Специалисты Check Point сообщили о кибератаках хакерской АРТ-группы Lazarus на российские компании. Эксперты называют случай беспрецедентным — ранее российские организации не становились жертвами Lazarus, зачастую злоумышленники группы атакуют цели в Южной Корее и Японии.
Хакерская группировка Lazarus (известна под именами HIDDEN COBRA, Guardians of Peace, ZINC, NICKEL ACADEMY и APT38) впервые за всю историю исследования информационной безопасности совершили атаку на организации, которые базируются в России, сообщают специалисты компании Check Point. До этого северокорейские хакеры не атаковали Россию, поскольку страны поддерживают дружеские отношения.
На счету у Lazarus множество атак как минимум на 11 стран. Главными жертвами киберпреступников, как правило, становятся компании из Японии и Южной Кореи. Однако Россией хакеры ранее никогда не интересовались. Как поясняет Check Point, данная вредоносная активность регистрировалась на протяжении последних нескольких недель.
Экспертам удалось выяснить, что за хакерскими атаками на Россию стоит подразделение Lazarus – Bluenoroff, которое осуществляет хакерские операции ради наживы. Считается, что Bluenoroff стоит за взломом серверов Sony Pictures Entertainment в 2014 г. Им же приписывают похищение $81 млн у Центробанка Бангладеш в 2016 г. и ограбление криптовалютных бирж на миллионы долларов.
За последние полтора года группа Lazarus атаковала как минимум 5 криптобирж: Yapizon, Coinis, YouBit, Bithumb, Coinckeck. После заражения хакеры проводили разведку локальной сети, чтобы найти компьютеры или серверы, на которых велась работа с приватными кошельками криптобирж.
Кроме того, группу связывают с эпидемией Wannacry, атаками на банки в Польше и Мексике, фишинговыми атаками на подрядчиков Министерства обороны США, кампаниями против онлайновых казино в странах Латинской Америки. В прошлом году в отчете разработчика антивирусного программного обеспечения McAfee сообщалось, что хакерская группировка совершила серию кибератак в 17 странах.
В новом докладе исследователи пишут о крупной кампании под названием "Операция GhostSecret", направленная на кражу конфиденциальных данных из широкого спектра отраслей, включая критическую инфраструктуру, развлечения, финансы, здравоохранение и телекоммуникации. Атакующие использовали инструменты и вредоносные программы, которые связывают с деятельностью киберподразделения Северной Кореи Lazarus.
Предполагается, что "Операция GhostSecret" началась с массовой кибератаки в нескольких турецких финансовых учреждениях и правительственных организациях в начале марта 2018-го. Были инфицированы вредоносами серверы в США, Австралии, Японии и Китае. Больше всего пострадал Таиланд: почти 50 серверов сильно пострадали от вредоносного ПО. В докладе говорится, что хакеры Северной Кореи расширяют направленность атак за пределы обычных интересов - кражи криптовалюты или секретов военной разведки.
Чаще всего атаки начинаются с таргетированных писем, содержащих вредоносные архивы ZIP. Внутри них находятся файлы Office и PDF, созданные специально для русскоязычной аудитории. В одном из случаев письмо якобы содержало NDA российской компании StarForce Technologies.
В документах находятся вредоносные макросы, срабатывание которых приводит к загрузке и исполнению скрипта VBS. Скачивание зачастую происходит с Dropbox. VBS загружает файл CAB с сервера злоумышленников, извлекает из него файл EXE и выполняет его. Впоследствии злоумышленники упростили схему — загрузка бэкдора стала возможна непосредственно с помощью макросов в документе Word.
Какие именно компании и организации в России стали целями злоумышленников неясно.
Связать происходящее с Lazarus помогла идентификация обновленной версии известного инструмента северокорейских хакеров KEYMARBLE, об опасности этого бэкдора говорится в прошлогоднем отчете Министерства внутренней безопасности США и Федерального бюро расследований. Аналитики Check Point отмечают, что в итоге вредонос едва обнаруживается защитными решениями, судя по данным VirusTotal.