30 мая 2017 года компания Group-IB, резидент IT-кластера Фонда «Сколково» и постоянный член Всемирного экономического форума, занимающаяся производством инновационных продуктов в области предотвращения киберугроз и расследованием киберпреступлений, представила исследование активности хакерской группировки Lazarus.
Анализируя не только вредоносный код, но и сложную технологическую инфраструктуру группы, ее каналы связи и инструменты маскировки, Group-IB представила новые доказательства северокорейского происхождения Lazarus и раскрыла неизвестные детали ее атак.
Долгое время эта хакерская группировка занималась шпионажем в системах государственных, военных, аэрокосмических учреждений в Южной Корее и США и DDoS-атаками на них. Мировую известность группа получила в 2014 году после взлома кинокомпании Sony Pictures Entertainment накануне выхода комедии «Интервью», высмеивающей северокорейский режим и лидера страны. Однако затем вектор атак Lazarus сместился в сторону международных финансовых организаций: так, в 2016 году группа попыталась похитить почти $1 млрд из центрального банка Бангладеш посредством атаки на систему межбанковских переводов SWIFT. В 2017 году Lazarus атаковала несколько банков в Польше, а спектр ее целей расширился до сотни финансовых организаций в 30 странах мира, включая Европейский центральный банк, ЦБ России, Бразилии и Венесуэлы.
«Бытует мнение, что проправительственные хакеры занимаются только шпионажем и политически мотивированными атаками. На примере Lazarus мы видим, что продвинутые технологии позволяют им выбирать самые защищенные цели, например, успешно атаковать банки и финансовые институты – и они активно интересуются такими возможностями. При этом обнаруживать и расследовать такие атаки сложнее, чем нападения со стороны традиционных преступных группировок», — считает Дмитрий Волков, руководитель отдела расследований и сервиса киберразведки Threat Intelligence, сооснователь Group-IB.
С начала 2016 года Lazarus пыталась маскировать атаки под активность «русских хакеров», добавляя отладочные символы и прописывая русские слова на латинице в код вредоносной программы. Кроме того, группа использовала инструменты, разработанные русскоязычными киберпреступниками. Несмотря на усилия хакеров, Group-IB удалось установить, что на протяжении нескольких лет атаки велись из одного места – Пхеньяна.
«Команда Group-IB обладает одной из лучших в отрасли экспертиз в сфере расследования кибератак. Она позволяет компании проводить расследование наиболее сложных инцидентов в области информационной безопасности и создавать решения, которые успешно конкурируют с ведущими международными компаниями. Это одно из тех новых имен, о котором мы говорим с гордостью. Я считаю, что у Group-IB есть отличные шансы стать международным лидером в области информационной безопасности», — комментирует директор по операционной работе кластера информационных технологий «Сколково» Сергей Ходаков.