Tavaly februárban egy akkor még azonosítatlan hacker csoport megkísérelt ellopni kb. 240 milliárd forintot (851 millió dollárt), az akció végén végül 23 milliárd forintot (81 millió dollárt) tudtak átutalni bankszámláikra a bangladesi Központi Bankból. A támadás napjaink legsikeresebb kibertámadásaként vonult be a történelembe. A vizsgálatok eredményei – amelyben több más IT biztonsági cég mellett a Kaspersky Lab is tevékenyen részt vett – azt mutatják, hogy a támadások mögött az ismert Lazarus csoport állhat, akik többek között felelősek olyan rendszeres pusztító támadásokért, amelyeket gyártó cégek, média- és pénzintézetek ellen indítottak világszerte 18 országban immár 8 éve.
Lazarus Formula
Az igazságügyi szakértői elemzés eredményei alapján a Kaspersky Lab kutatói rekonstruálták a csoport működési modelljét:
Kezdeti kompromisszum: Egy bankrendszer feltörhető akár egy távolról is elérhető sebezhető kóddal (pl. egy web-szerveren), vagy akár egy honlapon elhelyezett exploit segítségével, amit a gyanútlan áldozat (pl. banki alkalmazott) a weblap-látogatás során a számítógépére telepített.
Beépülés: Ezután a csoport a bank rendszerében vándorol és állandó backdoor-okat épít, amely lehetővé teszi számukra a szabad mozgást.
Belső felderítés: Ezt követően a csoport napokat vagy heteket is eltölt a hálózat tanulmányozásával, hogy azonosítani tudják az értékes erőforrásokat. Ilyen források lehetnek pl. a backup-szerver, ahol a hitelesítési információkat tárolják; a levelező-szerver; a teljes tartományvezérlő, amely rendelkezik az „ajtókat” nyitó „kulcsokkal” valamint azok a szerverek, amelyek a pénzügyi tranzakciók adatait tárolják.
Végrehajtás: Végül az általuk telepített speciális malware képes behatolni a pénzügyi szoftverek belső biztonsági funkcióiba és ilyen módon hamis tranzakciókat indítani.
A Lazarus-csoport működési elve
A Kaspersky Lab által vizsgált támadások hetekig tartottak, miközben a támadók képesek észrevétlenül működni hónapokig. A délkelet-ázsiai támadás elemzése során a szakértők felfedezték, hogy a hekkerek 7 hónappal korábban törték fel a rendszert, minthogy a bank biztonsági csapata segítséget kért volna. Sőt, úgy tűnik a bangladesi incidens előtt már volt hozzáférésük a hálózathoz.
A Kaspersky Lab feljegyzései szerint 2015. december óta észlelhetőek a Lazarus-csoport kártékony program-mintái számos pénzintézet-, kaszinók számára fejlesztett szoftverek, valamint digitális pénznem-vállalkozások hálózatában, Koreában, Bangladesben, Indiában, Vietnámban, Indonéziában, Costa Ricán, Malajziában, Lengyelországban, Irakban, Etiópiában, Kenyában, Nigériában, Uruguayon, Gabonban, Thaiföldön és számos más országban. A Kaspersky Lab által tavaly márciusban detektált minták alapján elmondható, hogy a csoportnak nem áll szándékában megállni.
Annak ellenére, hogy a támadók elég óvatosak voltak és törölték a nyomokat, egy általuk feltört szerveren egy mintát ott felejtettek. A felkészülési művelet folyamán, a szervert a rosszindulatú-program C&C központjaként konfigurálták. A konfiguráció első csatlakozásai néhány VPN/proxy-szerverről érkeztek, tesztelve a C&C szervert. Ugyanakkor volt egy rövid csatlakozás egy nagyon ritka észak-koreai IP címről.
A kutatók szerint ez a csatlakozás az alábbiakat jelentheti:
- A támadók erről az észak-koreai IP-címről csatlakoznak a rendszerre
- Ez egy gondosan megtervezett hamis művelet volt
- Valaki Észak-Koreában véletlenül meglátogatta a C&C URL-jét
„Biztosak vagyunk abban, hogy hamarosan visszatérnek. A támadásaik azt mutatják, hogy akár egy kisebb konfigurációs hiba is előidézheti a támadott rendszer megsértését, és ezzel potenciálisan több száz millió dolláros veszteséget okozhatnak. Bízunk benne, hogy a bankok, kaszinók és a befektetési vállalkozások vezetői szerte a világon elővigyázatosak lesznek a Lazarus-csoport hallatán.” – mondta Vitaly Kamluk, a Kaspersky Lab „Global Research and Analysis” csapat vezetője.
