Статья опубликована в № 4332 от 31.05.2017 под заголовком: Пхеньянский след

Хакеры Lazarus близки к госструктурам КНДР

Group-IB утверждает, что Lazarus базируется в том же районе, что и военное ведомство КНДР
Прослушать этот материал
Идет загрузка. Подождите, пожалуйста
Поставить на паузу
Продолжить прослушивание

Последние кибератаки на международные банки хакеров из группы Lazarus (известна также как Dark Seoul Gang) совершались из Пхеньяна, говорится в докладе российской компании Group-IB (занимается расследованиями компьютерных преступлений). Все атаки совершались из пхеньянского района Потхонган, главные достопримечательности которого закрыты для иностранцев: это штаб-квартира национального комитета по обороне КНДР и недостроенный отель Ryugyong, к которому тем не менее подведены все коммуникации.

Деятельность кибергруппировки Lazarus не впервые связывают с Северной Кореей. Мировую известность группировка получила после атаки на кинокомпанию Sony Pictures Entertainment в 2014 г. Тогда руководитель ФБР Джеймс Коми заявил о том, что за северокорейской группой хакеров стоит Bureau 121 – подразделение разведывательного управления генштаба КНДР, в задачи которого входит проведение киберопераций. Власти КНДР тогда официально опровергли эти обвинения. В последние годы вектор атак Lazarus сместился в сторону международных финансовых организаций. В 2017 г. Lazarus атаковала несколько банков в Польше, а спектр ее целей расширился до сотни финансовых организаций в 30 странах мира, включая Европейский центральный банк, ЦБ России, Бразилии и Венесуэлы, говорится в докладе.

До сих пор версии, связывавшие Lazarus с Северной Кореей, основывались просто на схожести вредоносного кода, говорит руководитель отдела расследований и сервиса киберразведки Threat Intelligence, сооснователь Group-IB Дмитрий Волков. Но киберпреступники часто используют фрагменты кода других группировок, находящиеся в открытом доступе. Поэтому Group-IB сосредоточилась на выявлении и исследовании инфраструктуры преступной группы, утверждает Волков.

Неудачливые грабители

Lazarus связывают с кражей $81 млн из центробанка Бангладеш в феврале 2016 г. – одним из самых крупных киберограблений в истории. Тогда хакерам не удалось украсть $1 млрд лишь из-за ошибки в назначении платежа на последнем этапе перевода денег, следует из доклада Group-IB.

Для маскировки Lazarus выстроила трехуровневую инфраструктуру серверов управления. Подключение к самому последнему, третьему, уровню серверов управления инфраструктуры происходило с двух IP-адресов Северной Кореи: 210.52.109.22 и 175.45.178.222, говорится в докладе. Второй IP-адрес относится к району Потхонган в Пхеньяне. «Мы не можем утверждать, что за хакерскими атаками стоит именно правительство КНДР, но мы знаем, что хакеры и комитет по обороне находятся в одном районе Пхеньяна», – замечает представитель Group-IB. Потхонган – это один из 19 округов Пхеньяна.

Различные исследования деятельности группы Lazarus уже неоднократно указывали на Северную Корею, однако признаки были в основном косвенные, согласен главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев. К примеру, атака на Sony Entertainment была проведена незадолго до премьеры «Интервью» – комедии, в финале которой убивают лидера КНДР Ким Чен Ына, – и предположение о причастности КНДР основывалось, прежде всего, на возможном мотиве.

Некоторые дополнительные улики экспертам «Лаборатории Касперского» удалось установить в ходе расследования инцидента в одном из банков в Юго-Восточной Азии, говорит Гостев. На одном из взломанных серверов, который Lazarus использовала в качестве командного центра, удалось обнаружить важный артефакт. Среди подключений к серверу был зафиксирован один запрос от редкого IP-адреса в Северной Корее. Это может как раз указывать на то, что атакующие подключались к серверу с этого адреса из Северной Кореи, говорит Гостев. Результаты расследования Group-IB во многом дополняют и подкрепляют выводы «Лаборатории Касперского», поэтому компания не видит оснований не доверять им, резюмирует Гостев.

Пока никто не прокомментировал этот материал. Вы можете стать первым и начать дискуссию.
Комментировать
Читать ещё
Preloader more