Перейти к основному контенту
Атаки хакеров ,  
0 

Group-IB заявила о причастности КНДР к хакерской группировке Lazarus

Согласно заключению российских экспертов из Group-IB, за группировкой Lazarus стоят поддерживаемые Пхеньяном хакеры. Их подозревают во взломе Sony в 2014 году и попытке украсть $1 млрд из национального банка Бангладеш
Фото: Vincent Yu / AP
Фото: Vincent Yu / AP

Российская компания Group-IB, занимающаяся кибербезопасностью (владеет крупнейшей в Восточной Европе лабораторией компьютерной криминалистики и старейшим в России отделом расследований; среди клиентов — «Роснефть», Citibank, Сбербанк, Microsoft, «Газпром» и др.), выпустила доклад, в котором представила свидетельства того, что за известной хакерской группировкой Lazarus стоит правительство КНДР. Отчет опубликован в блоге компании.

Lazarus известна в первую очередь атакой на Центробанк Бангладеш в феврале 2016 года. Тогда злоумышленники попытались вывести $1 млрд, однако часть операций была заблокирована и им удалось украсть только $81 млн. Кроме того, хакеры из Lazarus подозревались в организации одной из самых крупных корпоративных утечек из кинокомпании, входящей в Sony Corporation, в 2014 году. В результате взлома оказались в интернете еще не выпущенные фильмы, персональные данные сотрудничавших с компанией голливудских знаменитостей, ее работников. ФБР официально обвинило КНДР в организации атаки.

По версии Group-IB, помимо вышеупомянутых атак Lazarus ответственна за взлом сетей разных стран, включая фармацевтические компании Японии и Китая, университеты США, Канады, Великобритании, Индии, Болгарии, Польши, Турции.

Как установили в Group-IB, управление атакой Lazarus велось с двух IP-адресов, относящихся к КНДР, причем один из них принадлежит северокорейскому интернет-провайдеру. После проверки этого IP-адреса в сервисе WhoIs выяснилось, что он выделен для района Potonggang в Пхеньяне, в котором располагается Национальная комиссия КНДР по обороне (высший военный орган страны), говорится в отчете. Но атака могла вестись из любого другого здания в этом районе, оговаривается представитель Group-IB. Однако представитель компании настаивает, что им удалось впервые найти реальные IP-адреса злоумышленников. И эти адреса находятся в том же блоке с адресами, которые были указаны в расследовании, проведенном South Korea’s National Police Agency в связи с атакой северокорейских хакеров Dark Seoul Gang (другое наименование Lazarus) на южнокорейские телевизионные станции и банки, отмечается в отчете.

Как установили эксперты, для обеспечения собственной анонимности хакеры из Lazarus использовали сервис SoftEther VPN, поддерживаемый Цукубским университетом в Японии, а также адреса узлов в интернете, которые располагались в США, Китае, на Тайване, в России, Канаде, Италии и Кувейте.

Как сообщил РБК сооснователь и руководитель отдела расследований Group-IB Дмитрий Волков, основные цели атакующих — кибершпионаж и слежка за межбанковскими транзакциями, на втором месте — получение в ряде случаев возможности осуществить несанкционированный платеж (кража денег).

Особенностью Lazarus, по словам сооcнователя Group-IB, является то, что это одна из первых прогосударственных хакерских групп, которая атаковала банки с целью нарушения их работоспособности. «Кроме того, они используют уникальные вредоносные программы, представляющие интерес для технических специалистов», — добавил Волков.

Представитель посольства Северной Кореи в Москве на вопросы РБК о связи Lazarus с правительством страны в качестве официального ответа прислал три новости северокорейских СМИ. В опубликованных новостях информация о причастности хакеров к КНДР названа «грязной и наивной интриганской шумихой», а также выдвигается версия, что информация распространяется южнокорейскими СМИ, чтобы «облить холодной водой тенденцию улучшения отношений Севера и Юга».

Фото: Damir Sagolj / Reuters

Не первые

Исследование Group-IB описывает не только инструменты, но и логику, которой следуют хакеры Lazarus. «Мы сосредоточились на исследованиях их инфраструктуры, — поясняет Волков. — Мы обнаружили новые свидетельства, основанные не на сравнении вредоносного кода, причастности северокорейских хакеров к недавним инцидентам в банках. Связь, основанная на сходстве вредоносного кода, не всегда надежна, но когда вы видите, что это вредоносное программное обеспечение управлялось через цепочку анонимизированных узлов субъектом, которого вы подозревали вначале, сообщество лучше понимает источник угрозы, ее цели и мотивацию».​

Предположение о том, что за Lazarus стоят северокорейские хакеры, высказывали и другие компании, занимающиеся кибербезопасностью, в том числе и российская «Лаборатория Касперского». Так, в апреле компания выпустила отчет, в котором также доказывала это предположение.

По словам главного антивирусного эксперта лаборатории Александра Гостева, определить, кто стоит за атаками в киберпространстве, крайне непросто, а намеренное использование группировками ложных меток, призванных сбить исследователей с верного следа, лишь усложняет решение этой задачи. «Различные исследования деятельности группы Lazarus неоднократно указывали на Северную Корею, однако признаки были в основном косвенные, — говорит он. — К примеру, атака на Sony Entertainment была проведена незадолго до премьеры «Интервью» — комедии, в финале которой убивают лидера КНДР Ким Чен Ына. В результате премьеру пришлось отложить. Аналогично и атаки на южнокорейские сайты: предположение о причастности северного соседа основывалось прежде всего на возможном мотиве».

Однако компании все же удалось установить связь Lazarus с КНДР. Гостев рассказал, что в ходе расследования инцидента в одном из банков в Юго-Восточной Азии был зафиксирован один запрос от редкого IP-адреса в Северной Корее. «По одной из версий, это может указывать на то, что атакующие подключались к серверу с этого адреса из Северной Кореи. Однако нельзя также исключать вероятность, что подключение было ложным флагом, то есть попыткой намеренно запутать экспертов и пустить их по ложному следу, или же кто-то из жителей Северной Кореи случайно посетил адрес сервера», — пояснил он.

Русский след

Согласно еще одной популярной версии, Lazarus — это хакеры из России, Молдавии и Казахстана. Однако в отчете Group-IB предпринята попытка опровергнуть это. По мнению компании, Lazarus только маскируется под «русских хакеров». В частности, в коде программ были обнаружены символы и строки с русскими словами, написанными на латинице (они служили для описания команд, которые может получить вредоносная программа от сервера управления), — poluchit, ssylka, pereslat и др. Однако эти команды использовались неправильно для носителя языка, считают в Group-IB. Например, в случае с командой poluchit значение слова противоречит осуществляемому действию — вместо этого должна была быть команда send («отправлять»).

По мнению Волкова, Lazarus использовали образ российских хакеров из-за того, что в СМИ активно строится картина русской киберугрозы. «Предположительно, они решили замаскироваться под русских хакеров потому, что на тот момент новости об атаках русских хакеров были наиболее популярными», — считает он.

Lazarus и WannaCry

Специалисты «Лаборатории Касперского» указали, что за вирусом WannaCry, который в середине мая атаковал 200 тыс. пользователей в 150 странах, также может стоять северокорейская Lazarus. Однако они оговорились, что эта схожесть кода может быть очередным «ложным флагом». Некоторые следы, указывающие на возможную причастность Lazarus к WannaCry, нашла и американская Symantec. По словам Волкова из ​Group-IB, пока мало технических данных, для того чтобы говорить об ответственных однозначно. Секретарь Совета безопасности Николай Патрушев заявил, что Россия пока не располагает данными о причастности к кибератаке какой-либо конкретной страны, и расследование продолжается. 29 мая эксперты американской компании Flashpoint, проанализировав текст требования выкупа, пришли к выводу, что создателями вируса WannaCry могли быть уроженцы Гонконга, юга Китая, Сингапура или Тайваня.

Тематический проект о российской винодельческой культуре, вине и спиртных напитках

РБК Вино РБК Вино

Красивое и противоречивое: что такое амфорное вино

РБК Вино РБК Вино

Зеленые и желтые: какими кроме красных и белых бывают вина

РБК Вино РБК Вино

Артур Саркисян о том, хватит ли российского вина

РБК Вино РБК Вино

Как устроено восприятие вкусов

РБК Вино РБК Вино

Производство вина в России достигло исторических максимумов

РБК Вино РБК Вино

Перспектива терруара: станет ли Крым российским Провансом

РБК Вино РБК Вино

Царь супов русских: все о борще

Авторы
Теги
Магазин исследований Аналитика по теме "Безопасность"
Видео недоступно при нулевом балансе
Лента новостей
Курс евро на 3 декабря
EUR ЦБ: 112,8 (-1,51)
Инвестиции, 02 дек, 18:04
Курс доллара на 3 декабря
USD ЦБ: 107,18 (-0,57)
Инвестиции, 02 дек, 18:04
Названа дата следующего боя Александра ЕмельяненкоСпорт, 13:39
Семь человек арестовали после рейда в бывшем «Мутаборе»Общество, 13:32
Песков оценил перспективы подписания договора между Россией и ИраномПолитика, 13:31
Как «ботаник» из «Офиса» превратился в самого сексуального мужчину годаPro, 13:25
Песков счел слова Шольца «линией на продолжение войны»Политика, 13:24
«Русское Радио» назвало имена ведущих церемонии «Золотой Граммофон»РБК Компании, 13:22
Как снабжают электроэнергией крупные научные центрыРБК и Россети, 13:20
Онлайн-курс Digital MBA от РБК Pro
Объединили экспертизу профессоров MBA из Гарварда, MIT, INSEAD и опыт передовых ИТ-компаний
Оставить заявку
В Кузбассе ребенок выпал из кабины подъемника на горнолыжном курортеОбщество, 13:19
10 книжных новинок зимнего non/fiction: выбор «РБК Трендов»Социальная экономика, 13:19
Экс-глава РУСАДА назвала фильм Зеппельта запуском санкционного маховикаСпорт, 13:16
В США назвали эффективным инъекционный препарат для профилактики ВИЧОбщество, 13:16
Стали известны претенденты на премию лучшему молодому игроку РПЛСпорт, 13:14
Reuters узнал о продаже «Балтики» российской компании за ₽34 млрд⁠Бизнес, 13:07
Бывшая первая ракетка мира Нил Фрейзер умер в возрасте 91 годаСпорт, 13:05