A szakértők a Lazarus hekkercsoportot tették felelőssé a tavalyi bangladesi központi bank elleni támadásért. Az akcióban összesen 81 millió dollárt (23 milliárd forint) raboltak el.

A Kaspersky Lab ismertette a hekkercsoport ügyében folytatott egyéves vizsgálat eredményeit. Meghatározták a Lazarus támadási módszertanát; felmérték hogy milyen kártékony programokat és stratégiát használnak a pénzügyi intézmények, kaszinók, befektetési társaságok fejlesztési részlegei és digitálispénznem-vállalkozások elleni támadások során.

A felmérés eredményeit felhasználva a cég szakemberei megállíthattak két hasonló támadást, amik szintén pénzintézeteket céloztak.

Tavaly februárban egy akkor még azonosítatlan hekkercsoport megkísérelt ellopni kb. 240 milliárd forintot (851 millió dollárt). Az akció végén végül 23 milliárd forintot (81 millió dollárt) tudtak átutalni bankszámláikra a bangladesi Központi Bankból. A támadás napjaink legsikeresebb kibertámadásaként vonult be a történelembe. Az eredmények szerint a támadások mögött a Lazarus csoport állhat.

A bangladesi támadást több hónapos csend követte. A Lazarus eközben aktívan készítette elő új műveletét, amely során más bankokat szándékoztak feltörni. Úgy tűnik, sikeresen behatoltak egy délkelet-ázsiai pénzintézet rendszerébe.  Miután a Kasperksy eszközei blokkolták a támadást, a Lazarus néhány hónap pihenőt tartott, majd úgy döntöttek, hogy átköltöznek Európába. Szerencsére a támadó kísérleteiket megakadályozták a Kaspersky biztonsági szoftverei és a támadás gyors elemzése.

Az igazságügyi szakértői elemzés eredményei alapján a Kaspersky Lab kutatói rekonstruálták a csoport működési modelljét:

• Kezdeti kompromisszum. Egy bankrendszer feltörhető akár egy távolról is elérhető sebezhető kóddal (például egy web-szerveren), vagy akár egy honlapon elhelyezett exploit segítségével, amit a gyanútlan áldozat - például egy banki alkalmazott - a weblap-látogatás során a számítógépére telepített.
• Beépülés. Ezután a csoport a bank rendszerében vándorol és állandó backdoorokat épít, amely lehetővé teszi számukra a szabad mozgást.  
• Belső felderítés. A csoport napokat vagy heteket is eltölt a hálózat tanulmányozásával, hogy azonosítani tudják az értékes erőforrásokat. Ilyen forrás lehet például a backup-szerver, ahol a hitelesítési információkat tárolják, vagy a levelező-szerver, vagy a teljes tartományvezérlő, amely rendelkezik az ajtókat nyitó kulcsokkal, valamint a pénzügyi tranzakciók adatait tároló szerverek.
• Végrehajtás. Az általuk telepített speciális malware képes behatolni a pénzügyi szoftverek belső biztonsági funkcióiba, így hamis tranzakciókat indíthatnak.

A vizsgált támadások hetekig tartottak. A délkelet-ázsiai támadás elemzése során a szakértők felfedezték, hogy a hekkerek 7 hónappal korábban törték fel a rendszert, minthogy a bank biztonsági csapata segítséget kért volna. Úgy tűnik a bangladesi incidens előtt már volt hozzáférésük a hálózathoz.

Bár a támadók óvatosak voltak, egy általuk feltört szerveren ott felejtettek egy mintát. A felkészülési művelet folyamán a szervert a rosszindulatú-program C&C központjaként konfigurálták. A konfiguráció első csatlakozásai néhány VPN/proxy-szerverről érkeztek, tesztelve a C&C szervert. Ugyanakkor volt egy rövid csatlakozás egy nagyon ritka észak-koreai IP címről.

A kutatók szerint ez a csatlakozás az alábbiakat jelentheti:

• A támadók erről az észak-koreai IP-címről csatlakoznak a rendszerre.
• Ez egy gondosan megtervezett hamis művelet volt.
• Valaki Észak-Koreában véletlenül meglátogatta a C&C URL-jét.

A Lazarus csoport nagy figyelmet fordít kártékony programjai új verzióinak fejlesztésébe. Több hónapon keresztül próbáltak létrehozni egy olyan rosszindulatú eszközkészletet, ami láthatatlan a biztonsági szoftverek előtt, de mindig hatékonyan blokkolták a Kaspersky Lab szakemberei és így képesek voltak az újabb és újabb mintákat észlelni. A csoport most viszonylag csendes, ami valószínűleg azt jelenti, hogy szüneteltetik az új minták építését.

Vitaly Kamluk, a Kaspersky vezető elemzője szerint a támadók hamarosan visszatérnek. A támadásaik azt mutatják, hogy akár egy kisebb konfigurációs hiba is előidézheti a támadott rendszer megsértését, és ezzel potenciálisan több száz millió dolláros veszteséget okozhatnak. Azt javasolják minden szervezetnek, hogy alaposan vizsgálják át a hálózatukat Lazarus-csoport minták után kutatva. Ha kimutatható ilyen minta, fertőtlenítsék a rendszereket, és mielőbb jelentsék a behatolást a megfelelő szerveknek.