События

Эксперты Group-IB доказали связь между Lazarus и правительством КНДР

Эксперты Group-IB доказали связь между Lazarus и правительством КНДР

Эксперты Group-IB опубликовали отчет «Lazarus: архитектура, инструменты, атрибуция», где представили ранее неизвестные подробности об атаках хакерской группировки Lazarus, доказывающие ее связь с правительством КНДР.

Согласно отчету, раньше Lazarus занималась кибершпионажем против госучреждений и частных компаний США и Южной Кореи, но теперь группировка атакует финорганизации по всему миру. В частности, именно она подозревается в масштабных атаках на Центробанк Бангладеш в 2016 году и на Sony Entertainment в 2014 году.

В феврале нынешнего года Lazarus осуществила атаки на ряд банков в Польше. Кроме того, под прицелом хакеров оказались сотни финансовых организаций в 30 странах мира. Киберпреступников интересовали сотрудники центральных банков таких стран, как Россия, Венесуэла, Бразилия, Чили и пр.

Как пояснил основатель Group-IB Дмитрий Волков, по результатам расследования экспертам компании удалось доказать причастность группы Lazarus к КНДР. На основе анализа использовавшихся для атак IP-адресов исследователи обнаружили точное местоположение хакеров. «Мы смогли выявить и изучить всю инфраструктуру управления, используемую Lazarus. Наше расследование показало, как хакеры проникали в сеть банков, какие вредоносные программы использовались, кого еще собирались атаковать», – отметил Волков.

Как выяснилось в ходе расследования, подключение к самому последнему, третьему уровню серверов управления происходило с северокорейских IP-адресов 210.52.109.22 и 175.45.178.222. Второй̆ IP-адрес относится к району Potonggang в Пхеньяне – там располагаются Национальная комиссия КНДР по обороне и недостроенный многоэтажный отель Ryugyong Hotel. Данное здание предположительно является резиденцией правительственных хакеров.

По словам исследователей, с начала прошлого года Lazarus пыталась замаскироваться под «русских хакеров». В частности, киберпреступники добавили в отладочный модуль строки на русском языке для описания команд. Преступники ошиблись и назвали команду «отправить на C&C сетевой адрес текущего сервера» словом «poluchit», однако им все же удалось ввести в заблуждение некоторых ИБ-экспертов, приписавших атаки на банки русским.

Lazarus (второе название Dark Seoul Gang) – северокорейская хакерская группировка, за которой, предположительно, стоит подразделение Разведывательного Управления Генштаба КНА Bureau 121, занимающееся проведением операций в киберпространстве.

Источник

Автор: Сергей Куприянов
31.05.2017 (09:49)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2017

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.