Перейти к основному контенту
Атаки хакеров ,  
0 

Group-IB заявила о причастности КНДР к хакерской группировке Lazarus

Согласно заключению российских экспертов из Group-IB, за группировкой Lazarus стоят поддерживаемые Пхеньяном хакеры. Их подозревают во взломе Sony в 2014 году и попытке украсть $1 млрд из национального банка Бангладеш
Фото: Vincent Yu / AP
Фото: Vincent Yu / AP

Российская компания Group-IB, занимающаяся кибербезопасностью (владеет крупнейшей в Восточной Европе лабораторией компьютерной криминалистики и старейшим в России отделом расследований; среди клиентов — «Роснефть», Citibank, Сбербанк, Microsoft, «Газпром» и др.), выпустила доклад, в котором представила свидетельства того, что за известной хакерской группировкой Lazarus стоит правительство КНДР. Отчет опубликован в блоге компании.

Lazarus известна в первую очередь атакой на Центробанк Бангладеш в феврале 2016 года. Тогда злоумышленники попытались вывести $1 млрд, однако часть операций была заблокирована и им удалось украсть только $81 млн. Кроме того, хакеры из Lazarus подозревались в организации одной из самых крупных корпоративных утечек из кинокомпании, входящей в Sony Corporation, в 2014 году. В результате взлома оказались в интернете еще не выпущенные фильмы, персональные данные сотрудничавших с компанией голливудских знаменитостей, ее работников. ФБР официально обвинило КНДР в организации атаки.

По версии Group-IB, помимо вышеупомянутых атак Lazarus ответственна за взлом сетей разных стран, включая фармацевтические компании Японии и Китая, университеты США, Канады, Великобритании, Индии, Болгарии, Польши, Турции.

Как установили в Group-IB, управление атакой Lazarus велось с двух IP-адресов, относящихся к КНДР, причем один из них принадлежит северокорейскому интернет-провайдеру. После проверки этого IP-адреса в сервисе WhoIs выяснилось, что он выделен для района Potonggang в Пхеньяне, в котором располагается Национальная комиссия КНДР по обороне (высший военный орган страны), говорится в отчете. Но атака могла вестись из любого другого здания в этом районе, оговаривается представитель Group-IB. Однако представитель компании настаивает, что им удалось впервые найти реальные IP-адреса злоумышленников. И эти адреса находятся в том же блоке с адресами, которые были указаны в расследовании, проведенном South Korea’s National Police Agency в связи с атакой северокорейских хакеров Dark Seoul Gang (другое наименование Lazarus) на южнокорейские телевизионные станции и банки, отмечается в отчете.

Как установили эксперты, для обеспечения собственной анонимности хакеры из Lazarus использовали сервис SoftEther VPN, поддерживаемый Цукубским университетом в Японии, а также адреса узлов в интернете, которые располагались в США, Китае, на Тайване, в России, Канаде, Италии и Кувейте.

Как сообщил РБК сооснователь и руководитель отдела расследований Group-IB Дмитрий Волков, основные цели атакующих — кибершпионаж и слежка за межбанковскими транзакциями, на втором месте — получение в ряде случаев возможности осуществить несанкционированный платеж (кража денег).

Особенностью Lazarus, по словам сооcнователя Group-IB, является то, что это одна из первых прогосударственных хакерских групп, которая атаковала банки с целью нарушения их работоспособности. «Кроме того, они используют уникальные вредоносные программы, представляющие интерес для технических специалистов», — добавил Волков.

Представитель посольства Северной Кореи в Москве на вопросы РБК о связи Lazarus с правительством страны в качестве официального ответа прислал три новости северокорейских СМИ. В опубликованных новостях информация о причастности хакеров к КНДР названа «грязной и наивной интриганской шумихой», а также выдвигается версия, что информация распространяется южнокорейскими СМИ, чтобы «облить холодной водой тенденцию улучшения отношений Севера и Юга».

Фото: Damir Sagolj / Reuters

Не первые

Исследование Group-IB описывает не только инструменты, но и логику, которой следуют хакеры Lazarus. «Мы сосредоточились на исследованиях их инфраструктуры, — поясняет Волков. — Мы обнаружили новые свидетельства, основанные не на сравнении вредоносного кода, причастности северокорейских хакеров к недавним инцидентам в банках. Связь, основанная на сходстве вредоносного кода, не всегда надежна, но когда вы видите, что это вредоносное программное обеспечение управлялось через цепочку анонимизированных узлов субъектом, которого вы подозревали вначале, сообщество лучше понимает источник угрозы, ее цели и мотивацию».​

Предположение о том, что за Lazarus стоят северокорейские хакеры, высказывали и другие компании, занимающиеся кибербезопасностью, в том числе и российская «Лаборатория Касперского». Так, в апреле компания выпустила отчет, в котором также доказывала это предположение.

По словам главного антивирусного эксперта лаборатории Александра Гостева, определить, кто стоит за атаками в киберпространстве, крайне непросто, а намеренное использование группировками ложных меток, призванных сбить исследователей с верного следа, лишь усложняет решение этой задачи. «Различные исследования деятельности группы Lazarus неоднократно указывали на Северную Корею, однако признаки были в основном косвенные, — говорит он. — К примеру, атака на Sony Entertainment была проведена незадолго до премьеры «Интервью» — комедии, в финале которой убивают лидера КНДР Ким Чен Ына. В результате премьеру пришлось отложить. Аналогично и атаки на южнокорейские сайты: предположение о причастности северного соседа основывалось прежде всего на возможном мотиве».

Однако компании все же удалось установить связь Lazarus с КНДР. Гостев рассказал, что в ходе расследования инцидента в одном из банков в Юго-Восточной Азии был зафиксирован один запрос от редкого IP-адреса в Северной Корее. «По одной из версий, это может указывать на то, что атакующие подключались к серверу с этого адреса из Северной Кореи. Однако нельзя также исключать вероятность, что подключение было ложным флагом, то есть попыткой намеренно запутать экспертов и пустить их по ложному следу, или же кто-то из жителей Северной Кореи случайно посетил адрес сервера», — пояснил он.

Русский след

Согласно еще одной популярной версии, Lazarus — это хакеры из России, Молдавии и Казахстана. Однако в отчете Group-IB предпринята попытка опровергнуть это. По мнению компании, Lazarus только маскируется под «русских хакеров». В частности, в коде программ были обнаружены символы и строки с русскими словами, написанными на латинице (они служили для описания команд, которые может получить вредоносная программа от сервера управления), — poluchit, ssylka, pereslat и др. Однако эти команды использовались неправильно для носителя языка, считают в Group-IB. Например, в случае с командой poluchit значение слова противоречит осуществляемому действию — вместо этого должна была быть команда send («отправлять»).

По мнению Волкова, Lazarus использовали образ российских хакеров из-за того, что в СМИ активно строится картина русской киберугрозы. «Предположительно, они решили замаскироваться под русских хакеров потому, что на тот момент новости об атаках русских хакеров были наиболее популярными», — считает он.

Lazarus и WannaCry

Специалисты «Лаборатории Касперского» указали, что за вирусом WannaCry, который в середине мая атаковал 200 тыс. пользователей в 150 странах, также может стоять северокорейская Lazarus. Однако они оговорились, что эта схожесть кода может быть очередным «ложным флагом». Некоторые следы, указывающие на возможную причастность Lazarus к WannaCry, нашла и американская Symantec. По словам Волкова из ​Group-IB, пока мало технических данных, для того чтобы говорить об ответственных однозначно. Секретарь Совета безопасности Николай Патрушев заявил, что Россия пока не располагает данными о причастности к кибератаке какой-либо конкретной страны, и расследование продолжается. 29 мая эксперты американской компании Flashpoint, проанализировав текст требования выкупа, пришли к выводу, что создателями вируса WannaCry могли быть уроженцы Гонконга, юга Китая, Сингапура или Тайваня.

СберПро Медиа Туризм

Барометр отрасли: развитие внутреннего туризма

СберПро Медиа Промышленность

Рекордная цена: 
как развивается золотодобыча на фоне растущего спроса

СберПро Медиа Транспорт

В поисках баланса. Как развиваются контейнерные перевозки в России и мире

СберПро Медиа Интересное

Как технологии помогают бизнесу повысить эффективность в разных отраслях

СберПро Медиа Интересное

Особенности внедрения искусственного интеллекта в бизнес-процессы

СберПро Медиа Промышленность

Барометр отрасли: химическая промышленность

СберПро Медиа Финансы

Эволюция банкинга. Как и почему крупный бизнес переходит на Open API

СберПро Медиа Интересное

Вместе к успеху. Как выстраивать коммуникации 
в команде

СберПро Медиа Промышленность

Сплав технологий: 5 трендов цифровизации в металлургии

СберПро Медиа Интересное

Нейро-, микро- и лайфстайл. Тренды российского онлайн-образования

Авторы
Теги
Магазин исследований Аналитика по теме "Безопасность"
Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.

*

Лента новостей
Курс евро на 25 мая
EUR ЦБ: 97,1 (-0,78)
Инвестиции, 24 мая, 17:19
Курс доллара на 25 мая
USD ЦБ: 89,7 (-0,55)
Инвестиции, 24 мая, 17:19
Омский губернатор допустил увольнение главы района после ДТП Общество, 23:26
Минобороны предложило направить войска в районы паводка в Армении Политика, 23:17
Над Брянской областью сбили беспилотник Политика, 22:59
Президент Литвы Науседа победил во втором туре президентских выборов Политика, 22:58
Техработник выехал перед самолетом на летное поле аэропорта Пулково Общество, 22:31
Шольц допустил, что Украина не вступит в НАТО «в следующие 30 лет» Политика, 22:22
Песков назвал личные разговоры Путина и Мирзиёева важным элементом визита Политика, 22:06
Стоицизм: как быть эффективнее в изменчивом мире
Подробнее
Власти Германии обсудят «меры против экстремистов» для борьбы с АдГ Политика, 22:00
Сооснователь Human Rights Watch сменил позицию по геноциду в секторе Газа Политика, 21:59
В результате ДТП на юго-востоке Турции погибли 11 человек Общество, 21:45
Трампу посоветовали выбрать его соперницу кандидатом в вице-президенты Политика, 21:22
Швеция ответила на вопрос о праве Украины бить западным оружием по России Политика, 21:17
Массовая драка произошла в центре Киева Общество, 21:15
Путин возложил цветы к монументу Независимости в Ташкенте Политика, 21:06