Noķer viņus, ja vari: kā eksperti meklē hakerus, kas no Bangladešas centrālās bankas nozaga 81 miljonu dolāru

Konferencē Security Analyst Summit Kaspersky Lab pastāstīja par kibergrupējuma Lazarus darbības izmeklēšanas rezultātiem. Tā ir pazīstama hakeru banda, kas, domājams, ir atbildīga par 81 miljona USD zādzību no Bangladešas bankas 2016. gadā — šis incidents ir kļuvis par līdz šim vienu no lielākajām un sekmīgākajām kiberlaupīšanām. Vairāk nekā gadu ilgā izmeklēšana ļāva ekspertiem ne vien sīki izpētīt grupējuma paņēmienus un rīkus, bet arī novērst vismaz divas jaunas lielu summu izlaupīšanas no finanšu iestādēm.

Pēc uzbrukuma Bangladešas bankai ļaundari uz dažiem mēnešiem pierima un gatavojās jaunam uzbrukumam. Viņiem bija izdevies apmesties kādas Dienvidaustrumāzijas bankas korporatīvajā tīklā, taču viņus atklāja Kaspersky Lab drošības risinājums. Tam sekojošā izmeklēšana lika Lazarus uz laiku pārtraukt operāciju, bet pēc tam uzbrukums tika pavērsts pret Eiropu. Tomēr viņu mēģinājumi atkal tika apturēti, izmantojot Kaspersky Lab izstrādājumus, kā arī ātri reaģējot un izmeklējot incidentus.

Uzbrukumi, kurus izmeklēja Kaspersky Lab, ilga vairākas nedēļas, taču slepenā režīmā hakeri varēja strādāt mēnešiem ilgi. Tieši tā bija noticis incidentā Dienvidaustrumāzijā. Uzbrucēji bija iekļuvuši bankas tīklā vismaz septiņus mēnešus pirms tam, kad bankas drošības dienests lūdza speciālistu palīdzību.

Parasti uzbrucēji bija piesardzīgi un likvidēja ielaušanās pēdas, tomēr vienā no uzlauztajiem serveriem, ko Lazarus izmantoja par vadības centru, eksperti atklāja svarīgu artefaktu. Pirmās pievienošanās serverim tika veiktas, izmantojot virtuālo privāto tīklu un starpniekserveri, un izsekot to atrašanās vietu bija teju neiespējami, taču eksperti konstatēja arī vienu pieprasījumu no reti sastopamas IP adreses Ziemeļkorejā. Pēc viņu domām, to var izskaidrot ar vienu no šiem iemesliem:

• uzbrucēji pievienojās serverim no šīs adreses Ziemeļkorejā;

• pievienošanās bija viltus marķieris, kas domāts ekspertu maldināšanai;

• kāds Ziemeļkorejas iedzīvotājs ir nejauši apmeklējis servera adresi.

Pēdējo divu gadu laikā ar Lazarus saistītu ļaunprogrammatūru pēdas ir atrastas 18 valstīs. Par uzbrukumu upuriem ir kļuvušas finanšu iestādes, kazino, uzņēmumi, kas specializējas programmatūras izstrādē ieguldījumu sabiedrībām, un kriptovalūtu komercijas pārstāvji. Jaunākais Lazarus aktivitātes vilnis tiek datēts ar 2017. gada martu — tas nozīmē, ka grupējums negrasās apstāties.

«Mēs esam pārliecināti, ka drīzumā atkal dzirdēsim par Lazarus. Šādi uzbrukumi liecina, ka pat sīki trūkumi tīkla konfigurācijā var izraisīt nopietnus drošības pārkāpumus. Šie caurumi uzņēmumam var izmaksāt simtiem miljonu dolāru. Tāpēc mēs ceram, ka banku, kazino un uzņēmumu, kas izstrādā programmatūru ieguldījumu sabiedrībām, vadītāji ar pienācīgu vērību izturēsies pret Lazarus radītajiem draudiem,» izmeklēšanas rezultātus komentēja Kaspersky Lab pētniecības centra Āzijas un Klusā okeāna reģionā vadītājs Vitālijs Kamļuks.

Izmeklēšanas gaitā Kaspersky Lab eksperti konstatēja vairāk nekā 150 ļaunprogrammatūru paraugu, kam ir sakars ar šo grupu. Tos visus sekmīgi neitralizē Kaspersky Lab drošības risinājumi. Viss ļaunprogrammatūru saraksts, kā arī izšķirīgi svarīgu ielaušanās rādītāju (Indicators of Compromise, IOC) saraksts, kas palīdzēs uzņēmumiem atklāt uzbrukuma pēdas savā korporatīvajā tīklā, ir pieejams Kaspersky Lab pārskatā https://securelist.com/blog/sas/77908/lazarus-under-the-hood.

Kaspersky Lab iesaka visiem uzņēmumiem pārbaudīt korporatīvo tīklu, vai tajā nav uzbrukuma pazīmju. Ja tādas tiek konstatētas, sistēma ir jāattīra ar drošības risinājumu, kā arī par uzbrukumu jāinformē tiesībaizsardzības iestādes un informācijas drošības incidentu reaģēšanas vienības.

Par Kaspersky Lab

Kaspersky Lab ir starptautisks kiberdrošības uzņēmums, kas dibināts 1997. gadā. Kaspersky Lab dziļā draudu pazīšana un drošības zināšanas nepārtraukti pārtop drošības risinājumos un pakalpojumos, lai aizsargātu uzņēmumus, izšķirīgi svarīgas infrastruktūras, valdības un patērētājus visā pasaulē. Uzņēmuma visaptverošajā drošības portfelī ietilpst vadošā galiekārtu aizsardzība un vairāki specializēti drošības risinājumi un pakalpojumi cīņai ar sarežģītiem un mainīgiem digitālajiem draudiem. Vairāk nekā 400 miljonu lietotāju ir aizsargāti ar Kaspersky Lab tehnoloģijām, un mēs palīdzam 270 tūkstošiem korporatīvo klientu aizsargāt to, kas viņiem ir vissvarīgākais.

Papildu informācija par risinājumiem Latvijā ir pieejama izplatītāja mājaslapā kaspersky.lv.

Kaspersky Lab

     
Par šo rakstu nav saņemts neviens komentārs.
Pievienot komentāru
Vārds:
e-pasts:



Aktuālās ziņas

grāmatvedības pakalpojumi  apdrošināšana  lētas aviobiļetes  santehniķis  metāla jumti