали связь Lazarus с Северной Кореей и изучили инструментарий группы

Рекомендуем почитать:

Xakep #299. Sysmon

Аналитики Group-IB представили развернутый отчет о деятельности хак-группы Lazarus и рассказали немало интересного.

Хакерская группа Lazarus (она же Dark Seoul) известна специалистам давно. Считается, что за Lazarus, предположительно, стоит Bureau 121 — одно из подразделений Разведывательного Управления Генштаба КНА (КНДР), отвечающего за проведение киберопераций.

Широкую известность группа приобрела благодаря атаке на Sony Pictures Entertainment, DDoS-атакам и взломами ресурсов государственных, военных, аэрокосмических учреждений в Южной Корее и США. В последние годы, в условиях возрастающего экономического давления на КНДР, вектор атак Lazarus сместился в сторону международных финансовых организаций.

Самая масштабная из атак произошла в феврале 2016 года — попытка украсть почти $1 млрд из центрального банка Бангладеш. Однако хакерам не удалось совершить «киберограбление века»: из-за ошибки в платежном документе они сумели похитить только $81 млн. В марте 2017 года представители ФБР и АНБ впервые подтвердили, что за атакой̆ на бангладешский Центробанк может стоять официальный Пхеньян. Сразу после этого на КНДР обрушились новые санкции — местные банки были отключены от системы SWIFT.

Спустя год после атаки на Центробанк Бангладеш, в феврале 2017 года, были скомпрометированы несколько банков в Польше. В ходе расследования специалисты, проанализировав код вредоносных программ, сошлись во мнении, что за этими атаками стоит группировка Lazarus.

«Мы собрали доказательства, однозначно подтверждающие причастность к этим атакам Северной Кореи: выявили и изучили всю инфраструктуру управления, используемую Lazarus, и определили северокорейские IP-адреса, непосредственно с которых осуществлялась атака. Из отчета, подготовленного по итогам нашего расследования, вы узнаете, как хакеры проникали в сеть банков, какие вредоносные программы использовали, и кого еще собирались атаковать», — пишет Дмитрий Волков, руководитель отдела расследований и сервиса киберразведки Threat Intelligence, сооснователь Group-IB.

Так, изучая инфраструктуру Lazarus, специалисты обнаружили, что подключение к последнему, третьему уровню серверов управления происходило с двух IP-адресов Северной Кореи: 210.52.109.22 и 175.45.178.222. Второй IP-адрес относится к району Potonggang в Пхеньяне, в котором располагается Национальная комиссия КНДР по обороне — высший военный орган страны, а также недостроенный Ryugyong Hotel.

Еще одно подтверждение причастности северокорейских хакеров было обнаружено благодаря анализу открытых источников информации. Специалисты обнаружили репортаж южнокорейского агентства «Arirang News», датированный 2016 годом. Репортаж рассказывал о расследовании, проведенном South Korea’s National Police Agency. В рамках расследования атаки северокорейских хакеров Dark Seoul Gang (одно из названий Lazarus) на южнокорейские телевизионные станции и банки были выявлены два IP-адреса злоумышленников: 175.45.178.19 и 175.45.178.97. Оба IP-адреса находятся в том же блоке IP-адресов, что и 175.45.178.222, который был обнаружен исследователями.

Кроме того, эксперты пишут, что начиная с 2016 года группа Lazarus предпринимала некоторые шаги, чтобы выдать себя за «русских хакеров», чем ввела в заблуждение некоторых исследователей:

в модуль Client_TrafficForwarder, отвечающий за пересылку сетевого трафика, были добавлены отладочные символы и строки с русскими словами, написанными на латинице для описания команд, которые может получить вредоносная программа от сервера управления;
использованные слова являются нехарактерными для носителя русского языка, а в случае с командой «poluchit» значение слова противоречит самому действию: Poluchit (отправить на C&C сетевой адрес текущего сервера);
для защиты исполняемых файлов был использован коммерческий протектор Enigma, разработанный русским автором;
эксплотты для Flash и Silverlight был позаимствован из наборов эксплойтов, созданных русскоговорящими хакерами.

Атаки на банки

Для атак на банки Lazarus разработали набор инструментов для управления скомпрометированными серверами и зараженными компьютерами, подготовили трехуровневую инфраструктуру серверов управления и скомпрометировали десятки крупных web-ресурсов.

Чтобы проникнуть в сети интересующих организаций, хакеры использовали метод watering hole: заражали малварью ресурсы, который часто посещают их потенциальные жертвы — сайты регуляторов, госучреждений. Так, Lazarus скомпрометировали сайты финансовых регуляторов в нескольких странах, посетителей которых они планировали атаковать. Вот только некоторые из них:

knf.gov.pl — Комиссия по финансовому надзору, Польша;
cnvb.gob.mx — Национальная банковская и фондовая комиссия Мексики;
brou.com.uy — Банк Восточной Республики Уругвай.

Изучив код на веб-сервере с эксплоитами специалисты обнаружили список из 255 диапазонов IP-адресов. Попытка заражения происходила только в том случае, если посетитель зашел на взломанный сайт из подсети с определенного списка диапазонов IP-адресов. Благодаря этому списку удалось составить список стран, которые интересовали атакующих.

Но только watering hole дело, конечно, не ограничилось. Также атакующие создали трехуровневую инфраструктуру, внутри которой пробрасывался шифрованный SSL-канал. При этом сетевое взаимодействие с атакованным компьютером осуществлялось только с сервера Layer 1, который выступал в роли командного сервера. А в некоторых случаях сервер Layer 1 вообще находился внутри организации — это позволяло снизить риск обнаружения. Доступ к серверам хакеры получили простым перебором паролей по RDP.

Также после атаки на Центральный банк Бангладеш в 2016 году Lazarus внесли изменения в свою тактику и модифицировали свой уникальный набор инструментов. В итоге на вооружении группы были:

Server_RAT — устанавливается на Windows-серверы для управления скомпрометированной инфраструктурой;
Server_TrafficForwarder — перенаправляет трафик с одного внешнего сервера на другой;
Backend_ Listener — поддерживает связь с серверами, где установлен Server_RAT, и принимает команды от атакующего;
Admin_Tool — административный инструмент, с помощью которого операторы отправляют команды на зараженные компьютеры;
SWIFT toolbox — используется для работы с программным обеспечением SWIFT. Включает в себя SWIFT Alliance software Files Hook и SWIFT transactions Information Harvester.

Инструментарий

Помимо создания многослойной структуры управления, хакеры разработали оригинальный набор инструментов для удаленного управления зараженными компьютерами.

Исследователи пишут, что главной особенностью являлось все то же стремление действовать скрытно, максимально затруднить расследование и анализ инструментов. Все инструменты Lazarus — модульные, и они доставлялись по частям только в те организации, которые представляли интерес. Чтобы дополнительно затруднить их анализ, все инструменты были зашифрованы. Аналитики подчеркивают, что ни на одном из этапов атак группировка не использовала 0-day эксплоиты.

Помимо скрытности, подобная модульная архитектура для доставки полезной нагрузки обеспечивает гибкость при разработке систем кибероружия. Это позволяет разделить работы по разработке между командами, а также обеспечить повторное использование программного кода. С подробным анализом арсенала хакеров можно ознакомиться в отчете Group-IB, а здесь мы приведем краткий список инструментов:

Recon — бекдор, который первым загружается на целевой компьютер в случае успешного выполнения эксплойтов. С помощью модуля Recon злоумышленники изучают систему, чтобы понять, представляет ли она интерес;
Dropper — извлекает и расшифровывает Loader, встраивает его в систему, а также извлекает Client_RAT;
Loader — используется для расшифровки и внедрения в легитимный процесс (например, в lsass.exe) полезной нагрузки: программ Client_RAT или Client_TrafficForwarder;
Client_TrafficForwarder — этот модуль устанавливался на один из зараженных компьютеров во внутренней сети атакованной организации по той же схеме, что и Client_RAT. Через него операторы взаимодействовали с компьютерами в локальной сети атакованной организации;
Client_RAT — дает полный контроль над целевой системой: позволяет анализировать систему, загружать и запускать файлы, передавать данные с зараженного компьютера на С&С серверы.

«Учитывая усиление экономических санкций в отношении КНДР, а также возросшую геополитическую напряженность в регионе, мы не исключаем новых атак Lazarus на международные финансовые учреждения. В связи с этим мы рекомендуем банкам повышать осведомленность о шаблонах и тактике проведения целевых атак, регулярно проводить обучение персонала и использовать данные о киберугрозах специализированных Intelligence-компаний», — предупреждает Group-IB.

Специалисты Group-IB доказали связь Lazarus с Северной Кореей и изучили инструментарий группы

Подпишись на наc в Telegram!

Из рубрики «Взлом»

Обзор перспективных исследований. Колонка Дениса Макрушина

HTB Hospital. Получаем доступ к хосту через уязвимость Ghostscript

EIGRP Scam. Отравляем таблицу маршрутизации на Python

Липовый соникс. Реверсим картридж Liposonix и пишем его эмулятор

Трюки

Липовый соникс. Реверсим картридж Liposonix и пишем его эмулятор

Новая диета для Linux. Загружаем современный Linux, используя минимум памяти

Фишинг в соцсетях. Как социальные сети помогают хакерам

Сделай мне красиво! Изобретаем персональный нейросетевой фотоувеличитель

Последние новости

Опубликован эксплоит для свежей уязвимости в PAN-OS Palo Alto Networks

DDoS-атак на отрасль энергетики стало больше почти в 10 раз

Серьезная уязвимость в PuTTY позволяет восстанавливать приватные ключи

Cisco предупредила о масштабных брутфорс-атаках, нацеленных на VPN-сервисы

YouTube продолжается бороться с блокировкой рекламы. Очередь дошла до сторонних приложений