Понедељак, 27.09.2021. ✝ Верски календар € Курсна листа

Хакерска група „Лазарус” не намерава да се заустави

Најновији узорци малвера се доводе у везу са озлоглашеним нападачима који су прошле године однели 81 милион долара из централне банке Бангладеша
Група покушала да украде 851 милион америчких долара, а успела да пренесе 81 милион америчких долара из централне банке Бангладеша (Фото www.kasperski)

У једној од највећих и најуспешнијих сајбер-пљачки до сада, у фебруару прошле године, организована група покушала је да украде 851 милион америчких долара и успела је да пренесе чак 81 милион америчких долара из централне банке Бангладеша. Истрага коју су спровели истраживачи из различитих ИТ безбедносних компанија открила је да постоји велика вероватноћа да је напад спровела група „Лазарус” – озлоглашена хакерска група одговорна за бројне нападе од 2009. године у 18 земаља.

Током анализе трагова које су оставили за собом у југоисточној Азији и европским банкама, компанија за сајбер-безбедност „Касперски лаб” успела је да у великој мери открије како функционишу малициозни алати које група користи. Захваљујући томе спречена су још најмање два велика напада на финансијске институције, саопштио је „Касперски”.

Иако је након напада у Бангладешу уследило неколико месеци тишине, група „Лазарус” је и даље била активна. Они су се припремали за нову операцију крађе новца од других банака и, у тренутку када су били спремни, већ су успели да се инфилтрирају у једну финансијску институцију у југоисточној Азији. Након што су их безбедносна решења омела у томе, нападачи су се повукли на још неколико месеци, да би касније одлучили да преместе своје операције у Европу. Међутим, њихови покушаји били су прекинути и на Старом континенту уз помоћ безбедносних решења, брзих одговора на инциденте, форензичке анализе и обрнутог инжењеринга.

Форензичком анализом напада реконструисан је начин рада ове групе.

У систем унутар банке упадају помоћу даљинског малициозног кода (нпр. на веб-серверу) или помоћу „watering hole” напада, користећи „рупу” постављену на бенигном сајту. Када жртва посети такву страницу, рачунар запосленог у банци бива заражен малвером који носи са собом додатне компоненте. Група се затим сели на друге „домаћине” унутар банке и инсталира отпорне малвере који им дозвољавају да долазе и одлазе кад год желе. Након тога група проводи дане и седмице проучавајући мрежу и идентификујући вредне ресурсе. Један такав ресурс може да буде резервни сервер, где се чувају подаци за ауторизацију, мејл сервер или целокупни контролер домена са тастерима за свака „врата” у компанији, као и сервер на којем се складиште или обрађују подаци о финансијским трансакцијама. Коначно, они инсталирају посебан малвер способан да заобилази унутрашње безбедносне функције финансијског софтвера и издају лажне трансакције у име банке.

Од децембра 2015. године, узорци малвера који се односе на активности групе „Лазарус” појавили су се у финансијским институцијама, казинима, софтверима инвестиционих компанија и компанијама које се баве криптовалутама у Јужној Кореји, Бангладешу, Индији, Вијетнаму, Индонезији, Костарики, Малезији, Пољској, Ираку, Етиопији, Кенији, Нигерији, Уругвају, Габону, Тајланду и у неколико других земаља. Најновији узорци откривени су у марту 2017. године, што значи да нападачи немају намеру да се зауставе.

Иако су нападачи били довољно опрезни да избришу своје трагове, бар један сервер који су компромитовали садржао је озбиљну грешку са важним артефактом који су оставили иза себе.

„Лазарус” група у великој мери улаже у нове варијанте малвера и истраживачи су сигурни да ће се вратити ускоро.

Коментари0
Молимо вас да се у коментарима држите теме текста. Редакција Политике ONLINE задржава право да – уколико их процени као неумесне - скрати или не објави коментаре који садрже осврте на нечију личност и приватан живот, увреде на рачун аутора текста и/или чланова редакције „Политике“ као и било какву претњу, непристојан речник, говор мржње, расне и националне увреде или било какав незаконит садржај. Коментаре писане верзалом и линкове на друге сајтове не објављујемо. Политика ONLINE нема никакву обавезу образлагања одлука везаних за скраћивање коментара и њихово објављивање. Редакција не одговара за ставове читалаца изнесене у коментарима. Ваш коментар може садржати највише 1.000 појединачних карактера, и сматра се да сте слањем коментара потврдили сагласност са горе наведеним правилима.
This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Комeнтар успeшно додат!

Ваш комeнтар ћe бити видљив чим га администратор одобри.

Овај веб сајт користи колачиће

Сајт politika.rs користи колачиће у циљу унапређења услуга које пружа. Прикупљамо искључиво основне податке који су неопходни за прилагођавање садржаја и огласа, надзор рада сајта и апликације. Подаци о навикама и потребама корисника строго су заштићени. Даљим коришћењем сајта politika.rs подразумева се да сте сагласни са употребом колачића.