Недавняя атака на польские банки связана с хак-группой Lazarus

Александр Панасенко 15 Февраля 2017 - 10:44

...

Недавняя атака на польские банки связана с хак-группой Lazarus

В начале февраля 2017 года стало известно, что несколько польских банков пострадали от кибератаки. Инцидент получился не совсем обычным, так как малварь проникла в системы организаций через сайт государственного надзорного органа, Комиссии по финансовому надзору (Komisja Nadzoru Finansowego, KNF).

Как оказалось, неизвестные злоумышленники заранее разместили на сайте KNF (knf.gov.pl) вредоносный JavaScript-файл. Компрометацию ресурса не замечали больше недели, а инфекция приводила к скачиванию на машины посетителей сайта неназванного трояна удаленного доступа (remote access trojan, RAT).

Теперь специалисты компании Symantec и военно-промышленной корпорации BAE Systems сообщают, что заражение польских банков было частью куда более масштабного плана. Эксперты пишут, что кампания злоумышленников берет начало в октябре 2016 года, и она нацелена на различные организации из 31 страны мира. Хакеры действуют по методу watering hole, то есть заражают малварью сайты, которые часто посещают их цели, передает xakep.ru.

«Судя по всему, атакующие используют скомпрометированные сайты, чтобы перенаправить их посетителей к кастомному набору эксплоитов, который сконфигурирован таким образом, чтобы заражать только пользователей из списка, содержащего 150 разных IP-адресов. Данные IP принадлежат 104 организациям в 31 стране мира. Преимущественно это банки, однако среди них есть телекомы и интернет-компании», — пишут аналитики Symantec.

Замеченная экспертами кастомная малварь, использовалась для атак на организации в Польше, Мексике, Уругвае и так далее. Исследователи уже изучают эту малварь (Downloader.Ratankba) и хотя анализ еще не окончен, специалисты говорят, что им удалось обнаружить связь с хакерской группой Lazarus. Так, Ratankba связывается с управляющим сервером на eye-watch.in, откуда загружает Hacktool. И Hacktool, в свою очередь, демонстрирует код, очень похожий на инструменты хакерской группы Lazarus. Скриншоты можно увидеть ниже.

Напомню, что по данным специалистов, группа Lazarus существует уже много лет, впервые хакеры проявили активность в 2007-2009 годах. За прошедшее с тех пор время злоумышленники создали более 45 семейств разнообразной малвари, успели «проявить себя» в сфере кибершпионажа, а также в атаках, направленных на уничтожение данных и выведение из строя самых разных систем.

Так, исследователи «Лаборатории Касперского» пришли к выводу, что в 2014 году, в ходе атаки на Sony Pictures Entertainment было использовано вредоносное ПО Destover. Анализ образцов этой малвари показал, что Destover схож с другими семействами вредоносного ПО, которые использовались в различных кампаниях кибершпионажа и киберсаботажа, нацеленных на финансовые организации, СМИ и производственные компании. Был сделан вывод, что группа Lazarus существует давно, так как самые ранние версии их вредоносов относятся к 2009 году (по другим данным, к 2007 году).

Также хакеров из группы Lazarus теперь удалось связать с вредоносом DarkSeoul, который атаковал сеульские банки, радио и телевидение, а также с кибератакой Operation Troy, нацеленной на вооруженные силы, СМИ, авиакосмическую промышленность и финансовые организации Южной Кореи. Кроме того, группировку подозревают в громком ограблении Центробанка Бангладеш в 2016 году, когда злоумышленники успешно похитили 81 млн долларов и только чудом не сумели украсть почти миллиард.

Следующая главная новость »

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!

Екатерина Быстрова 25 Марта 2026 - 18:59

Solar Dozor Корпорации Системы защиты от утечек конфиденциальной информации (DLP) ГК «Солар»

Solar Dozor 8.3 научили быстрее восстанавливать данные после шифровальщиков

ГК «Солар» выпустила новую версию Solar Dozor 8.3 — своей DLP-системы для крупных компаний, банков и госструктур. Главный акцент в обновлении сделали на устойчивости: если данные окажутся зашифрованы в результате атаки или сбоя, их можно будет восстановить за считаные минуты, без долгого подъёма архивов.

Ключевое изменение в релизе — репликация центрального файлового хранилища.

По сути, система теперь умеет создавать теневую копию логически связанных данных — например, сообщений, скриншотов и аудиозаписей — чтобы при проблемах быстрее вернуть их в работу. На фоне атак шифровальщиков это выглядит вполне понятным шагом: для крупных инфраструктур остановка защитной системы сама по себе уже становится серьёзной проблемой.

Обновление затронуло и архитектуру в целом. В версии 8.3 трафик между компонентами Solar Dozor теперь шифруется через mTLS на базе TLS 1.2/1.3, а для доступа к системе добавлена доменная аутентификация LDAP с поддержкой Kerberos и LDAP. Иначе говоря, интегрировать решение в корпоративную доменную среду стало проще, а управление доступом — более привычным для крупных ИТ-инфраструктур.

Кроме того, в системе появилась поддержка IPv6 и настройка по FQDN, что должно упростить её использование в динамических сетевых средах, где всё не завязано на статические IP-адреса.

Есть изменения и на уровне самого анализа данных. Solar Dozor теперь точнее распознаёт специальные символы, включая знак доллара, а также умеет разбирать файлы внутри архивов без ограничений по уровню вложенности. Это расширяет область контроля и затрудняет попытки спрятать чувствительные данные в глубоко вложенных архивах.

Для macOS добавили распознавание текста на изображениях, а для рабочих станций на Windows и Linux расширили механизмы контроля на уровне endpoint. Также в системе изменили логику анализа печати: теперь проверяются не целые документы, а только страницы, реально отправляемые на принтер. Это должно снизить нагрузку на ИБ-специалистов и сократить число лишних событий.

В «Соларе» также обновили интерфейс и упростили настройку политик. Плюс увеличили лимиты выгрузки отчётов: теперь система может отдавать до 50 тысяч событий, сообщений и файлов за раз, что должно быть удобнее для разбора инцидентов и анализа общей картины.

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!