Kaspersky Lab svela le sue scoperte sul gruppo Lazarus

redazione

A febbraio 2016, un gruppo di hacker (all’epoca non identificato) ha provato a rubare 851 milioni di dollari americani ed è riuscito a trasferire 81 milioni di dollari dalla Central Bank of Bangladesh. Questa è considerata la più grande cyber rapina di sempre. Ulteriori indagini condotte dai ricercatori di diverse aziende di sicurezza informatica, tra cui Kaspersky Lab, hanno indicato come probabile colpevole di questi attacchi Lazarus, un famigerato gruppo di cyber spionaggio e cyber sabotaggio responsabile di una serie di regolari e devastanti attacchi e conosciuto per aver colpito aziende manifatturiere, i media e le istituzioni finanziarie in almeno 18 Paesi a partire dal 2009.

Nonostante i diversi mesi di silenzio che hanno seguito l’attacco alla banca del Bangladesh, il gruppo Lazarus era ancora attivo. I cyber criminali si stavano infatti preparando per una nuova operazione con lo scopo di rubare denaro ad altre banche e sono riusciti a infiltrarsi in un’istituzione finanziaria nel sud-est asiatico. Dopo essere stati bloccati dalle soluzioni Kaspersky Lab e dalla successiva indagine, si sono fermati per altri mesi, decidendo in seguito di spostare la loro attività in Europa. Tuttavia, anche qui, i loro tentativi sono stati fermati dai software di sicurezza di Kaspersky Lab e dai servizi di risposta rapida agli incidenti, analisi forense e reverse engineering possibili grazie al supporto dei migliori ricercatori dell’azienda.

Il metodo Lazarus

Sulla base dei risultati dell’analisi forense di questi attacchi, i ricercatori di Kaspersky Lab sono stati in grado di ricostruire il modus operandi del gruppo:

  • Compromissione iniziale: un singolo sistema all’interno della banca viene violato tramite codice vulnerabile accessibile da remoto (ad esempio su un server web) o un attacco watering hole basato su un exploit impiantato su un sito affidabile. Quando il sito viene visitato, il computer della vittima (un impiegato della banca) viene infettato dal malware, che importa componenti aggiuntivi.
  • Accesso stabilito: a questo punto, il gruppo si sposta su altri host della banca e utilizza backdoor persistenti, che permettono ai criminali di muoversi liberamente.
  • Perlustrazione interna: in seguito, il gruppo trascorre giorni e settimane studiando il network e identificando le risorse vulnerabili. Una risorsa di questo tipo potrebbe essere un server di backup, in cui sono archiviate le informazioni di autenticazione, un server di posta elettronica o l’intero domain controller, che possiede le chiavi per ogni “porta” dell’azienda, oltre ai server che archiviano o processano i record delle transazioni finanziarie.
  • Esecuzione e furto: Infine, vengono sfruttati malware speciali in grado di bypassare le funzionalità di sicurezza dei software finanziari ed effettuare transazioni per conto della banca.

Geografia e attribuzione

Gli attacchi analizzati dai ricercatori di Kaspersky Lab sono durati settimane. Tuttavia, i cyber criminali sono in grado di operare in incognito per mesi. Ad esempio, durante l’analisi dell’incidente nel sud-est asiatico, gli esperti hanno scoperto che gli hacker erano riusciti a compromettere la rete della banca sette mesi prima del giorno in cui il team di sicurezza dell’azienda ha richiesto supporto per la risposta all’incidente. È stato scoperto che il gruppo aveva accesso al network della banca persino prima del giorno dell’attacco in Bangladesh.

Secondo i registri di Kaspersky Lab, a dicembre 2015 sono iniziati a comparire i primi campioni di malware legati all’attività del gruppo Lazarus contro istituzioni finanziarie, casinò, sviluppatori software di società d’investimento e aziende di criptovaluta in Corea, Bangladesh, India, Vietnam, Indonesia, Costa Rica, Malesia, Polonia, Iraq, Etiopia, Kenya, Nigeria, Uruguay, Gabon, Thailandia e diversi altri Paesi. Gli ultimi sample registrati da Kaspersky Lab sono stati scoperti a marzo 2017, dimostrando che i criminali di questo gruppo non ha intenzione di fermarsi.

Sebbene i criminali facciano attenzione a cancellare le proprie tracce, almeno un server che era stato violato in occasione di un’altra campagna conteneva un grave errore che ha permesso di scoprire un importante artefatto. Durante la fase preparatoria, il server era stato configurato come centro di comando & controllo per il malware. I primi collegamenti creati il giorno della configurazione provenivano da pochi server VPN/proxy, che fanno pensare a un periodo di test per il server C&C. Tuttavia, in quella giornata, è stata registrata una breve connessione da un intervallo di indirizzi IP molto raro situato in Corea del Nord. Secondo i ricercatori, questo potrebbe avere diverse spiegazioni:

  • I criminali potrebbero essersi connessi dall’indirizzo IP in Corea del Nord
  • Potrebbe trattarsi di un’operazione false flag attentamente progettata da qualcun altro
  • Qualcuno in Corea del Nord potrebbe aver accidentalmente visitato l’URL di comando e controllo

Il gruppo Lazarus investe enormemente in nuove varianti del malware. Per mesi i criminali hanno provato a creare un set di tool nocivi invisibili alle soluzioni di sicurezza ma ogni volta gli specialisti di Kaspersky Lab sono riusciti a identificare le caratteristiche uniche del loro codice, riuscendo a tracciare i nuovi sample. Attualmente, gli hacker sembrano essersi tranquillizzati, probabilmente sospendendo la loro attività per dedicarsi alla rielaborazione del loro arsenale.

“Siamo sicuri che torneranno presto. Gli attacchi come quelli condotti dal gruppo Lazarus dimostrano come anche un piccolo errore di configurazione possa comportare una grave violazione di sicurezza, che potrebbe costare a un’azienda centinaia di milioni di dollari. Speriamo che i dirigenti di banche, casinò e società d’investimento di tutto il mondo inizino a temere il nome Lazarus”, ha commentato Vitaly Kamluk, Head of Global Research and Analysis Team APAC di Kaspersky Lab.

Le soluzioni Kaspersky Lab rilevano e bloccano con successo i malware utilizzati dal gruppo Lazarus con i seguenti nomi specifici:

  • HEUR:Trojan-Banker.Win32.Alreay*
  • Trojan-Banker.Win32.Agent*