Северокорейские хакеры атакуют банки по всему миру

Северокорейские хакеры атакуют банки по всему миру

Северокорейские хакеры атакуют банки по всему миру

30 мая 2017 года компания Group-IB, занимающаяся производством инновационных продуктов в области предотвращения киберугроз и расследованием киберпреступлений, представила исследование активности хакерской группировки Lazarus.

Анализируя не только вредоносный код, но и сложную технологическую инфраструктуру группы, ее каналы связи и инструменты маскировки, Group-IB представила новые доказательства северокорейского происхождения Lazarus и раскрыла неизвестные детали ее атак.

Долгое время Lazarus занималась шпионажем в системах государственных, военных, аэрокосмических учреждений в Южной Корее и США и DDoS-атаками на них. Мировую известность группа получила в 2014 году после взлома кинокомпании Sony Pictures Entertainment накануне выхода комедии «Интервью», высмеивающий северокорейский режим и его лидера.

В последние годы вектор атак Lazarus сместился в сторону международных финансовых организаций. В 2016 году группа попыталась похитить почти $1 млрд из центрального банка Бангладеш посредством атаки систему межбанковских переводов SWIFT. Ошибка в платежном документе позволила предотвратить, возможно, крупнейшее ограбление банка в истории: хакерам удалось вывести только $81 млн. В 2017 году Lazarus атаковала несколько банков в Польше, а спектр ее целей расширился до сотни финансовых организаций в 30 странах мира, включая Европейский центральный банк, ЦБ России, Бразилии и Венесуэлы.

«Бытует мнение, что проправительственные хакеры занимаются только шпионажем и политически мотивированными атаками. На примере Lazarus мы видим, что продвинутые технологии позволяют им выбирать самые защищенные цели, например, успешно атаковать банки и финансовые институты – и они активно интересуются такими возможностями. При этом обнаруживать и расследовать такие атаки сложнее, чем нападения со стороны традиционных преступных группировок», – считает Дмитрий Волков, руководитель отдела расследований и сервиса киберразведки Threat Intelligence, со-основатель Group-IB.

Для управления зараженными компьютерами Lazarus использовал сложносоставные, многомодульные инструменты. При этом они смогли провести несколько успешных атак, ни на одном из этапов не использовав 0-day эксплойты (инструменты для эксплуатации ранее неизвестных уязвимостей). Из-за непрерывной доработки и изменения используемых модулей, выявить активность Lazarus, используя антивирусы и endpoint-решения, крайне сложно.

Для маскировки хакеры выстроили трехуровневую инфраструктуру С&C-серверов с шифрованным SSL-каналом связи. А в некоторых случаях командный сервер, через который осуществлялось управление, вообще находился внутри атакованной организации — это позволяло снизить риск обнаружения и получить доступ к тем компьютерам, у которых в целях безопасности отключен прямой выход в интернет. В качестве дополнительного способа анонимизации использовался легитимный сервиса SoftEther VPN, который никак не детектируется средствами защиты. С начала 2016 года Lazarus пыталась маскировать атаки под активность «русских хакеров», добавляя отладочные символы и прописывая русские слова на латинице в код вредоносной программы. Кроме того, группа использовала инструменты, разработанные русскоязычными киберпреступниками.

Несмотря на усилия хакеров, Group-IB удалось установить, что на протяжении нескольких лет атаки велись из одного места – района Potonggang в Пхеньяне. 

«Учитывая усиление экономических санкций в отношении КНДР, а также возросшую геополитическую напряженность в регионе, мы не исключаем новых атак Lazarus на международные финансовые учреждения. В связи с этим мы рекомендуем банкам повышать осведомленность о шаблонах и тактике проведения целевых атак, регулярно проводить обучение персонала и использовать данные о киберугрозах специализированных Intelligence-компаний» - сказал Дмитрий Волков.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ГК Солар купила ЭЛВИС-ПЛЮС

ГК «Солар» довела долю в капитале ИБ-интегратора «ЭЛВИС-ПЛЮС» до 100%. Сумма сделки не раскрывается. 49% пакета акций «ЭЛВИС-ПЛЮС» ГК «Солар» приобрела в 2020 году.

Консолидация 100% бизнеса компании позволит ГК «Солар» развивать вендорское направление «ЭЛВИС-ПЛЮС» и влиять на дорожную карту продуктов. Основной интерес ГК «Солар» вызывают СКЗИ ЗАСТАВА, а также инструменты ГОСТ VPN.

«ЭЛВИС-ПЛЮС» существует на рынке около 30 лет. Компания входит в список 20 крупнейших интеграторов ИБ. Компания разрабатывает ПАК «ЗАСТАВА» для защиты каналов связи и межсетевого экранирования.

«ЭЛВИС-ПЛЮС» также является разработчиком технологии Базовый Доверенный Модуль (БДМ), которая соответствует требованиям российских регуляторов в области защиты информации. По итогам 2023 года выручка «ЭЛВИС-ПЛЮС» составила 998 млн руб. Численность сотрудников на октябрь 2024 года — 178 человек.

После сделки «ЭЛВИС-ПЛЮС» не только сохранит канал продаж и продолжит предоставлять услуги нынешним клиентам, но сможет и расширить клиентскую базу.

Сделка с «ЭЛВИС-ПЛЮС» стала четвертой для «Солара» в 2024 году.

«В условиях импортозамещения роль системного интегратора существенно возрастает. Учитывая объемы работ и нехватку кадров в ИБ, заказчики не всегда могут справиться самостоятельно. Интегратор может предоставить готовое решение на основе новых продуктов и технологий. "ЭЛВИС-ПЛЮС" обладает крупнейшей экспертизой на рынке интеграции и продолжит свой путь в госсекторе как самостоятельная компания. Цель сделки — увеличить объем инвестиций в вендорское направление «Элвис-ПЛЮС» с целью стимулировать его рост», — прокомментировал Игорь Хереш, директор по управлению активами и M&A, ГК «Солар».

«В "Солар" мы видим надежного партнера, который демонстрирует высокую динамику запуска новых продуктов во многих технологических направлениях ИБ. Объединяя компетенции, мы рассчитываем перезагрузить наше направление, связанное с вендорскими продуктами, и амбициозно нарастить его долю в общем объеме выручки», — отметил Руслан Хайруллов, генеральный директор «ЭЛВИС-ПЛЮС».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru