Эксперты Group-IB доказали связь между Lazarus и правительством КНДР
Эксперты Group-IB доказали связь между Lazarus и правительством КНДР
Эксперты Group-IB доказали связь между Lazarus и правительством КНДР
31.05.2017
Эксперты Group-IB опубликовали отчет "Lazarus: архитектура, инструменты, атрибуция", где представили ранее неизвестные подробности об атаках хакерской группировки Lazarus, доказывающие ее связь с правительством КНДР.
Согласно отчету, раньше Lazarus занималась кибершпионажем против госучреждений и частных компаний США и Южной Кореи, но теперь группировка атакует финорганизации по всему миру. В частности, именно она подозревается в масштабных атаках на Центробанк Бангладеш в 2016 году и на Sony Entertainment в 2014 году.
В феврале нынешнего года Lazarus осуществила атаки на ряд банков в Польше. Кроме того, под прицелом хакеров оказались сотни финансовых организаций в 30 странах мира. Киберпреступников интересовали сотрудники центральных банков таких стран, как Россия, Венесуэла, Бразилия, Чили и пр.
Как пояснил основатель Group-IB Дмитрий Волков, по результатам расследования экспертам компании удалось доказать причастность группы Lazarus к КНДР. На основе анализа использовавшихся для атак IP-адресов исследователи обнаружили точное местоположение хакеров. "Мы смогли выявить и изучить всю инфраструктуру управления, используемую Lazarus. Наше расследование показало, как хакеры проникали в сеть банков, какие вредоносные программы использовались, кого еще собирались атаковать", – отметил Волков.
Как выяснилось в ходе расследования, подключение к самому последнему, третьему уровню серверов управления происходило с северокорейских IP-адресов 210.52.109.22 и 175.45.178.222. Второй IP-адрес относится к району Potonggang в Пхеньяне – там располагаются Национальная комиссия КНДР по обороне и недостроенный многоэтажный отель Ryugyong Hotel. Данное здание предположительно является резиденцией правительственных хакеров.
По словам исследователей, с начала прошлого года Lazarus пыталась замаскироваться под "русских хакеров". В частности, киберпреступники добавили в отладочный модуль строки на русском языке для описания команд. Преступники ошиблись и назвали команду "отправить на C&C сетевой адрес текущего сервера" словом "poluchit", однако им все же удалось ввести в заблуждение некоторых ИБ-экспертов, приписавших атаки на банки русским.
Lazarus (второе название Dark Seoul Gang) – северокорейская хакерская группировка, за которой, предположительно, стоит подразделение Разведывательного Управления Генштаба КНА Bureau 121, занимающееся проведением операций в киберпространстве.
Copyright © 2018-2022, ООО "ГРОТЕК"