Северокорейские хакеры атакуют банки по всему миру

Северокорейские хакеры атакуют банки по всему миру

Северокорейские хакеры атакуют банки по всему миру

30 мая 2017 года компания Group-IB, занимающаяся производством инновационных продуктов в области предотвращения киберугроз и расследованием киберпреступлений, представила исследование активности хакерской группировки Lazarus.

Анализируя не только вредоносный код, но и сложную технологическую инфраструктуру группы, ее каналы связи и инструменты маскировки, Group-IB представила новые доказательства северокорейского происхождения Lazarus и раскрыла неизвестные детали ее атак.

Долгое время Lazarus занималась шпионажем в системах государственных, военных, аэрокосмических учреждений в Южной Корее и США и DDoS-атаками на них. Мировую известность группа получила в 2014 году после взлома кинокомпании Sony Pictures Entertainment накануне выхода комедии «Интервью», высмеивающий северокорейский режим и его лидера.

В последние годы вектор атак Lazarus сместился в сторону международных финансовых организаций. В 2016 году группа попыталась похитить почти $1 млрд из центрального банка Бангладеш посредством атаки систему межбанковских переводов SWIFT. Ошибка в платежном документе позволила предотвратить, возможно, крупнейшее ограбление банка в истории: хакерам удалось вывести только $81 млн. В 2017 году Lazarus атаковала несколько банков в Польше, а спектр ее целей расширился до сотни финансовых организаций в 30 странах мира, включая Европейский центральный банк, ЦБ России, Бразилии и Венесуэлы.

«Бытует мнение, что проправительственные хакеры занимаются только шпионажем и политически мотивированными атаками. На примере Lazarus мы видим, что продвинутые технологии позволяют им выбирать самые защищенные цели, например, успешно атаковать банки и финансовые институты – и они активно интересуются такими возможностями. При этом обнаруживать и расследовать такие атаки сложнее, чем нападения со стороны традиционных преступных группировок», – считает Дмитрий Волков, руководитель отдела расследований и сервиса киберразведки Threat Intelligence, со-основатель Group-IB.

Для управления зараженными компьютерами Lazarus использовал сложносоставные, многомодульные инструменты. При этом они смогли провести несколько успешных атак, ни на одном из этапов не использовав 0-day эксплойты (инструменты для эксплуатации ранее неизвестных уязвимостей). Из-за непрерывной доработки и изменения используемых модулей, выявить активность Lazarus, используя антивирусы и endpoint-решения, крайне сложно.

Для маскировки хакеры выстроили трехуровневую инфраструктуру С&C-серверов с шифрованным SSL-каналом связи. А в некоторых случаях командный сервер, через который осуществлялось управление, вообще находился внутри атакованной организации — это позволяло снизить риск обнаружения и получить доступ к тем компьютерам, у которых в целях безопасности отключен прямой выход в интернет. В качестве дополнительного способа анонимизации использовался легитимный сервиса SoftEther VPN, который никак не детектируется средствами защиты. С начала 2016 года Lazarus пыталась маскировать атаки под активность «русских хакеров», добавляя отладочные символы и прописывая русские слова на латинице в код вредоносной программы. Кроме того, группа использовала инструменты, разработанные русскоязычными киберпреступниками.

Несмотря на усилия хакеров, Group-IB удалось установить, что на протяжении нескольких лет атаки велись из одного места – района Potonggang в Пхеньяне. 

«Учитывая усиление экономических санкций в отношении КНДР, а также возросшую геополитическую напряженность в регионе, мы не исключаем новых атак Lazarus на международные финансовые учреждения. В связи с этим мы рекомендуем банкам повышать осведомленность о шаблонах и тактике проведения целевых атак, регулярно проводить обучение персонала и использовать данные о киберугрозах специализированных Intelligence-компаний» - сказал Дмитрий Волков.

Android будет сохранять документы в облако и съедать место на Google Drive

Google меняет систему резервного копирования Android и дает пользователям чуть больше контроля. В свежем обновлении служб Google Play версии 26.25 появилась отдельная настройка для сообщений, а заодно — возможность отправлять в облако документы с телефона.

Раньше СМС, MMS и RCS сохранялись автоматически. Теперь резервное копирование переписки можно отключить отдельным переключателем.

Правда, Google спрятала RCS внутрь категории MMS, чтобы всё было не слишком очевидно.

На большинстве смартфонов настройка появится по пути: «Настройки» — «Аккаунты и резервное копирование» — «Резервное копирование Google» — «Другие данные устройства». Там же находятся история звонков и системные параметры.

Более заметное нововведение — резервное копирование документов. Android сможет сохранять файлы DOC, PPT, XLS, PDF и других форматов по обычному расписанию. Копии будут складываться в Google Drive, в папку с названием устройства. При необходимости резервное копирование можно запустить вручную.

Но есть нюанс: это именно копия, а не синхронизация. Файл в облаке будет существовать отдельно от оригинала и не станет автоматически обновляться после каждого изменения.

И тут начинается самое интересное. Google сократила бесплатный объем хранилища с 15 до 5 Гбайт, а данные резервных копий Android теперь тоже учитываются в этом лимите. Обычный бэкап может занимать около 40 Мбайт, но документы способны быстро превратить скромную копию в прожорливый архив.

Так что новая функция действительно может спасти важный файл. Главное — чтобы к этому моменту Google Drive еще не сообщил, что место закончилось.

RSS: Новости на портале Anti-Malware.ru