Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Lazarus/Bluenoroff - cyberataki finansowe na dużą skalę

Dodany 3 kwietnia 2017, 15:36 CEST
Tagi:

W lutym 2017 r. artykuł w polskich mediach przerwał ciszę w odniesieniu do długotrwałej serii ataków na banki, przypisywanych grupie Lazarus. Mimo że w pierwotnej publikacji nie wspomniano o tej grupie, badacze ds. cyberbezpieczeństwa szybko podchwycili temat. W tym artykule podzielimy się naszymi odkryciami i dodamy kilka informacji do ogólnej wiedzy o ugrupowaniu Lazarus oraz jego połączeniach z szeroko dyskutowanym incydencie z lutego 2016 r., kiedy nieznana wówczas grupa cyberprzestępców przypuściła próbę ataki, którego celem była kradzież 851 mln dolarów z Centralnego Banku Bangladeszu. 

Od wykrycia incydentu w Bangladeszu pojawiło się zaledwie kilka artykułów tłumaczących połączenia między grupą Lazarus a skokiem na systemy tego banku. Jeden z nich został napisany przez BAE Systems w maju 2016 r., jednak tekst zawierał wyłącznie analizę kodu szkodliwego modułu odpowiedzialnego za niszczenie danych (tzw. wiper). Tuż po nim pojawił się post Anomali Labs potwierdzający podobieństwa w kodzie. Zbieżności te były wystarczające dla wielu czytelników, jednak my w Kaspersky Lab staramy się poszukiwać silniejszych koneksji.

Kolejne informacje o tym, że Lazarus jest grupą stojącą za atakami na polski sektor finansowy zostały opublikowane przez firmę Symantec w 2017 r., która zauważyła wykorzystanie fragmentu kodu tej grupy w szkodliwym programie wykrytym u jednego ze swoich polskich klientów. Symantec potwierdził także wykrycie wipera grupy Lazarus u swojego klienta w Polsce. Z informacji tych wynikało jednak wyłącznie to, że grupa Lazarus prawdopodobnie atakowała polskie banki.

Mimo że informacje te są fascynujące, związek między atakami grupy Lazarus na banki, a ich rolą w atakach na systemy banku pozostawał dość luźny. Jedynym przypadkiem, w którym wykryto konkretne szkodliwe oprogramowanie atakujące infrastrukturę banku wykorzystywaną do łączenia się z serwerem SWIFT, był atak na Centralny Bank Bangladeszu. Niemal wszyscy w branży słyszeli o tym ataku, jednak światło dzienne ujrzała jedynie garstka szczegółów technicznych. Biorąc pod uwagę publikacje w mediach, gdzie po ataku wspominano o trzech różnych grupach przestępczych zaangażowanych w te działania, nie było jasne, czy ugrupowanie Lazarus było odpowiedzialne za oszukańcze transakcje SWIFT, czy może cyberprzestępcy Ci działali na własną rękę, z użyciem autorskich narzędzi.

W naszym raporcie podzielimy się nowymi faktami dotyczącymi ataków grupy Lazarus na banki i udostępnimy niepublikowane dotychczas informacje związane z działaniami tych cyberprzestępców w Europie w 2017 r.

Po raz pierwszy publicznie informujemy o pewnych operacjach grupy Lazarus. Mieliśmy możliwość prowadzić dochodzenia odnośnie tych incydentów i pomogliśmy wielu organizacjom finansowym z Azji Południowo-Wschodniej oraz Europy powstrzymać ataki. We współpracy z naszymi partnerami badawczymi udało nam się odpowiedzieć na kilka istotnych pytań na temat metod infekcji, związku z atakami na systemy SWIFT oraz ustalenia autorstwa ataków.

Ataki grupy Lazarus nie są problemem lokalnym – działalność grupy rozciąga się na cały świat. Wcześniej grupa ta była zaangażowana w działania cyberszpiegowskie i cybersabotaż – np. atak na Sony Pictures Entertainment, gdzie doszło do wycieku poufnych informacji i zniszczenia danych. Zainteresowanie ugrupowania czystym zyskiem finansowym to w pewnym sensie nowość – biorąc pod uwagę „staż” tych cyberprzestępców – i wygląda na to, że posiada ono wyspecjalizowany dział zajmujący się tworzeniem narzędzi do kradzieży pieniędzy. Uważamy, że grupa Lazarus jest ogromna i poświęca się głównie operacjom infiltracji i cyberszpiegostwa, podczas gdy jej mniejsze jednostki (które określamy jako Bluenoroff) są odpowiedzialne za generowanie zysków.

Atak metodą przy wodopoju przeprowadzony na banki w Polsce został szeroko opisany w mediach, jednak nie wszyscy wiedzą, że był to tylko jeden z wielu incydentów. Grupa Lazarus zdołała wstrzyknąć swój szkodliwy kod do wielu innych lokalizacji. Uważamy, że kampania ta rozpoczęła się pod koniec 2016 r. po tym, jak doszło do przerwania działań grupy w Azji Południowo-Wschodniej. Lazarus/Bluenoroff przegrupował siły i przypuścił atak na kolejne kraje, biorąc na celownik głównie mniejsze banki, uważając je za łatwy łup.

Cele ataków Bluenoroff można podzielić na następujące kategorie:

  • instytucje finansowe,
  • kasyna,
  • producenci oprogramowania dla firm inwestycyjnych,
  • biznes związany z kryptowalutami.

Oto lista krajów, w których wykryliśmy ataki Bluenoroff przeprowadzane metodą przy wodopoju: 

  • Meksyk,
  • Australia,
  • Urugwaj,
  • Rosja,
  • Norwegia,
  • Indie,
  • Nigeria,
  • Peru,
  • Polska.


klp_infografika_lazarus_auto.jpg

Oczywiście nie wszystkie ataki były tak skuteczne, jak ten w Polsce, głównie dlatego, że w kraju tym cyberprzestępcom udało się zainfekować stronę rządową, która jest regularnie odwiedzana przez instytucje finansowe. Mimo to, omawiana fala ataków zaowocowała kilkoma nowymi przypadkami infekcji na całym świecie.

Jedno z najciekawszych odkryć związanych z atakami Lazarus/Bluenoroff pochodzi od jednego z naszych partnerów badawczych, który przeprowadził cyfrowe śledztwo w odniesieniu do serwera wykorzystywanego przez tę grupę w Europie. Z raportu wynika, że atakujący połączyli się z serwerem przy użyciu usług terminalowych, ręcznie zainstalowali serwer Apache Tomcat przy użyciu lokalnej przeglądarki, aktywowali obsługę Java Server Pages i umieścili skrypt JSP. Gdy serwer był już gotowy, atakujący zaczęli go testować. Najpierw przy użyciu przeglądarki, a następnie uruchomili testowe instancje własnego backdoora. Operator używał wielu różnych adresów IP pochodzących z różnych krajów – od Francji po Koreę, łącząc się za pośrednictwem serwerów VPN i proxy. Jedno krótkie połączenie wykonano z nietypowego zakresu adresów IP – pochodzącego z Korei Północnej.

Ponadto, operator zainstalował ogólnodostępne oprogramowanie do wydobywania kryprowaluty Monero. Narzędzie to obciążało serwer w takim stopniu, że system przestał odpowiadać i całkowicie się zawiesił. Prawdopodobnie z tego powodu serwer ten nie został całkowicie wyczyszczony przez atakujących, co pozwoliło na przeprowadzenie dochodzenia.

To pierwszy przypadek, w którym można zaobserwować bezpośrednie połączenie miedzy atakami Bluenoroff a Koreą Północną. Jako badacze wolimy jednak dostarczać fakty, a nie spekulować. Uważamy, że nawiązanie połączenia z serwerem z adresu IP przypisanego do Korei Północnej nie dowodzi jednoznacznie, że kraj ten stoi za omawianymi atakami. Połączenie to może oznaczać, że:

  • atakujący nawiązywali połączenia z tych adresów IP zlokalizowanych w Korei Północnej lub
  • była to operacja pod fałszywą banderą prowadzoną przez inną grupę cyberprzestępczą lub
  • ktoś z Korei Północnej przez przypadek otworzył adres URL kierujący do serwera kontrolowanego przez cyberprzestępców.

Podsumowanie

Lazarus nie jest po prostu kolejną grupą przeprowadzającą ataki APT. Skala operacji tych cyberprzestępców jest szokująca. Atakujący są wyjątkowo aktywni od 2011 r., a  patrząc na setki gromadzonych przez nas próbek można pomyśleć, że Lazarus to wydajna fabryka szkodliwego oprogramowania, wykorzystująca wielu niezależnych podwykonawców. 

Lazarus korzysta z różnych technik zaciemniania kodu, modyfikuje swoje algorytmy, stosuje komercyjne rozwiązania zapobiegające wykrywaniu oraz swoje własne mechanizmy kompresji. Grupa docenia wartość profesjonalnego programowania, dlatego w pierwszych fazach ataków obserwujemy zwykle podstawowe, proste trojany. Nawet gdy zostaną wykryte, grupa niewiele na tym traci. Jeżeli jednak pierwszy etap zakończy się powodzeniem, do systemów ofiary wprowadzane są znacznie bardziej wyrafinowane narzędzia, które są pieczołowicie chronione przed wykryciem. 

Większość narzędzi stosowanych przez grupę zaprojektowano tak, by można było je łatwo zniszczyć i zastąpić nową generacją w przypadku wykrycia. Lazarus unika kilkukrotnego stosowania tego samego kodu i algorytmów. Poziom wyrafinowania ataków grupy Lazarus nie jest czymś, co obserwujemy na co dzień w krajobrazie cyberprzestępczym. Taka jakość szkodliwych narzędzi wymaga świetnej organizacji i kontroli na każdym etapie.

Oczywiście, działanie na tak wysokim poziomie wymaga również znacznych nakładów finansowych i dlatego pojawienie się podgrupy Bluenoroff wydaje się być całkiem logicznym posunięciem ze strony cyberprzestępców.

Bluenoroff, jako element grupy Lazarus, skupia się wyłącznie na atakach finansowych. Cyberprzestępcy posiadają spore umiejętności w inżynierii wstecznej – analizują legalne programy i modyfikują oprogramowanie SWIFT Alliance. Wszystko w celu kradzieży dużych pieniędzy.

Jedną z ulubionych strategii Bluenoroff jest ciche integrowanie się z działającymi procesami bez zakłócania ich pracy. Z naszej analizy szkodliwego kodu wynika, że cyberprzestępcy nie są nastawieni na szybką i brutalną kradzież. Zamiast tego, starają się działać bardzo ostrożnie, by nie pozostawić po sobie żadnych śladów. 

Warto podkreślić, że we wszystkich analizowanych przez nas przypadkach ataków na banki, oprogramowanie SWIFT działające na serwerach nie posiadało żadnych konkretnych luk. Ataki były realizowane z użyciem słabości infrastruktury samych banków, ich personelu, luk w popularnych aplikacjach lub stronach WWW, łamania haseł, keyloggerów i podnoszenia uprawnień. Co ważne, sposób w jaki banki korzystają z serwerów SWIFT wymaga obecności personelu odpowiedzialnego za zarządzanie nimi. Prędzej czy później cyberprzestępcom udawało się znaleźć takich pracowników, podnieść niezbędne uprawnienia i uzyskać dostęp do serwera podłączonego do platformy komunikacji SWIFT. Posiadając uprawnienia administracyjne do platformy, atakujący mogli dowolnie manipulować uruchomionym oprogramowaniem. Z technicznego punktu widzenia działania przestępców nie różniły się niczym od operacji wykonywanych przez administratorów z banków – uruchamianie i zatrzymywanie usług, łatanie oprogramowania, modyfikowanie baz danych itp. Podkreślamy zatem, że we wszystkich przeanalizowanych przez nas incydentach systemy SWIFT nie stanowiły bezpośredniej przyczyny ataku. Co więcej, zetknęliśmy się z przypadkami, w których organizacja SWIFT pomagała swoim klientom, stosując mechanizmy wykrywające problemy z bazami danych i oprogramowaniem. Uważamy, że jest to krok w dobrą stronę. 

Uważamy, że grupa Lazarus/Bluenoroff pozostanie przez kilka kolejnych lat jedną z najskuteczniejszych organizacji cyberprzestępczych w kontekście ataków finansowych. Pragniemy podkreślić, że żadna z instytucji, którym pomogliśmy w walce z tymi atakami, nie poniosła strat finansowych.

Produkty Kaspersky Lab skutecznie wykrywają i blokują szkodliwe programy wykorzystywane przez ugrupowanie Lazarus pod następującymi nazwami:

  • HEUR:Trojan-Banker.Win32.Alreay*,
  • Trojan-Banker.Win32.Agent*

Pełny raport obejmujący wskaźniki infekcji i inne informacje, które mogą być pomocne w identyfikacji szkodliwych programów grupy Lazarus, znajdują się na stronie https://kas.pr/ix6C