Group-IB заявила о причастности КНДР к хакерской группировке Lazarus

Фото: Vincent Yu / AP

Российская компания Group-IB, занимающаяся кибербезопасностью (владеет крупнейшей в Восточной Европе лабораторией компьютерной криминалистики и старейшим в России отделом расследований; среди клиентов — «Роснефть», Citibank, Сбербанк, Microsoft, «Газпром» и др.), выпустила доклад, в котором представила свидетельства того, что за известной хакерской группировкой Lazarus стоит правительство КНДР. Отчет опубликован в блоге компании.

Lazarus известна в первую очередь атакой на Центробанк Бангладеш в феврале 2016 года. Тогда злоумышленники попытались вывести $1 млрд, однако часть операций была заблокирована и им удалось украсть только $81 млн. Кроме того, хакеры из Lazarus подозревались в организации одной из самых крупных корпоративных утечек из кинокомпании, входящей в Sony Corporation, в 2014 году. В результате взлома оказались в интернете еще не выпущенные фильмы, персональные данные сотрудничавших с компанией голливудских знаменитостей, ее работников. ФБР официально обвинило КНДР в организации атаки.

По версии Group-IB, помимо вышеупомянутых атак Lazarus ответственна за взлом сетей разных стран, включая фармацевтические компании Японии и Китая, университеты США, Канады, Великобритании, Индии, Болгарии, Польши, Турции.

Как установили в Group-IB, управление атакой Lazarus велось с двух IP-адресов, относящихся к КНДР, причем один из них принадлежит северокорейскому интернет-провайдеру. После проверки этого IP-адреса в сервисе WhoIs выяснилось, что он выделен для района Potonggang в Пхеньяне, в котором располагается Национальная комиссия КНДР по обороне (высший военный орган страны), говорится в отчете. Но атака могла вестись из любого другого здания в этом районе, оговаривается представитель Group-IB. Однако представитель компании настаивает, что им удалось впервые найти реальные IP-адреса злоумышленников. И эти адреса находятся в том же блоке с адресами, которые были указаны в расследовании, проведенном South Korea’s National Police Agency в связи с атакой северокорейских хакеров Dark Seoul Gang (другое наименование Lazarus) на южнокорейские телевизионные станции и банки, отмечается в отчете.

Как установили эксперты, для обеспечения собственной анонимности хакеры из Lazarus использовали сервис SoftEther VPN, поддерживаемый Цукубским университетом в Японии, а также адреса узлов в интернете, которые располагались в США, Китае, на Тайване, в России, Канаде, Италии и Кувейте.

Как сообщил РБК сооснователь и руководитель отдела расследований Group-IB Дмитрий Волков, основные цели атакующих — кибершпионаж и слежка за межбанковскими транзакциями, на втором месте — получение в ряде случаев возможности осуществить несанкционированный платеж (кража денег).

Особенностью Lazarus, по словам сооcнователя Group-IB, является то, что это одна из первых прогосударственных хакерских групп, которая атаковала банки с целью нарушения их работоспособности. «Кроме того, они используют уникальные вредоносные программы, представляющие интерес для технических специалистов», — добавил Волков.

Представитель посольства Северной Кореи в Москве на вопросы РБК о связи Lazarus с правительством страны в качестве официального ответа прислал три новости северокорейских СМИ. В опубликованных новостях информация о причастности хакеров к КНДР названа «грязной и наивной интриганской шумихой», а также выдвигается версия, что информация распространяется южнокорейскими СМИ, чтобы «облить холодной водой тенденцию улучшения отношений Севера и Юга».

Фото: Damir Sagolj / Reuters

Не первые

Исследование Group-IB описывает не только инструменты, но и логику, которой следуют хакеры Lazarus. «Мы сосредоточились на исследованиях их инфраструктуры, — поясняет Волков. — Мы обнаружили новые свидетельства, основанные не на сравнении вредоносного кода, причастности северокорейских хакеров к недавним инцидентам в банках. Связь, основанная на сходстве вредоносного кода, не всегда надежна, но когда вы видите, что это вредоносное программное обеспечение управлялось через цепочку анонимизированных узлов субъектом, которого вы подозревали вначале, сообщество лучше понимает источник угрозы, ее цели и мотивацию».​

Предположение о том, что за Lazarus стоят северокорейские хакеры, высказывали и другие компании, занимающиеся кибербезопасностью, в том числе и российская «Лаборатория Касперского». Так, в апреле компания выпустила отчет, в котором также доказывала это предположение.

По словам главного антивирусного эксперта лаборатории Александра Гостева, определить, кто стоит за атаками в киберпространстве, крайне непросто, а намеренное использование группировками ложных меток, призванных сбить исследователей с верного следа, лишь усложняет решение этой задачи. «Различные исследования деятельности группы Lazarus неоднократно указывали на Северную Корею, однако признаки были в основном косвенные, — говорит он. — К примеру, атака на Sony Entertainment была проведена незадолго до премьеры «Интервью» — комедии, в финале которой убивают лидера КНДР Ким Чен Ына. В результате премьеру пришлось отложить. Аналогично и атаки на южнокорейские сайты: предположение о причастности северного соседа основывалось прежде всего на возможном мотиве».

Однако компании все же удалось установить связь Lazarus с КНДР. Гостев рассказал, что в ходе расследования инцидента в одном из банков в Юго-Восточной Азии был зафиксирован один запрос от редкого IP-адреса в Северной Корее. «По одной из версий, это может указывать на то, что атакующие подключались к серверу с этого адреса из Северной Кореи. Однако нельзя также исключать вероятность, что подключение было ложным флагом, то есть попыткой намеренно запутать экспертов и пустить их по ложному следу, или же кто-то из жителей Северной Кореи случайно посетил адрес сервера», — пояснил он.

Русский след

Согласно еще одной популярной версии, Lazarus — это хакеры из России, Молдавии и Казахстана. Однако в отчете Group-IB предпринята попытка опровергнуть это. По мнению компании, Lazarus только маскируется под «русских хакеров». В частности, в коде программ были обнаружены символы и строки с русскими словами, написанными на латинице (они служили для описания команд, которые может получить вредоносная программа от сервера управления), — poluchit, ssylka, pereslat и др. Однако эти команды использовались неправильно для носителя языка, считают в Group-IB. Например, в случае с командой poluchit значение слова противоречит осуществляемому действию — вместо этого должна была быть команда send («отправлять»).

По мнению Волкова, Lazarus использовали образ российских хакеров из-за того, что в СМИ активно строится картина русской киберугрозы. «Предположительно, они решили замаскироваться под русских хакеров потому, что на тот момент новости об атаках русских хакеров были наиболее популярными», — считает он.