近日,卡巴斯基實驗室公開了一項耗時超過一年的針對Lazarus駭客組織的調查結果。Lazarus駭客組織臭名昭著,曾經於2016年從孟加拉中央銀行盜竊8100萬美元的資金。該組織在東南亞以及歐洲銀行都留下過攻擊痕跡,卡巴斯基實驗室對這些遺留的痕跡進行取證分析後,掌握了該駭客組織所使用的惡意工具以及其在針對全球範圍內金融機構、DC、投資企業軟體發展商以及加密貨幣企業進行攻擊時的運營方式。這些發現幫助我們終止了至少兩次類似的攻擊。駭客發動攻擊的目的只有一個,既從金融機構竊取大量資金。
2016年2月,一個駭客組織(當時還未被命名)試圖從孟加拉中央銀行竊取8.51億美元,但最後只成功轉出了8100萬美元。這次攻擊是有史以來規模最大,最為成功的一次網路盜竊事件。來自多個不同IT安全企業(包括卡巴斯基實驗室)的研究人員在進行深入調查後認為,這次攻擊的幕後組織很可能是Lazarus——一個臭名昭著的網路間諜和破壞組織。該駭客組織曾經進行過多次毀滅性攻擊,而且從2009年開始,至少在全球18個國家進行過攻擊行動,目標包括製造企業、媒體和金融機構。
針對孟加拉中央銀行的攻擊過後,Lazarus駭客組織沉寂了幾個月,但是仍然在活躍。他們一直在為新的攻擊行動做準備,目標是從其它銀行竊取資金。當他們準備好時,已經成功入侵了一家東南亞銀行。但是,他們的行動被卡巴斯基實驗室產品和相關調查所打斷。他們只好推遲了幾個月再進行行動,並且決定將目標轉向歐洲。但是,他們的攻擊企圖再一次被卡巴斯基實驗室的安全軟體檢測到,還有卡巴斯基實驗室頂級研究人員提供的快速事故回應、取證分析和逆向工程支援服務。
Lazarus的攻擊方法
基於對這些攻擊的取證分析結果,卡巴斯基實驗室研究人員還原了這些網路罪犯的犯罪手法。
·初始入侵:利用遠端可訪問漏洞代碼(既網頁伺服器)或水坑式攻擊(通過良性網站植入漏洞利用程式),入侵銀行的一台電腦系統。一旦用戶訪問被植入漏洞的網站,受害者(銀行員工)的電腦就會被惡意軟體感染,這種惡意軟體會下載其它額外元件。
·站穩腳跟:之後,駭客會入侵其它的銀行主機,並且部署持久的後門程式。這些後門程式能夠讓駭客隨時進入受攻擊銀行的網路。
·內部偵察:駭客會花費幾天或幾周瞭解入侵的網路,尋找有價值的資源。這些資源可以是備份伺服器,因為其中存儲著驗證資訊。也可以是郵件伺服器或整體功能變數名稱控制器,其中包含通向受害企業所有“大門”的鑰匙。此外,還包括存儲或處理金融交易記錄的伺服器。
·實施盜竊:最後,他們會部署特殊的能夠繞過金融軟體內部安全檢測的惡意軟體,以銀行的名義進行假冒的銀行轉帳。
攻擊的地理分佈和網路罪犯歸屬
卡巴斯基實驗室調查的攻擊持續了數周。但是,攻擊者可能在未被發現的情況下進行了多個月的攻擊。例如,在對東南亞事件分析過程中,安全專家發現攻擊者早在銀行安全團隊請求事故回應之前至少七個月就已經入侵了銀行的網路。事實上,孟加拉銀行失竊案中,網路犯罪組織也是早就可以訪問銀行的網路。
根據卡巴斯基實驗室記錄,從2015年12月開始,同Lazarus駭客組織活動相關的惡意軟體樣本出現在眾多國家的金融機構、為投資公司開發DC軟體的開發商以及加密貨幣企業。其中包括韓國、孟加拉、印度、越南、印尼、哥斯大黎加、馬來西亞、波蘭、伊拉克、衣索比亞、肯亞、奈及利亞、烏拉圭、加蓬、泰國和其它國家。卡巴斯基實驗室發現的最新樣本於2017年3月被檢測到,表明攻擊者根本沒有停止攻擊的打算。
儘管攻擊者很小心,會儘量消除攻擊痕跡,但他們在另一次攻擊行動中犯了一個嚴重的錯誤,留下了一個重要的證據。為了準備實施攻擊,駭客將伺服器配置為惡意軟體的命令和控制中心。首次連接發生于配置完成大量,連接來源為幾個VPN/代 理伺服器,表明網路罪犯正在對命令和控制伺服器進行測量。但是,當天還出現一個短暫的連接,來自一個非常罕見的來自朝鮮的IP位址。
研究人員認為,有以下可能:
·攻擊者使用了朝鮮的IP位址進行連接
·這是一次精心設計的偽旗行動
·朝鮮的某個用戶無意間訪問到命令和控制伺服器的位址
Lazarus駭客組織投入大量資源開發最新的惡意軟體樣本。幾個月來,他們一直試圖製作出能夠不被安全解決方案檢測到的惡意工具。但是,每次都被卡巴斯基實驗室的專家識別出來,從而讓卡巴斯基實驗室的產品能夠追蹤最新的樣本。目前,攻擊者已經進入沉寂狀態,這表明他們可能已經暫停開發最新的攻擊工具。
“我們確定攻擊者將會捲土重來。通過Lazarus駭客組織實施的攻擊來看,任何微小的不當配置,都可能導致嚴重的安全入侵事故,給企業造成數千萬美元的損失。我們希望全球的銀行、DC和投資公司的主管人員能夠記住Lazarus這個名字,”卡巴斯基實驗室全球研究和分析團隊負責人Vitaly Kamluk說。
卡巴斯基實驗室產品能夠成功檢測和攔截Lazarus駭客組織使用的惡意軟體,檢測名稱如下:
·HEUR:Trojan-Banker.Win32.Alreay*,
·Trojan-Banker.Win32.Agent*
公司還發表了重要感染痕跡(IOC)和其它資料,説明企業和組織在自己的企業網路中查找攻擊痕跡。更多資訊,請參見Securelist.com
我們建議所有組織和企業仔細掃描自己的網路,查找是否存在Lazarus惡意軟體樣本。如果發現有,請儘快消除干擾,並將相關情況上報給執法機關和事故回應團隊。