Эксперты Group-IB доказали связь между Lazarus и правительством КНДР

Эксперты Group-IB опубликовали отчет «Lazarus: архитектура, инструменты, атрибуция», где представили ранее неизвестные подробности об атаках хакерской группировки Lazarus, доказывающие ее связь с правительством КНДР.

Согласно отчету, раньше Lazarus занималась кибершпионажем против госучреждений и частных компаний США и Южной Кореи, но теперь группировка атакует финорганизации по всему миру. В частности, именно она подозревается в масштабных атаках на Центробанк Бангладеш в 2016 году и на Sony Entertainment в 2014 году.

В феврале нынешнего года Lazarus осуществила атаки на ряд банков в Польше. Кроме того, под прицелом хакеров оказались сотни финансовых организаций в 30 странах мира. Киберпреступников интересовали сотрудники центральных банков таких стран, как Россия, Венесуэла, Бразилия, Чили и пр.

Как пояснил основатель Group-IB Дмитрий Волков, по результатам расследования экспертам компании удалось доказать причастность группы Lazarus к КНДР. На основе анализа использовавшихся для атак IP-адресов исследователи обнаружили точное местоположение хакеров. «Мы смогли выявить и изучить всю инфраструктуру управления, используемую Lazarus. Наше расследование показало, как хакеры проникали в сеть банков, какие вредоносные программы использовались, кого еще собирались атаковать», – отметил Волков. 

Как выяснилось в ходе расследования, подключение к самому последнему, третьему уровню серверов управления происходило с северокорейских IP-адресов 210.52.109.22 и 175.45.178.222. Второй̆ IP-адрес относится к району Potonggang в Пхеньяне – там располагаются Национальная комиссия КНДР по обороне и недостроенный многоэтажный отель Ryugyong Hotel. Данное здание предположительно является резиденцией правительственных хакеров.

По словам исследователей, с начала прошлого года Lazarus пыталась замаскироваться под «русских хакеров». В частности, киберпреступники добавили в отладочный модуль строки на русском языке для описания команд. Преступники ошиблись и назвали команду «отправить на C&C сетевой адрес текущего сервера» словом «poluchit», однако им все же удалось ввести в заблуждение некоторых ИБ-экспертов, приписавших атаки на банки русским.

Lazarus (второе название Dark Seoul Gang) – северокорейская хакерская группировка, за которой, предположительно, стоит подразделение Разведывательного Управления Генштаба КНА Bureau 121, занимающееся проведением операций в киберпространстве.