РУССКИЙ
РУССКИЙ
ENGLISH
30.05.2017

Lazarus

Технологии шпионажа и целевых атак проправительственных хакеров из Северной Кореи и неизвестные подробности их операций в отчете Group-IB «Lazarus: архитектура, инструменты, атрибуция»

Хакеры из северокорейской группы Lazarus долгие годы шпионили за идеологическими врагами режима — госучреждениями и частными корпорациями США и Южной Кореи. Теперь Lazarus атакует банки и финансовые учреждения по всему миру. Исследуя не только вредоносный код, но и сложную технологическую инфраструктуру Lazarus, ее каналы связи и инструменты маскировки, Group-IB раскрывает ранее неизвестные подробности кибератак одной из самых одиозных APT-групп.
Cкачать полную версию отчета >>>

В рабочем квартале Potonggang в Пхеньяне есть две достопримечательности: штаб-квартира Комитета по национальной обороне КНДР и Ryugyong Hotel, 105-этажная пирамида, как наконечник копья, пронзающая небо северокорейской столицы. Оба объекта закрыты для иностранцев. Ставка высшего военного органа страны надежно охраняется, а Ryugyong Hotel уже 20 лет не могут достроить, хотя к нему подведены все коммуникации. Именно в Potonggang, как показало расследование Group-IB, ведут цифровые следы последних кибератак на международные банки хакеров из группы Lazarus.
Lazarus (известна также как Dark Seoul Gang) — имя северокорейской группы хакеров, за которыми, предположительно, стоит Bureau 121 — одно из подразделений Разведывательного Управления Генштаба КНА (КНДР), отвечающего за проведение киберопераций.
Lazarus получила известность благодаря DDoS-атакам и взломами ресурсов государственных, военных, аэрокосмических учреждений в Южной Корее и США. В последние годы, в условиях возрастающего экономического давления на КНДР, вектор атак Lazarus сместился в сторону международных финансовых организаций.

Самая масштабная из атак — попытка украсть в феврале 2016 года почти $1 млрд из центрального банка Бангладеш. Тогда хакеры воспользовались уязвимостью в системе безопасности банка, чтобы внедрится в сеть и получить доступ к компьютерам, подключенным к SWIFT. Но из-за ошибки в платежном документе хакерам удалось вывести только $81 млн.

В марте этого года представители ФБР и АНБ впервые подтвердили, что за атакой на бангладешский Центробанк может стоять официальный Пхеньян.
Эволюция Lazarus
Самые громкие кибероперации северокорейской
группы хакеров с 2009 по 2016 год
1
Операция Troy
Время: 2009-2012 гг
Цель: кибершпионаж за вооруженными силами и правительством Южной Кореи, саботаж.
Способ: взломы ресурсов, кража информации, DDoS-атаки.
2
Операция DarkSeoul
Время: март 2013 года
Цель: три телевизионных станции, банк в Южной Корее.
Способ: заражение вирусами, кража и удаление информации.
3
Атака на Sony Pictures
Время: ноябрь 2014 года
Цель: кинокомпания Sony Pictures Entertainment (выпустила фильм «Интервью», высмеивающий северокорейского лидера).
Способ: заражение вредоносной программой, удаление и кража данных сотрудников компании, переписки, копии неизданных фильмов.
4
Атака на ЦБ Бангладеш
Время: 2016 год
Цель: попытка похитить из Центрального банка Бангладеш $951 млн; удалось украсть только $81 млн.
Способ: целенаправленная атака на банки, подключенные к системе межбанковских переводов SWIFT.
В феврале 2017 года Lazarus атаковала нескольких банков в Польше. Восточной Европой дело не ограничилось: Lazarus целился в сотню финансовых организаций в 30 странах мира. Хакеров интересовали сотрудники таких финансовых учреждений, как: Центральный банк РФ, Центральный банк Венесуэлы, Центральный банк Бразилии, Центральный банк Чили, Европейский центральный банк и др.

Расследуя эти инциденты, специалисты Group-IB связались в том числе с пострадавшими компаниями, чьи сервера были взломаны хакерами, — они пошли нам навстречу и предоставили возможность проанализировать скомпрометированные компьютеры, и собрать информацию о вредоносной активности атакующих.
В ходе расследования атаки на банки мы доказали причастность группы Lazarus к Северной Корее и по анализу IP-адресов атакующих обнаружили их точное местоположение. Мы смогли выявить и изучить всю инфраструктуру управления, используемую Lazarus. Наше расследование показало, как хакеры проникали в сеть банков, какие вредоносные программы использовались, кого еще собирались атаковать.
Дмитрий Волков
Руководитель отдела расследований и сервиса киберразведки Threat Intelligence, сооснователь Group-IB
Организаторы атаки: связь Lazarus c Северной Кореей
Анализируя инфраструктуру Lazarus, мы обнаружили, что подключение к самому последнему, третьему уровню серверов управления происходило с двух IP-адресов Северной Кореи: 210.52.109.22 и 175.45.178.222. Второй IP-адрес относится к району Potonggang в Пхеньяне, в котором располагается Национальная комиссия КНДР по обороне — высший военный орган страны, а также недостроенный Ryugyong Hotel.
Изучая информацию об этом районе, мы наткнулись на репортаж 2016 года южнокорейского новостного агентства «Arirang News».
N. Korea hacks into 160 S. Korean public and private entities
В сюжете говорилось об атаке северокорейских хакеров в феврале 2016 года на две корпорации:

  1. SK Group — один из крупнейших конгломератов в Южной Корее.

  2. Hanjin Group — головная компания авиакомпании Korean Airlines, ее подразделение выпускает по лицензии боевые вертолеты и истребители.

Проводя расследование инцидента, Национальное полицейское агентство Южной Кореи (South Korea's National Police Agency) выяснило, что следы атаки 2016 года ведут в Пхеньян. Отсюда же, говорилось в сюжете, в 2013 году северокорейские хакеры в рамках операции DarkSeoul атаковали южнокорейские телевизионные станции и банки.

На экране за спиной ведущего мы заметили два IP-адреса 175.45.178.19 и 175.45.178.97, используемые для управления вредоносной программой Ghost RAT. Оба IP-адреса находятся в том же блоке IP-адресов, что и 175.45.178.222, который был обнаружен нами.

В репортаже сообщалось, что Национальное полицейское агентство Южной Кореи (South Korea's National Police Agency) установило, что атака проводилась из Ryugyong Hotel, 105-этажного недостроенного отеля.

Таким образом, мы можем сделать вывод: на протяжении нескольких лет — в 2013, 2016 и 2017 годах — кибератаки велись из одного места — из района Potonggang в Пхеньяне.
Маскировка под русских хакеров
С начала 2016 года группа Lazarus предпринимала несколько шагов для того, чтобы выдать себя за «русских хакеров»:

  • В модуль Client_TrafficForwarder, отвечающего за пересылку сетевого трафика, были добавлены отладочные символы и строки с русскими словами, написанными на латинице для описания команд, которые может получить вредоносная программа от сервера управления.

  • Стоит отметить, что использованные слова являются нехарактерными для носителя русского языка, а в случае с командой «poluchit» значение слова противоречит самому действию:
Poluchit
Отправить на C&C сетевой адрес текущего
сервера
  • Для защиты своих исполняемых файлов был использован коммерческий протектор Enigma, разработанный русским автором.

  • Эксплойты для Flash и Silverlight был позаимствован из наборов эксплойтов, созданных русскоговорящими хакерами.

Это ввело в заблуждение некоторых исследователей, которые, проведя быстрый анализ кода, сделали выводы о причастности к атакам на банки «русских хакеров».
Основные находки расследования
Инфраструктура Lazarus
Для маскировки хакеры выстроили трехуровневую инфраструктуру серверов управления, внутри которой пробросили шифрованный SSL-канал, данные в нем дополнительно шифровались. Для анонимности хакеры взяли на вооружение легитимный сервис SoftEther VPN. А в некоторых случаях атакующие использовали корпоративные web-серверы, которые находились уже в атакованной инфраструктуре.
Набор инструментов
Для управления зараженными компьютерами хакеры использовали многомодульные инструменты, стараясь максимально усложнить анализ программных модулей. При этом они смогли провести несколько успешных атак, ни на одном из этапов не использовав 0-day эксплойты. А из-за постоянно меняющегося набора используемых инструментов, выявить активность Lazarus, используя Endpoint Security решения, было очень сложно.
Жертвы
Нам удалось найти самый ранний индикатор атак на финансовые институты, относящийся к марту 2016 года. То есть сразу после известного инцидента в Центральном Банке Бангладеш в феврале 2016, когда хакерам не удалось украсть $ 1 млрд лишь из-за ошибки в назначении платежа — на последнем этапе перевода денег. Вероятно, после него Lazarus предпринял попытки внести изменения в свою тактику, а также модифицировать свои инструменты.

Среди скомпрометированных сетей мы обнаружили государственные подсети разных стран, фармацевтические компании в Японии, Китае, университеты США, Канады, Великобритании, Индии, Болгарии, Польши, Турции.
Новый тренд
Околоправительственные хакеры Lazarus получили доступ к системе SWIFT атакованных банков. Хотя подобных инцидентов пока очень мало, но тренд уже заметен: околоправительственные группировки атакуют финансовые организации, которые можно отнести к критической инфраструктуре, с целью хищений или шпионажа. Из других примеров: в 2010-2013, предположительно, АНБ проводило спецоперации по атаке на банковскую инфраструктуру Ближнего Востока с целью получения доступа к системе SWIFT. А в 2017 стало известно об атаках на украинские банки, осуществленные группой BlackEnergy.
Как Lazarus
атаковал банки
Для атаки на банки хакеры разработали набор инструментов для управления скомпрометированными серверами и зараженными компьютерами, подготовили трехуровневую инфраструктуру серверов управления, скомпрометировали десятки крупных web-ресурсов. Детальный технический анализ инфраструктуры подробно изложен в главе «Подготовка и проведение атаки» в полной версии отчета.
1
Компрометация веб-ресурсов
Для проникновения в интересующие организации хакеры использовали так называемую Watering Hole атаку: они заражают вредоносными программами ресурсы, часто посещаемые их потенциальными жертвами — сайты регуляторов, госучреждений.

Lazarus скомпрометировали веб-сайты финансовых регуляторов в нескольких странах, посетителей которых они планировали атаковать.

Вот лишь некоторые из них:

  • knf.gov.pl — Комиссия по финансовому надзору, Польша

  • cnvb.gob.mx — Национальная банковская и фондовая комиссия Мексики

  • brou.com.uy — Банк Восточной Республики Уругвай.
При изучении кода на веб-сервере с эксплойтами был найден список из 255 диапазонов IP-адресов. При этом попытка заражения происходила только в том случае, если посетитель зашел на взломанный сайт регулятора из подсети с определенного списка диапазонов IP-адресов. Благодаря этому списку удалось составить список стран, которые интересовали атакующих.
Большая часть IP-адресов относится к финансовым учреждениям в разных странах мира. Благодаря этому списку удалось составить карту стран мира, которые интересовали атакующих.
Для доступа к сайтам регуляторов Lazarus использовали уже известные уязвимости в JBoss и Liferay. Для заражения хакеры скомпилировали эксплойт под Silverlight CVE-2016-0034 (MS16-006), который ранее был включен в наборы эксплойтов RIG и Angler, а также Flash экслойты, которые являются частью набора Neutrino Exploit Kit.
2
Создание инфраструктуры управления
Атакующие создали трехуровневую инфраструктуру, внутри которой пробрасывается шифрованный SSL-канал. При этом сетевое взаимодействие с атакованным компьютером осуществлялось только с сервера Layer 1, который выступает в роли командного сервера. А в некоторых случаях сервер Layer 1 вообще находился внутри организации — это позволяло снизить риск обнаружения. Доступ к серверам хакеры получили простым перебором паролей по RDP.
3
Уникальный набор инструментов
После попытки украсть из ЦБ Бангладеш $1 млрд в феврале 2016 хакеры из Lazarus оперативно внесли изменения в свою тактику и модифицировали свой уникальный набор инструментов. Посмотрите, чем работал Lazarus.
Server_RAT
Устанавливается на Windows-серверы для управления скомпрометированной инфраструктурой.
Server_TrafficForwarder
Перенаправляет трафик с одного внешнего сервера на другой.
Backend_ Listener
Поддерживает связь с серверами, где установлен Server_RAT, и принимает команды от атакующего.
Admin_Tool
Административный инструмент, с помощью которого операторы отправляют команды на зараженные компьютеры.
SWIFT toolbox
Используется для работы с программным обеспечением SWIFT. Включает в себя SWIFT Alliance software Files Hook и SWIFT transactions Information Harvester.
Мы проанализировали весь использованный злоумышленниками инструментарий и выяснили, как разные узлы этой инфраструктуры взаимодействовали друг с другом.
Server_RAT
На всех трех уровнях серверов устанавливался Server_RAT: он использовался для управления скомпрометированной инфраструктурой.
Server_RAT постоянно «слушает» порт 3365, по которому атакующие подключались для управления сервером. Для обеспечения доступности этого порта на файрволе сервера создавалось разрешающее правило. Зараженные компьютеры подключались к скомпрометированному серверу, выступающему в роли прокси-сервера, через порт 443 — обычно он открыт в корпоративных сетях.

Исследуя функционал Server_RAT, мы выяснили, что он специфичным образом отвечает на определенные запросы. Зная, что Server_RAT постоянно держит открытым порт 3365, по которому атакующий должен подключиться для управления сервером, мы просканировали интернет, нашли серверы с открытым 3365 портом и опросили полученный список серверов специальным образом, чтобы найти те из них, на которых стоит Server_RAT. В итоге на момент исследования нами был получен список из 74 IP-адресов.
Server_TrafficForwarder
Server_TrafficForwarder устанавливался на первом и втором уровне серверов — этот модуль перенаправлял трафик с одного сервера на другой.
Иногда Server_TrafficForwarder устанавливался на сервер внутри атакуемой организации (например, на веб-сервер). Подобная схема позволяла избежать подозрительных подключений во внешнюю сеть, а также получить доступ к компьютерам, у которых по соображениям безопасности вообще отсутствовал выход во внешнюю сеть (например, у операторов системы межбанковских переводов SWIFT).

После старта Server_TrafficForwarder читает содержимое файла ключей и сертификата из корневой директории, которые будут использованы для установки SSL-туннеля. При этом информация о серверах, на которые нужно передать трафик, в файле отсутствует. При первом запуске хакеры вручную указывали, какой порт «слушать» (а если порт не указать, программа будет ждать входящих соединений на случайном порте), а также адрес сервера управления, к которому нужно подключиться для отправки трафика.

Уже внутри SSL-канала для дополнительной «авторизации» соединения со скомпрометированным сервером используется свой бинарный протокол: полученные в ответ на первый сетевой запрос данные от клиента дешифруется и сравнивается с заранее известным ответом. Если они не совпадают, соединение разрывается.

Backend_Listener
Backend_Listener — устанавливается только на сервера Layer 3, к которому подключились атакующие. Он поддерживает связь с другими серверами, а также принимает команды от администратора и через себя отправляет их далее по цепочке до конечного зараженного компьютера.
Backend_Listener слушает два порта:

  • порт 8080, на который он принимает SSL-соединения от серверов Layer 2.
  • порт 9090, на который она принимает запросы от системы управления, которую мы назвали Admin_Tool.
Как и в Server_RAT, для шифрования трафика использовался wolfSSL: после запуска приложение ищет в корневом каталоге файлы приватного ключа и сертификата, которые используются для шифрования трафика.

Для противодействия средствам защиты, которые умеют «распаковывать» SSL-трафик, все передаваемые внутри SSL-канала данные Backend_Listener шифрует дополнительным обратимым алгоритмом шифрования и осуществляет проверку того, что трафик пытается отправить именно приложение из комплекта Lazarus.

Для реверс-инжиниринга протокола взаимодействия сервера с подключаемыми клиентами нами был написан клиент, который успешно подключается на оба «слушающие» порта сервера.
VPN
VPN: в качестве дополнительного уровня анонимизации на некоторые серверы атакующие установили сервис SoftEther VPN (http://softether. net/), поддерживаемый Цукубским университетом в Японии (University of Tsukuba, Japan).
Lazarus выбрали этот инструмент по нескольким причинам:

Это легитимное приложение, оно не детектируется средствами защиты.
Он может установить VPN-соединение через ICMP или DNS, что позволяет обходить средства сетевой безопасности.
В него встроен Dynamic DNS. Это означает, что если скомпрометированная система имеет динамический IP-адрес, то атакующий всегда сможет найти его по DNS-имени, привязанному к VPN-клиенту.
Этот VPN-клиент можно установить на Windows, Linux, FreeBSD, Solaris, Mac OS X.
Это позволило проанализировать процесс взаимодействия Admin_Tool и Backend_Listener
Инструменты управления атакованными компьютерами
Кроме создания многослойной серверной структуры управления, хакеры разработали оригинальный набор инструментов для удаленного управления зараженными компьютерами.

Главной особенностью было все то же стремление действовать скрытно, максимально затруднить расследование и анализ инструментов. Все инструменты — модульные, они доставлялись по частям только в те организации, которые представляли интерес. А чтобы затруднить их анализ, инструменты были зашифрованы.

Помимо скрытности, подобная модульная архитектура для доставки полезной нагрузки до целевого компьютера обеспечивает гибкость при разработке систем кибероружия. Это позволяет разделить работы по разработке между командами, а также обеспечить повторное использование программного кода. Подробный анализ технологии атаки — в полной версии отчета.
Состав инструментов:
Recon
Recon — это бекдор, который первым загружается на целевой компьютер в случае успешного выполнения эксплойтов. С помощью модуля Recon злоумышленники изучают систему, чтобы понять, представляет ли она интерес.
Dropper
Dropper извлекает и расшифровывает Loader, встраивает его в систему, а также извлекает Client_RAT.
Loader
Loader, в свою очередь, используется для расшифровки и внедрения в легитимный процесс (например, в lsass.exe) полезной нагрузки: программ Client_RAT или Client_TrafficForwarder.
Client_TrafficForwarder
Этот модуль устанавливался на один из зараженных компьютеров во внутренней сети атакованной организации по той же схеме, что и Client_RAT. Через него операторы взаимодействовали с компьютерами в локальной сети атакованной организации.
Client_RAT
Программа Client_RAT дает полный контроль над целевой системой: позволяет анализировать систему, загружать и запускать файлы, передавать данные с зараженного компьютера на С&С серверы.
Вся эта описанная выше модульная архитектура процесса заражения компьютера жертвы обеспечивает Lazarus дополнительную гибкость и анонимность при проведении атаки.
Дмитрий Волков
Руководитель отдела расследований и сервиса киберразведки Threat Intelligence, сооснователь Group-IB
Выводы и рекомендации
Повышенный интерес прогосударственных хакеров к международным банкам и финансовым институтам может в ближайшее время привести к увеличению числа кибератак. Обнаруживать и расследовать такие атаки сложнее, чем нападения со стороны традиционных преступных группировок.

Как показало наше расследование, северокорейская группа Lazarus предпринимает повышенные способы конспирации, например, разбивают свою атаку на этапы, чтобы после обнаружения атаки усложнить исследователям работу. Они используют трехуровневую инфраструктуру серверов управления и маскируются под русскоговорящих взломщиков.

Тем не менее, Group-IB удалось установить связь Lazarus с Северной Кореей. На протяжении нескольких лет ( в 2013, 2016 и 2017 годах) кибератаки Lazarus велись из одного места — района Potonggang Пхеньяна. Мы смогли полностью вскрыть и описать всю инфраструктуру управления Lazarus, что позволяет выявить список индикаторов, по которым можно определить, подверглась ли компания атаке. Список индикаторов вы найдете в полной версии отчета.

Учитывая усиление экономических санкций в отношении КНДР, а также возросшую геополитическую напряженность в регионе, мы не исключаем новых атак Lazarus на международные финансовые учреждения. В связи с этим мы рекомендуем банкам повышать осведомленность о шаблонах и тактике проведения целевых атак, регулярно проводить обучение персонала и использовать данные о киберугрозах специализированных Intelligence-компаний.
Дмитрий Волков
Руководитель отдела расследований и сервиса киберразведки Threat Intelligence, сооснователь Group-IB
Узнайте о других преступных группах и вредоносных программах, которые могут угрожать вашему бизнесу
Подпишитесь на сервис мониторинга киберугроз GIB Threat Intelligence – бесплатно на 14 дней
Как не стать жертвой Lazarus
1
Обновление программного обеспечения и операционных систем
Чтобы предотвратить заражение в результате работы эксплойта, достаточно своевременно обновлять программное обеспечение Microsoft и Adobe. Группа Lazarus не использовала уязвимости нулевого дня, а их эксплойты были достаточно старыми. Поэтому даже обычное обновление программного обеспечения не позволяло атакующим попасть в корпоративную сеть. К сожалению, в некоторых атакованных банках это требование не соблюдалось.
2
Анализ сетевого трафика
Даже если злоумышленники получили доступ в корпоративную сеть, атаку можно успешно предотвратить. После того как атакующие попали в сеть банка, им еще предстоит изучить ее, найти интересующие их системы, получить к ним доступ. Все это занимает дни, а иногда месяцы, и это время надо использовать для выявления действий атакующих.

Злоумышленники используют вредоносные программы, которые передают данные на сервер управления — Layer 1. Эти сетевые взаимодействия между зараженным компьютером и удаленным сервером можно идентифицировать, анализируя сетевой трафик. Поскольку весь трафик шифруется, то для выявления необходимо применять решения, способные обнаруживать сетевые аномалии и использовать данные Threat Intelligence.
3
Белые списки приложений
На критичных банковских серверах необходимо использовать Application Whitelisting. Это не позволит атакующим установить свои средства для удаленного управления, мониторинга финансовых транзакций, повышения привилегий и др. А также позволит выявить несанкционированные попытки запуска таких приложений.
4
Проверка индикаторов
В разделе индикаторы опубликованы актуальные и исторические данные для проверки. Поскольку Lazarus использует легитимные скомпрометированные серверы, эти индикаторы могут дать ложно положительные срабатывания.
5
Квалифицированное реагирование
И, пожалуй, самое важное: если вы обнаружили следы целенаправленной атаки на любом из ее этапов, нужно оперативно привлекать профильные компании для ее исследования. Неправильное реагирование приводит к тому, что часть действий атакующих остаются незамеченными и злоумышленники добиваются поставленных целей.
O GROUP-IB
Group-IB — одна из ведущих международных компаний по предотвращению и расследованию киберпреступлений и мошенничеств с использованием высоких технологий. С 2003 года работает в сфере компьютерной криминалистики, консалтинга и аудита систем информационной безопасности, обеспечивая защиту крупнейших российских и зарубежных компаний от финансовых и репутационных потерь.

Международное признание
Первый российский поставщик threat intelligence решений, вошедший в отчеты Gartner. В 2015 году Group-IB была названа в числе 7 самых влиятельных игроков в сфере информационной безопасности по версии британской редакции издания Business Insider. В 2017 году компания IDC опубликовала свое первое исследование российского рынка услуг по исследованию киберугроз, назвав Group-IB лидером рынка.

Клиенты Group-IB
Клиентами Group-IB являются крупнейшие компании по всему миру — банки и финансово-кредитные организации, FMCG-бренды и промышленные корпорации, предприятия энергетической и нефтеперерабатывающей отрасли, производители ПО и цифрового контента, IT-компании и телекоммуникационные операторы РФ и зарубежных государств.

CyberCrimeCon2017
Ежегодная конференция Group-IB — это уникальная площадка для обсуждения тенденций развития киберпреступлений и обмена данными киберразведки. В конференции примут участие независимые эксперты в области борьбы с киберпреступлениями со всего мира. Узнайте больше: 2017.group-ib.ru