近日,卡巴斯基实验室公开了一项耗时超过一年的针对Lazarus黑客组织的调查结果。Lazarus黑客组织臭名昭著,曾经于2016年从孟加拉中央银行盗窃8100万美元的资金。该组织在东南亚以及欧洲银行都留下过攻击痕迹,卡巴斯基实验室对这些遗留的痕迹进行取证分析后,掌握了该黑客组织所使用的恶意工具以及其在针对全球范围内金融机构、赌场、投资企业软件开发商以及加密货币企业进行攻击时的运营方式。这些发现帮助我们终止了至少两次类似的攻击。黑客发动攻击的目的只有一个,既从金融机构窃取大量资金。
2016年2月,一个黑客组织(当时还未被命名)试图从孟加拉中央银行窃取8.51亿美元,但最后只成功转出了8100万美元。这次攻击是有史以来规模最大,最为成功的一次网络盗窃事件。来自多个不同IT安全企业(包括卡巴斯基实验室)的研究人员在进行深入调查后认为,这次攻击的幕后组织很可能是Lazarus——一个臭名昭著的网络间谍和破坏组织。该黑客组织曾经进行过多次毁灭性攻击,而且从2009年开始,至少在全球18个国家进行过攻击行动,目标包括制造企业、媒体和金融机构。
针对孟加拉中央银行的攻击过后,Lazarus黑客组织沉寂了几个月,但是仍然在活跃。他们一直在为新的攻击行动做准备,目标是从其它银行窃取资金。当他们准备好时,已经成功入侵了一家东南亚银行。但是,他们的行动被卡巴斯基实验室产品和相关调查所打断。他们只好推迟了几个月再进行行动,并且决定将目标转向欧洲。但是,他们的攻击企图再一次被卡巴斯基实验室的安全软件检测到,还有卡巴斯基实验室顶级研究人员提供的快速事故响应、取证分析和逆向工程支持服务。
Lazarus的攻击方法
基于对这些攻击的取证分析结果,卡巴斯基实验室研究人员还原了这些网络罪犯的犯罪手法。
· 初始入侵:利用远程可访问漏洞代码(既网页服务器)或水坑式攻击(通过良性网站植入漏洞利用程序),入侵银行的一台计算机系统。一旦用户访问被植入漏洞的网站,受害者(银行员工)的计算机就会被恶意软件感染,这种恶意软件会下载其它额外组件。
· 站稳脚跟:之后,黑客会入侵其它的银行主机,并且部署持久的后门程序。这些后门程序能够让黑客随时进入受攻击银行的网络。
· 内部侦察:黑客会花费几天或几周了解入侵的网络,寻找有价值的资源。这些资源可以是备份服务器,因为其中存储着验证信息。也可以是邮件服务器或整体域名控制器,其中包含通向受害企业所有“大门”的要是。此外,还包括存储或处理金融交易记录的服务器。
· 实施盗窃:最后,他们会部署特殊的能够绕过金融软件内部安全检测的恶意软件,以银行的名义进行假冒的银行转账。
攻击的地理分布和网络罪犯归属
卡巴斯基实验室调查的攻击持续了数周。但是,攻击者可能在未被发现的情况下进行了多个月的攻击。例如,在对东南亚事件分析过程中,安全专家发现攻击者早在银行安全团队请求事故响应之前至少七个月就已经入侵了银行的网络。事实上,孟加拉银行失窃案中,网络犯罪组织也是早就可以访问银行的网络。
根据卡巴斯基实验室记录,从2015年12月开始,同Lazarus黑客组织活动相关的恶意软件样本出现在众多国家的金融机构、为投资公司开发赌场软件的开发商以及加密货币企业。其中包括韩国、孟加拉、印度、越南、印度尼西亚、哥斯达黎加、马来西亚、波兰、伊拉克、埃塞俄比亚、肯尼亚、尼日利亚、乌拉圭、加蓬、泰国和其它国家。卡巴斯基实验室发现的最新样本于2017年3月被检测到,表明攻击者根本没有停止攻击的打算。
尽管攻击者很小心,会尽量消除攻击痕迹,但他们在另一次攻击行动中犯了一个严重的错误,留下了一个重要的证据。为了准备实施攻击,黑客将服务器配置为恶意软件的命令和控制中心。首次连接发生于配置完成大量,连接来源为几个VPN/代理服务器,表明网络罪犯正在对命令和控制服务器进行测量。但是,当天还出现一个短暂的连接,来自一个非常罕见的来自朝鲜的IP地址。
研究人员认为,有以下可能:
· 攻击者使用了朝鲜的IP地址进行连接
· 这是一次精心设计的伪旗行动
· 朝鲜的某个用户无意间访问到命令和控制服务器的地址
Lazarus黑客组织投入大量资源开发最新的恶意软件样本。几个月来,他们一直试图制作出能够不被安全解决方案检测到的恶意工具。但是,每次都被卡巴斯基实验室的专家识别出来,从而让卡巴斯基实验室的产品能够追踪最新的样本。目前,攻击者已经进入沉寂状态,这表明他们可能已经暂停开发最新的攻击工具。
“我们确定攻击者将会卷土重来。通过Lazarus黑客组织实施的攻击来看,任何微小的不当配置,都可能导致严重的安全入侵事故,给企业造成数千万美元的损失。我们希望全球的银行、赌场和投资公司的主管人员能够记住Lazarus这个名字,”卡巴斯基实验室全球研究和分析团队负责人Vitaly Kamluk说。
卡巴斯基实验室产品能够成功检测和拦截Lazarus黑客组织使用的恶意软件,检测名称如下:
· HEUR:Trojan-Banker.Win32.Alreay*,
· Trojan-Banker.Win32.Agent*
公司还发表了重要感染痕迹(IOC)和其它数据,帮助企业和组织在自己的企业网络中查找攻击痕迹。更多信息,请参见Securelist.com
我们建议所有组织和企业仔细扫描自己的网络,查找是否存在Lazarus恶意软件样本。如果发现有,请尽快消除干扰,并将相关情况上报给执法机关和事故响应团队。