Aktuāls

Sešu mēnešu laikā no Beļģijas ievesti auto ar 24,5 miljonu kilometru deficītu

Auto, Moto

Ar mikroautobusiem RAF “Latvija” atkārtos ekspedīciju līdz Vladivostokai

Auto, Moto
post-image

Konferencē Security Analyst Summit Kaspersky Lab pastāstīja par kibergrupējuma Lazarus darbības izmeklēšanas rezultātiem. Tā ir pazīstama hakeru banda, kas, domājams, ir atbildīga par 81 miljona USD zādzību no Bangladešas bankas 2016. gadā — šis incidents ir kļuvis par līdz šim vienu no lielākajām un sekmīgākajām kiberlaupīšanām. Vairāk nekā gadu ilgā izmeklēšana ļāva ekspertiem ne vien sīki izpētīt grupējuma paņēmienus un rīkus, bet arī novērst vismaz divas jaunas lielu summu izlaupīšanas no finanšu iestādēm.

Pēc uzbrukuma Bangladešas bankai ļaundari uz dažiem mēnešiem pierima un gatavojās jaunam uzbrukumam. Viņiem bija izdevies apmesties kādas Dienvidaustrumāzijas bankas korporatīvajā tīklā, taču viņus atklāja Kaspersky Lab drošības risinājums. Tam sekojošā izmeklēšana lika Lazarus uz laiku pārtraukt operāciju, bet pēc tam uzbrukums tika pavērsts pret Eiropu. Tomēr viņu mēģinājumi atkal tika apturēti, izmantojot Kaspersky Lab izstrādājumus, kā arī ātri reaģējot un izmeklējot incidentus.

Uzbrukumi, kurus izmeklēja Kaspersky Lab, ilga vairākas nedēļas, taču slepenā režīmā hakeri varēja strādāt mēnešiem ilgi. Tieši tā bija noticis incidentā Dienvidaustrumāzijā. Uzbrucēji bija iekļuvuši bankas tīklā vismaz septiņus mēnešus pirms tam, kad bankas drošības dienests lūdza speciālistu palīdzību.

Parasti uzbrucēji bija piesardzīgi un likvidēja ielaušanās pēdas, tomēr vienā no uzlauztajiem serveriem, ko Lazarus izmantoja par vadības centru, eksperti atklāja svarīgu artefaktu. Pirmās pievienošanās serverim tika veiktas, izmantojot virtuālo privāto tīklu un starpniekserveri, un izsekot to atrašanās vietu bija teju neiespējami, taču eksperti konstatēja arī vienu pieprasījumu no reti sastopamas IP adreses Ziemeļkorejā. Pēc viņu domām, to var izskaidrot ar vienu no šiem iemesliem:

 

  • uzbrucēji pievienojās serverim no šīs adreses Ziemeļkorejā;
  • pievienošanās bija viltus marķieris, kas domāts ekspertu maldināšanai;
  • kāds Ziemeļkorejas iedzīvotājs ir nejauši apmeklējis servera adresi.

Pēdējo divu gadu laikā ar Lazarus saistītu ļaunprogrammatūru pēdas ir atrastas 18 valstīs. Par uzbrukumu upuriem ir kļuvušas finanšu iestādes, kazino, uzņēmumi, kas specializējas programmatūras izstrādē ieguldījumu sabiedrībām, un kriptovalūtu komercijas pārstāvji. Jaunākais Lazarus aktivitātes vilnis tiek datēts ar 2017. gada martu — tas nozīmē, ka grupējums negrasās apstāties.

«Mēs esam pārliecināti, ka drīzumā atkal dzirdēsim par Lazarus. Šādi uzbrukumi liecina, ka pat sīki trūkumi tīkla konfigurācijā var izraisīt nopietnus drošības pārkāpumus. Šie caurumi uzņēmumam var izmaksāt simtiem miljonu dolāru. Tāpēc mēs ceram, ka banku, kazino un uzņēmumu, kas izstrādā programmatūru ieguldījumu sabiedrībām, vadītāji ar pienācīgu vērību izturēsies pret Lazarus radītajiem draudiem,» izmeklēšanas rezultātus komentēja Kaspersky Lab pētniecības centra Āzijas un Klusā okeāna reģionā vadītājs Vitālijs Kamļuks.

Izmeklēšanas gaitā Kaspersky Lab eksperti konstatēja vairāk nekā 150 ļaunprogrammatūru paraugu, kam ir sakars ar šo grupu. Tos visus sekmīgi neitralizē Kaspersky Lab drošības risinājumi. Viss ļaunprogrammatūru saraksts, kā arī izšķirīgi svarīgu ielaušanās rādītāju (Indicators of Compromise, IOC) saraksts, kas palīdzēs uzņēmumiem atklāt uzbrukuma pēdas savā korporatīvajā tīklā, ir pieejams Kaspersky Lab pārskatā https://securelist.com/blog/sas/77908/lazarus-under-the-hood.

Kaspersky Lab iesaka visiem uzņēmumiem pārbaudīt korporatīvo tīklu, vai tajā nav uzbrukuma pazīmju. Ja tādas tiek konstatētas, sistēma ir jāattīra ar drošības risinājumu, kā arī par uzbrukumu jāinformē tiesībaizsardzības iestādes un informācijas drošības incidentu reaģēšanas vienības.

l

Pēdējo divu gadu laikā ar Lazarus saistītu ļaunprogrammatūru pēdas ir atrastas 18 valstīs. Par uzbrukumu upuriem ir kļuvušas finanšu iestādes, kazino, uzņēmumi, kas specializējas programmatūras izstrādē ieguldījumu sabiedrībām, un kriptovalūtu komercijas pārstāvji. Jaunākais Lazarus aktivitātes vilnis tiek datēts ar 2017. gada martu — tas nozīmē, ka grupējums negrasās apstāties.

«Mēs esam pārliecināti, ka drīzumā atkal dzirdēsim par Lazarus. Šādi uzbrukumi liecina, ka pat sīki trūkumi tīkla konfigurācijā var izraisīt nopietnus drošības pārkāpumus. Šie caurumi uzņēmumam var izmaksāt simtiem miljonu dolāru. Tāpēc mēs ceram, ka banku, kazino un uzņēmumu, kas izstrādā programmatūru ieguldījumu sabiedrībām, vadītāji ar pienācīgu vērību izturēsies pret Lazarus radītajiem draudiem,» izmeklēšanas rezultātus komentēja Kaspersky Lab pētniecības centra Āzijas un Klusā okeāna reģionā vadītājs Vitālijs Kamļuks.

Izmeklēšanas gaitā Kaspersky Lab eksperti konstatēja vairāk nekā 150 ļaunprogrammatūru paraugu, kam ir sakars ar šo grupu. Tos visus sekmīgi neitralizē Kaspersky Lab drošības risinājumi. Viss ļaunprogrammatūru saraksts, kā arī izšķirīgi svarīgu ielaušanās rādītāju (Indicators of Compromise, IOC) saraksts, kas palīdzēs uzņēmumiem atklāt uzbrukuma pēdas savā korporatīvajā tīklā, ir pieejams Kaspersky Lab pārskatā https://securelist.com/blog/sas/77908/lazarus-under-the-hood.

Kaspersky Lab iesaka visiem uzņēmumiem pārbaudīt korporatīvo tīklu, vai tajā nav uzbrukuma pazīmju. Ja tādas tiek konstatētas, sistēma ir jāattīra ar drošības risinājumu, kā arī par uzbrukumu jāinformē tiesībaizsardzības iestādes un informācijas drošības incidentu reaģēšanas vienības.

Saistītās tēmas: KasperskyLabkibernoziegums

Izsaki savu viedokli