Lazarus оста­ви­ла ко­рей­ский след

Group-IB утвер­жда­ет, что ха­ке­ры близ­ки к гос­струк­ту­рам КНДР

Vedomosti.Piter - - КОМПАНИИ И РЫНКИ - Ки­рилл Се­дов ВЕДОМОСТИ

По­след­ние ки­бе­р­ата­ки на меж­ду­на­род­ные бан­ки ха­ке­ров из груп­пы Lazarus (из­вест­на так­же как Dark Seoul Gang) со­вер­ша­лись из Пхе­нья­на, го­во­рит­ся в до­кла­де рос­сий­ской ком­па­нии Group-IB (за­ни­ма­ет­ся рас­сле­до­ва­ни­я­ми ком­пью­тер­ных пре­ступ­ле­ний). Все ата­ки со­вер­ша­лись из пхе­ньян­ско­го рай­о­на Пот­хон­ган, глав­ные до­сто­при­ме­ча­тель­но­сти ко­то­ро­го за­кры­ты для ино­стран­цев: это штаб-квар­ти­ра на­ци­о­наль­но­го ко­ми­те­та по обо­роне КНДР и недо­стро­ен­ный отель Ryugyong, к ко­то­ро­му тем не ме­нее под­ве­де­ны все ком­му­ни­ка­ции.

Деятельность ки­бер­груп­пи­ров­ки Lazarus не впер­вые свя­зы­ва­ют с Се­вер­ной Ко­ре­ей. Ми­ро­вую из­вест­ность груп­пи­ров­ка по­лу­чи­ла по­сле ата­ки на ки­но­ком­па­нию Sony Pictures Entertainment в 2014 г. То­гда ру­ко­во­ди­тель ФБР Джеймс Ко­ми за­явил о том, что за се­ве­ро­ко­рей­ской груп­пой ха­ке­ров сто­ит Bureau 121 – под­раз­де­ле­ние раз­ве­ды­ва­тель­но­го управ­ле­ния ген­шта­ба КНДР, в за­да­чи ко­то­ро­го вхо­дит про­ве­де­ние ки­бе­ро­пе­ра­ций. Вла­сти КНДР то­гда офи­ци­аль­но опро­верг­ли эти об­ви­не­ния. В по­след­ние го­ды век­тор атак Lazarus сме­стил­ся в сто­ро­ну меж­ду­на­род­ных фи­нан­со­вых ор­га­ни­за­ций. В 2017 г. Lazarus ата­ко­ва­ла несколь­ко бан­ков в Поль­ше, а спектр ее це­лей рас­ши­рил­ся до сот­ни фи­нан­со­вых ор­га­ни­за­ций в 30 странах ми­ра, вклю­чая Ев­ро­пей­ский цен­траль­ный банк, ЦБ Рос­сии, Бра­зи­лии и Ве­не­су­э­лы, го­во­рит­ся в до­кла­де.

До сих пор вер­сии, свя­зы­вав­шие Lazarus с Се­вер­ной Ко­ре­ей, ос­но­вы­ва­лись про­сто на схо­же­сти вре­до­нос­но­го ко­да, го­во­рит ру­ко­во­ди­тель от­де­ла рас­сле­до­ва­ний и сер­ви­са ки­бер­раз­вед­ки Threat Intelligence, со­ос­но­ва­тель Group-IB Дмит­рий Вол­ков. Но ки­бер­пре­ступ­ни­ки ча­сто ис­поль­зу­ют фраг­мен­ты ко­да дру­гих груп­пи­ро­вок, на­хо­дя­щи­е­ся в от­кры­том до­сту­пе. По­это­му GroupIB со­сре­до­то­чи­лась на вы­яв­ле­нии и ис­сле­до­ва­нии ин­фра­струк­ту­ры пре­ступ­ной груп­пы, утвер­жда­ет Вол­ков.

Для мас­ки­ров­ки Lazarus вы­стро­и­ла трех­уров­не­вую ин­фра­струк­ту­ру сер­ве­ров управ­ле­ния. Под­клю­че­ние к са­мо­му по­след­не­му, тре­тье­му, уров­ню сер­ве­ров управ­ле­ния ин­фра­струк­ту­ры про­ис­хо­ди­ло с двух IP-ад­ре­сов Се­вер­ной Ко­реи: 210.52.109.22 и 175.45.178.222, го­во­рит­ся в до­кла­де. Вто­рой IP-ад­рес от­но­сит­ся к рай­о­ну Пот­хон­ган в Пхе­ньяне. «Мы не мо­жем утвер­ждать, что за ха­кер­ски­ми ата­ка­ми сто­ит имен­но пра­ви­тель­ство КНДР, но мы зна­ем, что ха­ке­ры и комитет по обо­роне на­хо­дят­ся в од­ном районе Пхе­нья­на», – за­ме­ча­ет пред­ста­ви­тель Group-IB. Пот­хон­ган – это один из 19 окру­гов Пхе­нья­на.

Раз­лич­ные ис­сле­до­ва­ния де­я­тель­но­сти груп­пы Lazarus уже неод­но­крат­но ука­зы­ва­ли на Се­вер­ную Ко­рею, од­на­ко при­зна­ки бы­ли в ос­нов­ном кос­вен­ные, со­гла­сен глав­ный ан­ти­ви­рус­ный экс­перт «Ла­бо­ра­то­рии Кас­пер­ско­го» Алек­сандр Го­стев. К при­ме­ру, ата­ка на Sony Entertainment бы­ла про­ве­де­на неза­дол­го до пре­мье­ры «Ин­тер­вью» – ко­ме­дии, в фи­на­ле ко­то­рой уби­ва­ют ли­де­ра КНДР Ким Чен Ына, – и пред­по­ло­же­ние о при­част­но­сти КНДР ос­но­вы­ва­лось, пре­жде все­го, на воз­мож­ном мо­ти­ве.

Неко­то­рые до­пол­ни­тель­ные ули­ки экс­пер­там «Ла­бо­ра­то­рии Кас­пер­ско­го» уда­лось уста­но­вить в хо­де рас­сле­до­ва­ния ин­ци­ден­та в од­ном из бан­ков в Юго-Во­сточ­ной Азии, го­во­рит Го­стев. На од­ном из взло­ман­ных сер­ве­ров, ко­то­рый Lazarus ис­поль­зо­ва­ла в ка­че­стве ко­манд­но­го цен­тра, уда­лось об­на­ру­жить важ­ный ар­те­факт. Сре­ди под­клю­че­ний к сер­ве­ру был за­фик­си­ро­ван один за­прос от ред­ко­го IP-ад­ре­са в Се­вер­ной Ко­рее. Это мо­жет как раз ука­зы­вать на то, что ата­ку­ю­щие под­клю­ча­лись к сер­ве­ру с это­го ад­ре­са из Се­вер­ной Ко­реи, го­во­рит Го­стев. Ре­зуль­та­ты рас­сле­до­ва­ния Group-IB во мно­гом до­пол­ня­ют и под­креп­ля­ют вы­во­ды «Ла­бо­ра­то­рии Кас­пер­ско­го», по­это­му ком­па­ния не ви­дит ос­но­ва­ний не до­ве­рять им, ре­зю­ми­ру­ет Го­стев.-

Newspapers in Russian

Newspapers from Russia

© PressReader. All rights reserved.