Kaspersky Lab informuje o wynikach swojego trwającego ponad rok dochodzenia dotyczącego aktywności grupy cyberprzestępczej Lazarus, której przypisuje się kradzież 81 milionów dolarów z Centralnego Banku Bangladeszu w 2016 r. Podczas analizy kryminalistycznej śladów pozostawionych przez to ugrupowanie w bankach zlokalizowanych w Azji Południowo-Wschodniej i Europie (m.in. w Polsce) Kaspersky Lab dogłębnie rozpracował szkodliwe narzędzia wykorzystywane przez atakujących oraz sposób ich działania podczas atakowania instytucji finansowych, kasyn, twórców oprogramowania dla firm inwestycyjnych oraz firm związanych z kryptowalutami na całym świecie. 

Wiedza ta pomogła zinterpretować przynajmniej dwie inne operacje, których celem była kradzież dużych sum z instytucji finansowych.

W lutym 2016 r. grupa cyberprzestępców (wówczas niezidentyfikowana) próbowała ukraść 851 milionów dolarów amerykańskich i zdołała przelać 81 milionów dolarów z Centralnego Banku Bangladeszu. Incydent ten uznano za jeden z największych i najskuteczniejszych cybernapadów w historii. Dalsze dochodzenie przeprowadzone przez badaczy z różnych firm z branży bezpieczeństwa IT, w tym Kaspersky Lab, wykazało duże prawdopodobieństwo, że ataki te zostały przeprowadzone przez ugrupowanie Lazarus stosujące cyberszpiegostwo i cybersabotaż, odpowiedzialne za serię regularnych i poważnych w skutkach ataków. Członkowie grupy Lazarus od 2009 r. atakują firmy z branży produkcyjnej, media i instytucje finansowe w co najmniej 18 krajach na całym świecie.

Chociaż po ataku na obiekty w Bangladeszu nastąpił kilkumiesięczny zastój, ugrupowanie Lazarus nadal było aktywne. Cyberprzestępcy szykowali się do nowej operacji kradzieży pieniędzy z innych banków, jednak zanim przygotowania zostały zakończone, przeprowadzili atak na instytucję finansową w Azji Południowo-Wschodniej. Powstrzymani przez produkty firmy Kaspersky Lab oraz prowadzone dochodzenie, atakujący musieli się wycofać i opóźnić realizację swoich zamierzeń na kolejne kilka miesięcy, by następnie zdecydować się na wprowadzenie zmian poprzez przeniesienie się do Europy. Jednak tu również (także w Polsce) działania grupy Lazarus zostały pokrzyżowane przez oprogramowanie bezpieczeństwa firmy Kaspersky Lab, jak również szybką reakcję na incydent, analizę kryminalistyczną oraz inżynierię wsteczną przeprowadzoną przez czołowych badaczy z tej firmy.

Kaspersky Lab udostępnia szczegóły techniczne dotyczące narzędzi wykorzystywanych przez tę grupę oraz najważniejsze oznaki infekcji, aby pomóc organizacjom finansowym w odnalezieniu potencjalnych śladów zagrożenia w ich sieciach korporacyjnych:

AUTOR:

Adrian Ścibor

Podziel się