Lazarus: Polowanie na cyberprzestępców w celu powstrzymania kradzieży z banków - także w Polsce

Kaspersky Lab informuje o wynikach swojego trwającego ponad rok dochodzenia dotyczącego aktywności grupy cyberprzestępczej Lazarus, której przypisuje się kradzież 81 milionów dolarów z Centralnego Banku Bangladeszu w 2016 r. Podczas analizy kryminalistycznej śladów pozostawionych przez to ugrupowanie w bankach zlokalizowanych w Azji Południowo-Wschodniej i Europie (m.in. w Polsce) Kaspersky Lab dogłębnie rozpracował szkodliwe narzędzia wykorzystywane przez atakujących oraz sposób ich działania podczas atakowania instytucji finansowych, kasyn, twórców oprogramowania dla firm inwestycyjnych oraz firm związanych z kryptowalutami na całym świecie. Wiedza ta pomogła zinterpretować przynajmniej dwie inne operacje, których celem była kradzież dużych sum z instytucji finansowych.


W lutym 2016 r. grupa cyberprzestępców (wówczas niezidentyfikowana) próbowała ukraść 851 milionów dolarów amerykańskich i zdołała przelać 81 milionów dolarów z Centralnego Banku Bangladeszu. Incydent ten uznano za jeden z największych i najskuteczniejszych cybernapadów w historii. Dalsze dochodzenie przeprowadzone przez badaczy z różnych firm z branży bezpieczeństwa IT, w tym Kaspersky Lab, wykazało duże prawdopodobieństwo, że ataki te zostały przeprowadzone przez ugrupowanie Lazarus stosujące cyberszpiegostwo i cybersabotaż, odpowiedzialne za serię regularnych i poważnych w skutkach ataków. Członkowie grupy Lazarus od 2009 r. atakują firmy z branży produkcyjnej, media i instytucje finansowe w co najmniej 18 krajach na całym świecie.

Chociaż po ataku na obiekty w Bangladeszu nastąpił kilkumiesięczny zastój, ugrupowanie Lazarus nadal było aktywne. Cyberprzestępcy szykowali się do nowej operacji kradzieży pieniędzy z innych banków, jednak zanim przygotowania zostały zakończone, przeprowadzili atak na instytucję finansową w Azji Południowo-Wschodniej. Powstrzymani przez produkty firmy Kaspersky Lab oraz prowadzone dochodzenie, atakujący musieli się wycofać i opóźnić realizację swoich zamierzeń na kolejne kilka miesięcy, by następnie zdecydować się na wprowadzenie zmian poprzez przeniesienie się do Europy. Jednak tu również (także w Polsce) działania grupy Lazarus zostały pokrzyżowane przez oprogramowanie bezpieczeństwa firmy Kaspersky Lab, jak również szybką reakcję na incydent, analizę kryminalistyczną oraz inżynierię wsteczną przeprowadzoną przez czołowych badaczy z tej firmy.

Jak działa grupa Lazarus

Na podstawie wyników analizy kryminalistycznej ataków badacze z Kaspersky Lab odtworzyli sposób działania ugrupowania cyberprzestępczego.

  • Początkowe włamanie: atakujący włamują się do systemu wewnątrz banku, wykorzystując w tym celu słabości w systemie zabezpieczeń ofiary (np. niezałatane/nieaktualne oprogramowanie) lub stosując tzw. atak przy wodopoju, polegający na zainfekowaniu legalnej strony internetowej. Gdy ofiara (pracownik banku) odwiedzi taką stronę, jej komputer zostanie zainfekowany szkodliwym oprogramowaniem, które pobierze dodatkowe komponenty.
  • Zakorzenienie się w sieci ofiary: ugrupowanie migruje do kolejnych maszyn w banku i rozmieszcza szkodliwe programy oferujące zdalny dostęp do sieci ofiary. Dzięki temu atakujący mogą w dowolnym czasie pojawiać się i znikać z infrastruktury atakowanego banku.
  • Rekonesans wewnętrzny: cyberprzestępcy poświęcają wiele dni, a nawet tygodni na poznanie sieci i zidentyfikowanie podatnych na ataki zasobów. Jednym z takich zasobów może być serwer zapasowy, na którym przechowywane są informacje dotyczące uwierzytelniania, serwer pocztowy lub kontroler całej domeny posiadający "klucze" do wszystkich "drzwi" w firmie, jak również serwery przechowujące lub przetwarzające dane dotyczące transakcji finansowych.
  • Kradzież: atakujący dostarczają specjalne szkodliwe oprogramowanie, które potrafi obejść wewnętrzne funkcje bezpieczeństwa oprogramowania finansowego i przeprowadzać fałszywe transakcje w imieniu banku.

Geografia i ustalenie autorstwa

Ataki, w sprawie których badacze z Kaspersky Lab prowadzili dochodzenie, trwały kilka tygodni. Jednak cyberprzestępcy mogli działać niezauważeni przez wiele miesięcy. Podczas analizy incydentu w Azji Południowo-Wschodniej eksperci odkryli, że członkowie grupy Lazarus zdołali włamać się do sieci banku siedem miesięcy przed tym, jak zespół ds. bezpieczeństwa zwrócił się z prośbą o przeprowadzenie analizy incydentu. W rzeczywistości ugrupowaniu udało się uzyskać dostęp do sieci tego banku jeszcze przed incydentem w Bangladeszu.

Z danych firmy Kaspersky Lab wynika, że od grudnia 2015 r. próbki szkodliwego oprogramowania powiązanego z aktywnością ugrupowania Lazarus pojawiły się w instytucjach finansowych, kasynach, firmach zajmujących się rozwojem oprogramowania dla branży inwestycyjnej oraz firmach związanych z kryptowalutami w Korei, Bangladeszu, Indiach, Wietnamie, Indonezji, na Kostaryce, w Malezji, Polsce, Iraku, Etiopii, Kenii, Nigerii, Urugwaju, Gabonie, Tajlandii kilku innych państwach. Najnowsze znane badaczom z Kaspersky Lab próbki zostały wykryte w marcu 2017 r., co świadczy o tym, że cyberprzestępcy nie mają zamiaru zaprzestać swojej działalności.


Chociaż atakujący byli wystarczająco ostrożni, aby zatrzeć swoje ślady, co najmniej jeden serwer, do którego włamali się w ramach innej kampanii, zawierał poważny błąd obejmujący pozostawienie istotnego śladu. Podczas przygotowywań do operacji serwer ten został skonfigurowany jako centrum kontroli szkodliwego oprogramowania. Pierwsze połączenia dokonane w dniu konfiguracji pochodziły z kilku serwerów VPN/proxy, wskazując na okres testowy serwera kontroli. Jednak jedno krótkie połączenie z tego dnia pochodziło z bardzo rzadkiego zakresu adresów IP w Korei Północnej. Zdaniem badaczy może to oznaczać, że:

  • atakujący nawiązywali połączenia z tych adresów IP zlokalizowanych w Korei Północnej lub
  • była to operacja pod fałszywą banderą prowadzoną przez inną grupę cyberprzestępczą lub
  • ktoś z Korei Północnej przez przypadek otworzył adres URL kierujący do serwera kontrolowanego przez cyberprzestępców.
Ugrupowanie Lazarus dużo inwestuje w rozwój nowych wariantów swojego szkodliwego oprogramowania. Przez wiele miesięcy atakujący próbowali przygotować zestaw narzędzi, które byłyby niewidoczne dla rozwiązań bezpieczeństwa, jednak za każdym razem specjaliści z Kaspersky Lab potrafili zidentyfikować unikatowe cechy sposobu, w jaki przestępcy tworzyli swój kod, dzięki czemu firma mogła na bieżąco śledzić nowe próbki. Obecnie ugrupowanie ucichło, co prawdopodobnie oznacza, że zrobiło sobie przerwę, aby zrewidować swój arsenał.

Jesteśmy pewni, że Lazarus wkrótce powróci. Co niezmiernie ważne, analiza ataków tego ugrupowania pokazuje, że nawet drobny błąd w konfiguracji systemów bezpieczeństwa w instytucjach finansowych może prowadzić do strat rzędu milionów dolarów. Mamy nadzieję, że dzięki naszej pracy badawczej członkowie zarządów banków i innych organizacji finansowych na całym świecie poznają nazwę Lazarus i podejmą odpowiednie działania w firmach, za które odpowiadają - powiedział Witalij Kamliuk, szef Globalnego Zespołu ds. Badań i Analiz (GReAT) na obszar Azji i Pacyfiku, Kaspersky Lab.

Produkty Kaspersky Lab skutecznie wykrywają i blokują szkodliwe programy wykorzystywane przez ugrupowanie Lazarus pod następującymi nazwami:

  • HEUR:Trojan-Banker.Win32.Alreay*,
  • Trojan-Banker.Win32.Agent*.
Kaspersky Lab udostępnia szczegóły techniczne dotyczące narzędzi wykorzystywanych przez tę grupę oraz najważniejsze oznaki infekcji, aby pomóc organizacjom finansowym w odnalezieniu potencjalnych śladów zagrożenia w ich sieciach korporacyjnych: https://kas.pr/5FH1.

Eksperci z Kaspersky Lab gorąco namawiają osoby odpowiedzialne za cyberbezpieczeństwo w organizacjach finansowych, by wnikliwie przeskanowały swoje sieci pod kątem obecności szkodliwych programów stosowanych przez grupę Lazarus. Po wykryciu potencjalnej infekcji należy jak najszybciej wyleczyć wszystkie systemy i powiadomić organy ścigania oraz zespoły reagowania na cyberincydenty.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.