Celebru pentru furtul a 81 de milioane de dolari din Banca Centrală a Bangladesh-ului, în urmă cu trei ani, atacul Lazarus se prezintă ca un malware care a făcut "carieră" prin atacurile îndreptate către instituţii financiare, cazinouri, companii care operează cu criptomonede şi dezvoltatori de software pentru companii de investiţii. Apăruţi din neant, ca orice atacatori cibernetici, membrii grupării Lazarus au reuşit să păcălească reţele de securitate considerate sofisticate până la un moment dat. În cele din urmă, infractorii au fost deconspiraţi.

Jaful record şi metodele de intruziune
Înainte ca experţii de la Kaspersky să publice rezultatele propriei cercetări pe subiectul Lazarus, în 2017, activitatea acestui grup se derulase deja timp de un an. Cu toată grija de a ascunde orice urmă, cel puţin un server pe care l-au spart într-o altă campanie conţinea în log-uri conexiuni de la IP-uri din Coreea de Nord, fapt care i-a determinat pe cercetători să creadă fie că atacatorii ar putea proveni din această ţară, fie că altcineva a plantat un indiciu atent confecţionat pentru a da vina pe Coreea de Nord sau că un utilizator din acest stat a vizitat accidental URL-ul de comandă şi control.

În cele din urmă, prima ipoteză s-a dovedit cea mai plauzibilă, fiind susţinută de faptul că atacatorii au făcut o greşeală destul de mare în timpul atacului lansat.

Grupul Lazarus este considerat responsabil de furtul a 81 de milioane de dolari din Banca Centrală a Bangladesh-ului, în 2016. Atacul a avut loc în luna februarie a acelui an, iar grupul necunoscut la acea vreme a încercat să sustragă de fapt 851 de milioane de dolari, însă în cele din urmă a trebuit să se mulţumească cu puţin peste 10% din total. "Ipotezele ulterioare au condus la ideea că Lazarus poate fi responsabil. Până atunci, grupul fusese cunoscut pentru o serie de atacuri asupra unor companii din industria producătoare, din media şi industria financiară, începând cu 2009", susţin analiştii în securitate informatică ai Kaspersky.

La câteva luni după ce au fost descoperiţi, creatorii din spatele Lazarus au încercat să pregătească o nouă operaţiune având ca ţinte instituţiile financiare din sud-estul Asiei, dar au fost întrerupţi de soluţiile Kaspersky. După alte câteva luni, au fost detectaţi în Europa şi, din nou, împiedicaţi să-şi pună planurile în aplicare.

Conform datelor centralizate pe subiectul Lazarus, ţintele preferate ale Grupului s-au dovedit a fi: instituţiile financiare, cazinourile, companiile care operează cu criptomonede, dezvoltatorii de software pentru companii de investiţii din ţări ca Bangladesh, Coreea, India, Vietnam, Indonezia, Costa Rica, Malaezia, Polonia, Irak, Etiopia, Kenya, Nigeria, Uruguay, Gabon şi Thailanda.

Care era modalitatea de acţiune gândită de Lazarus? Din analiza experţilor a reieşit faptul că vectorii de infectare erau fie accesul de la distanţă, fie un atac de tip "Watering-hole", adică infectarea unui site extern, de pe care un angajat al băncii accesează virusul, care apoi va aduce cu el şi alte componente. Ulterior, odată intraţi "în pâine", atacatorii rămâneau în reţea luni întregi pentru a o studia. Ce s-a dovedit ingenios şi periculos, în acelaşi timp, a fost că malware-ul care fura efectiv banii era capabil să păcălească securitatea instituţiilor financiare şi să genereze tranzacţii în numele băncii.

Atacurile celor din Lazarus au durat mai multe săptămâni. Numai în cazul incidentului din Asia de sud-est, din Bangladesh, atacatorii au avut acces la reţea cu şapte luni înainte ca echipa de securitate a băncii să solicite ajutor.

Experţi: Grupul Lazarus investeşte masiv în noi variante ale programelor malware
În luna mai a anului 2017, în plină agitaţie determinată de atacurile de ransmoware WannaCry, specialiştii din cadrul mai multor echipe de securitate cibernetică au readus în discuţie Grupul Lazarus. Astfel, analiştii din echipa globală de cercetare şi analiză (GReAT) a Kaspersky menţionau că un cercetător în securitate de la Google a publicat pe Twitter o mostră ce arăta o posibilă legătură între atacurile ransomware WannaCry, care au lovit mii de organizaţii şi utilizatori individuali din toată lumea, şi programul malware atribuit grupului Lazarus, responsabil pentru atacuri de amploare asupra unor organizaţii guvernamentale şi asupra unor instituţii media şi financiare.

Se amintea, la vremea respectivă, despre cele mai mari operaţiuni legate de Lazarus, şi care au inclus atât atacurile împotriva Sony Pictures, din 2014, cât şi jaful de la Banca Centrală din Bangladesh din 2016, precum şi o serie de atacuri similare din 2017. "Grupul Lazarus investeşte masiv în noi variante ale programelor lor malware, iar timp de câteva luni au încercat să creeze un set de instrumente care ar fi invizibile pentru sistemele de securitate. Specialiştii (...) au reuşit, însă, să identifice elementele specifice din modul în care aceştia îşi creau codurile, iar produsele companiei detectează şi blochează malware-ul folosit de gruparea Lazarus", nota Kaspersky.

Pe acelaşi subiect, experţii Bitdefender afirmau că atacurile care au avut ca ţintă companii internaţionale cu baze mari de date ale clienţilor fac parte dintr-un tipar de acţiuni cu un scop bine stabilit. "Nu trecuse nicio zi de la atacul asupra Sony, că acelaşi grup de hackeri (Lazarus, n.r.) a atacat reţeaua de siguranţă a lui Nintendo, un alt producător de jocuri de talie mondială. În ciuda faptului că, de această dată, pare că atacatorii nu au furat niciun nume, adresă, dată de naştere, e-mailuri, numere de telefon sau parole, ca în cazul Sony sau a multor alte companii, putem să deducem totuşi existenţa unui tipar de acţiuni dintr-o strategie care are ca ultim scop furtul unei cantităţi cât mai mari de date confidenţiale din servere care nu sunt protejate', a explicat Cătălin Cosoi, şeful Laboratorului de ameninţări online al Bitdefender.

Atacul asupra companiei Sony, petrecut în 2014, a avut loc în timp ce compania se pregătea să lanseze pelicula "Interviul", o satiră la adresa conducerii nord-coreene, ce îl are în rol principal pe Seth Rogen. Din cauza problemelor generate de atacul Lazarus, filmul a fost lansat cu întârziere.

Revenind la anul 2016, descoperim un nou atac al celor de la Lazarus împotriva Băncii Centrale a Rusiei, de unde au reuşit să extragă peste 30 de milioane de dolari. Informaţia a fost dezvăluită, atunci, de postul american de televiziune CNN, care cita oficiali ai instituţiei bancare. Experţii de la Symantec au afirmat, legat de acel atac, că la originea acestuia ar fi fost o grupare extrem de sofisticată ce ar avea legături cu Coreea de Nord, şi pe care ei au numit-o "Lazarus". Infracţiunea părea să respecte un model folosit la alte acţiuni similare care au afectat sisteme financiare din mai multe ţări, printre care Filipine, Ecuador, Vietnam sau Bangladesh.

Echipa globală de cercetare şi analiză din cadrul Kaspersky dezvăluie, în august 2018, o nouă operaţiune declanşată de către Grupul Lazarus şi care a vizat furtul de criptomonede. Avansul tehnologic în materie de tranzacţii financiare se pare că nu i-a intimidat pe atacatori care au găsit astfel o nouă metodă de furt, denumită AppleJeus. Prin intermediul acestui troian, atacatorii au pătruns în reţeaua unei case de schimb de criptomonede. AppleJeus se comporta ca un modul aflat în recunoaştere: mai întâi colecta informaţii generale despre computerul pe care a fost instalat, după care trimitea aceste date către serverul de comandă şi control.

"Dacă atacatorii decid că merită să fie atacat acel computer, codul infectat revine sub forma unei actualizări. Aceasta instalează un troian cunoscut ca Fallchill, un instrument vechi pe care grupul Lazarus a început recent să-l refolosească (...) În momentul instalării, troianul Fallchill le oferă atacatorilor acces aproape nelimitat la computer, permiţându-le să fure informaţii financiare valoroase sau să lanseze alte instrumente în acest scop", explicau, la momentul respectiv, specialiştii.

Că vorbim despre informaţii cu caracter personal sau despre sume valoroase de bani, sustrase din conturile băncilor, în orice situaţie Lazarus şi-a pregătit temeinic fiecare atac.

Cu toate acestea, pe durata mai multor ani, au existat şi puncte terminus ale operaţiunilor, determinate de metodele de contraatac găsite de către experţii în securitate cibernetică. Cel mai probabil, Lazarus nu va lăsa treaba neterminată şi va încerca să inoveze pentru a trece la următorul nivel. AGERPRES/(AS - autor: Daniel Badea, editor: Andreea Marinescu, editor online: Ady Ivaşcu)