Хакеры из КНДР

Как заключили российские эксперты из Group-IB, за группировкой Lazarus стоят хакеры, которых поддерживает Пхеньян, подозреваемые во взломе Sony (2014 год) и попытке кражи $1 млрд (национальный банк Бангладеш)

В блоге российской компанией Group-IB, работающей в сфере кибербезопасности, был опубликован доклад, в котором представлены факты, свидетельствующие, что за известной группировкой хакеров Lazarus стоит корейское правительство.

Lazarus получила известность в первую очередь после того, как в прошлом году она атаковала бангладешский Центробанк, предприняв попытку вывода из него $1 млрд, Но часть операций успели заблокировать и их добыча составила всего $81 млн. Хакеров из Lazarus подозревали в том, что они причастны к организации одной из крупнейших корпоративных утечек в кинокомпании, относящейся к Sony Corporation (2014 год). После ее взлома в интернете появились еще не выпущенные в прокат фильмы, а также персональная информация знаменитых голливудских актеров, сотрудничавших с компанией и ее сотрудников. ФБР официально предъявило КНДР обвинение в том, что оно организовало атаку.

Как уверены в Group-IB, наряду с вышеупомянутыми атаками, на Lazarus лежит бремя ответственности за взлом сетей различных стран, в т. ч. японских и канадских фармацевтических компаний, университетов США, Индии, Польши, Турции, Канады, Великобритании, Болгарии.

Как смогли установилить в Group-IB, атакой Lazarus управляли с двух IP-адресов, имеющих отношение к КНДР, причем один находится в ведении северокорейского интернет-провайдера. Когда этот IP-адрес проверили в сервисе WhoIs, то выяснили, что его выделили для пхеньянского района Potonggang, в котором находится Национальная комиссия КНДР по обороне. Но атаку могли вести, находясь в любом другом здании этого района. По словам представителя Group-IB, впервые они обнаружили реальные IP-адреса преступников.

Как было установлено экспертами, чтобы обеспечить собственную анонимность, хакеры из Lazarus пользовались сервисом SoftEther VPN (его поддерживает японский Цукубский университет).

По словам сооснователя и руководителя отдела расследований Group-IB Дмитрия Волкова, атакующие преследовали главные цели — организация кибершпионажа и слежки за межбанковскими транзакциями и — в некоторых случаях проведение несанкционированных платежей (хищение денег).

Lazarus, как сказал сооcнователь Group-IB, особенна тем, что она относится к прогосударственным хакерским группам, атакующим банки, чтобы нарушить их работоспособность. К тому же, они вооружены уникальными вредоносными программами, которые могут вызвать высокий интерес у технических специалистов.

От представителя посольства Северной Кореи в Москве в качестве официального ответа поступило несколько новостей из северокорейской прессы. В них, в частности, говорится, что информация о том, что хакеры причастны к КНДР, «грязная и наивная интриганская шумиха», а дополнено это версией, что эти слухи распространяют южнокорейские СМИ, чтобы охладить тенденцию улучшения отношений между Севером и Югом.

В исследовании Group-IB содержится описание не только инструментов, но и логики, которой придерживаются хакеры Lazarus. Обнаружены новые свидетельства, и основаны они не на сравнении вредоносного кода или причастности хакеров из Северной Кореи к недавним случаям в банках. Связь, в основе которой лежит сходство вредоносного кода, не всегда можно назвать надежной, но, когда видно, что управление этого вредоносного ПО осуществлялось через цепочку анонимных узлов субъектом, подозреваемым с самого вначале, сообществом лучше понимается источник угрозы вместе с ее целями и мотивацией.

Предположения о причастности к Lazarus северокорейских хакеров, высказывались и другими компаниями, работающими в сфере кибербезопасности, в том числе и российской «Лабораторией Касперского».

Как сказал главный антивирусный эксперт лаборатории Александр Гостев, определение того, кто стоит за кибератаками, задача крайне непростая, а когда группировки намеренно используют ложные метки, призванные сбить исследователей со следа, решение задачи усложняется. Разного рода исследования деятельности Lazarus не раз указывали на северокорейский след, но признаки преимущественно, носили косвенный характер. Например, Sony Entertainment атаковали почти накануне премьерного показа «Интервью» (комедия, финал которой завязан на смерти лидера КНДР Ким Чен Ына). В итоге премьера была отложена.

И все-таки компания установила связь Lazarus с КНДР. По словам Гостева, при расследовании инцидента в одном из банков в Юго-Восточной Азии зафиксировали запрос, пришедший с редкого IP-адреса в Северной Корее. Одна из версий сводится к тому, что это может указывать на подключение атакующих к серверу с этого адреса из Северной Кореи. Но не исключена и вероятность, что подключение - это ложный флаг, то есть попытка пустить экспертов по ложному следу, или какой-нибудь житель Северной Кореи случайно зашел на адрес сервера.

Есть и другая популярная версия, что Lazarus — это хакеры, представляющие Россию, Молдавию и Казахстан. Но в отчете Group-IB попытались изложить опровержение. Как считают в компании, Lazarus - это маскировка под «хакеров-россиян». Дало в том, что код программ состоял в т. ч. из символов и строк с русскими словами, написанными латинскими буквами (описание команд, получаемых вредоносной программой от сервера управления), — ssylka, pereslat и пр. Но использование этих команд - неправильное для носителя языка. Допустим, команда poluchit - тут значение слова не совпадает с осуществляемым действием — по уму должна быть команда send («отправлять»).

Как считает Волков, Lazarus воспользовались образом российских хакеров так как в СМИ активно выстраивается картина киберугрозы от русских. Возможно, они решили маскироваться под русских хакеров потому, что в то время новости про атаки русских хакеров были на слуху.

Lazarus и WannaCry

По словам специалистов «Лаборатории Касперского», к вирусу WannaCry, в середине мая атаковавшим 200 тыс. пользователей 150-ти стран, тоже может быть причастна Lazarus, но с оговоркой, что в схожести кода может быть очередной «ложный флаг». Какие-то из следов, указывающих на вероятность причастности Lazarus к WannaCry, были найдены компанией Symantec (США). Как сказал Волков, пока у них нет должного объема технических данных, чтобы однозначно указать на ответственных. По словам секретаря Совета безопасности Николая Патрушева, пока у России нет данных о том, что к кабератаке причастна какая-либо конкретная страна, и расследование не закончено. 29 мая эксперты компании Flashpoint (США) проанализировали текст требования выкупа, после чего сделали вывод, что создать вирус WannaCry могли уроженцы юга Китая, Тайваня, Сингапура или Гонконга.