Korea Północna, hakerzy, Bitcoiny i… LAZARUS

11 września na blogu firmy FireEye pojawił się wpis zatytułowany „Dlaczego Korea Północna tak bardzo interesuje się Bitcoinami”. Samo pytanie wydaje się być bezzasadne, jeżeli spojrzymy na wykres BTCUSD oraz rzucimy okiem na ostatnie newsy, dotyczące sankcji gospodarczych. Jednak informacje o aktywności północnokoreańskich cyberprzestępców jawi się cokolwiek ciekawie…

Jest więcej, niż pewne, że Korea Północna utrzymuje armię hakerów, bo w dzisiejszych czasach jest to broń równie potężna jak czołgi, wyrzutnie rakiet czy samoloty. A nawet niebezpieczniejsza o tyle, że działania w cyberprzestrzeni (cyberszpiegostwo, cybersabotaż czy cyberprzestępstwa) można prowadzić nieustannie, a bardzo trudno jednoznacznie udowodnić, że ktoś właśnie to robi.

Grupa Lazarus

Pierwsza myśl, jaka rodzi się w głowie po usłyszeniu słów „cyberprzestępcy” i „Korea Północna” jest – Grupa Lazarus. Kim lub czym jest Lazarus? Nie wiadomo dokładnie, ale rozliczne tropy potwierdzają, że rzeczywiście mogą to być północni Koreańczycy. A przynajmniej hakerzy na usługach Korei Północnej, niekoniecznie działający z terenu Korei Północnej (jak wiadomo prąd i dostęp do internetu, rzadko należą tam do standardu). Hakerzy Kima mogą zatem mieszkać w dowolnym miejscu świata (przeważnie jednak w krajach azjatyckich i europejskich), bo jak wiadomo, telepraca nie jest dziś żadnym problemem.

Wywiad ze słońcem narodu

Po raz pierwszy szerzej świat usłyszał o grupie Lazarus w 2014 roku, przy okazji premiery filmu „Wywiad ze słońcem narodu” (ang. „The Interview”). Film opowiada o gwiazdorze talkshow (James Franco) oraz jego producencie (Seth Rogen), którzy postanawiają pojechać do Korei Północnej, by tam zrobić wywiad z Kim Dzong Unem. Przy tej okazji CIA zleca im zabójstwo dyktatora.

Hakerzy włamali się na serwery Sony Pictures Entertainment i wykradli z nich ok. 100 terabajtów danych m.in. informacje o pracownikach i ich numerach ubezpieczeń, ale także kontrakty z aktorami i twórcami. W wystosowanym oświadczeniu Korea Północna stwierdziła, że nie wie, kto włamał się do Sony, ale że film jest wyjątkowo kłamliwy.

Wszczęte zostało śledztwo, w którym uczestniczyli spece z Kasperky Lab, Novetta i AlienVault, a którego efektem był obszerny raport Operacja Blockbuster, w którym podsumowano całą wiedzę na temat grupy Lazarus. W toku działań operacyjno-analitycznych udało się ustalić, że istniejąca od 2009 roku grupa, odpowiada także za inne, mniej spektakularne ataki. Mimo doskonałych metod pracy, zdradziły ich m.in. podobne metody zacierania śladów czy tzw. droppery – pliki służące do instalacji szkodliwego oprogramowania, które przechowują wszystkie dane w zabezpieczonych archiwiach ZIP. W wielu różnych kampaniach stosowano jedno hasło, zapisane na stałe w pliku.

Luty 2016, Bangladesz

Atak na bank centralny w Bangladeszu, z wykorzystaniem słabości w systemie płatności SWIFT należy do jednego z najgłośniejszych. Skradziono 81 milionów dolarów, a próbowano wyprowadzić z banku jeszcze 891 milionów.

Choć nie istnieją jednoznaczne dowody wskazujące na to, że za atakiem stał Lazarus, zdaniem Symantec Corp. i BAE Systems Plc, tak właśnie było. I znów przypuszczenie to oparte zostało jedynie na podobieństwach w kodzie oraz metodach działania.

Mniej więcej w tym czasie pojawia się jeszcze jedna, zagadkowa nazwa: BlueNoroff. Ma to być dział Lazarusa, specjalizujący się w atakach na instytucje finansowe (w odróżnieniu od pozostałej części, która skupiać się miała na cyberszpiegostwie i cybersabotażu). Ich ofiarami padać miały banki, kasyna, producenci oprogramowania dla firm inwestycyjnych, a także kryptowaluty.

– Jedną z ulubionych strategii BlueNoroff jest ciche integrowanie się z działającymi procesami bez zakłócania ich pracy. Z naszej analizy szkodliwego kodu wynika, że cyberprzestępcy nie są nastawieni na szybką i brutalną kradzież. Zamiast tego, starają się działać bardzo ostrożnie, by nie pozostawić po sobie żadnych śladów.czytamy na blogu Securelist.pl

O tym, czym jest „ciche integrowanie z działającymi procesami” przekonujemy się w Polsce dość szybko.

2016-2017 atak na polskie banki

7 października 2016 roku, na stronie Komisji Nadzoru Finansowego umieszczony został złośliwy kod (dropper). W branży cyberbezpieczeństwa nazywa się taką sytuację „taktyką wodopoju”, ponieważ zaatakowane nie zostały instytucje docelowe czyli banki, a źródło, do którego pracownicy owych instytucji często zaglądają. Od 7 października 2016 do lutego 2017, dropper znajdował się na stronie, przez nikogo nie niepokojony i działał. Według informacji pozyskanych przez Niebezpiecznik.pl, KNF otrzymywał informacje od pracowników banków, że ich serwis infekuje, jednak ani jedna, ani druga strona nie była w stanie zlokalizować miejsca umieszczenia złośliwego kodu.

2 lutego 2017 r. strona knf.gov.pl została wyłączona. Żaden z zainfekowanych banków nie był w stanie zapewnić w 100%, że źródłem infekcji była właśnie ta strona, zatem istnieje podejrzenie, że na innych stronach, związanych z tematyką finansową, również mógł pojawić się szkodliwy kod.

Podobnie, jak w przypadku ataku z Bangladeszu, i tym razem pojawiły się dość istotne podobieństwa, mogące sugerować, że za atakiem stała grupa Lazarus/BlueNoroff. Choć zdaniem Niebezpiecznika, wcale nie musiało tak być.

– Pewne zbieżności co do sposobu działania złośliwego oprogramowania wcale nie oznaczają, że za atakiem stoi ta sama grupa. Kod złośliwego oprogramowania lub pewnych modułów często jest tworzony niezależnie i sprzedawany do kilku niezależnych odbiorców. – czytamy na Niebezpiecznik.pl

Oba przypadki różniły się także celem przeprowadzonego ataku. W Bangladeszu doszło do spektakularnej kradzieży, w Polsce żadne środki nie zostały wyprowadzone.

Szersze analizy tego przypadku można przeczytać tutaj:

https://niebezpiecznik.pl/post/jak-przeprowadzono-atak-na-knf-i-polskie-banki-oraz-kto-jeszcze-byl-na-celowniku-przestepcow/

https://zaufanatrzeciastrona.pl/post/wlamania-do-kilku-bankow-skutkiem-powaznego-ataku-na-polski-sektor-finansowy/

Chcesz płakać?

W maju 2017 roku doszło do spektakularnego ataku, obejmującego swoim działaniem niemal cały świat, a jego głównym narzędziem był ransomware WannaCry - program, który szyfrował dane na komputerze i żądał okupu w Bitcoinach, w zamian za ich odszyfrowanie.

W ataku najbardziej ucierpiały firmy z Hiszpanii (m.in. główny operator usług telekomunikacyjnych Telefónica), brytyjska służba zdrowia, Fedex, Deutsche Bahn oraz firmy z 99 innych krajów. W Rosji zainfekowane zostały komputery MSW, agencji zarządzania kryzysowego, a także przedsiębiorstwa komunikacyjnego MegaFon. W ciągu kilku dni hakerzy wyłudzili ponad 79 tysięcy dolarów w Bitcoinie.

WannaCry bazował na exploicie (kod wykorzystujący błędy w oprogramowaniu) EternalBlue, który rzekomo miał powstać w amerykańskiej Agencji Bezpieczeństwa Narodowego (NSA), w celu atakowania komputerów z systemem Windows, a który ponoć miał zostać wykradziony i wystawiony na sprzedaż w dark webie. I chociaż – zgodnie z tradycją – trudno jednoznacznie wskazać winnego, ślady znów prowadzą do grupy Lazarus.

Bohaterem historii WannaCry został Marcus Hutchins, ekspert od cyberbezpieczeństwa zatrudniony w Kryptos Logic. Na podstawie wyodrębnionej próbki kodu ustalił, że przy infekowaniu kolejnych komputerów, WannaCry próbował łączyć się z niezarejestrowaną domeną. Gdy Hutchins zarejestrował ją, proces rozprzestrzeniania się wirusa został zatrzymany.

Żeby jednak nie było za wesoło – w sierpniu tego roku Hutchins został aresztowany w Las Vegas przez FBI, pod zarzutem rozprzestrzeniania w sieci wirusa Kronos (w latach 2014-2015), służącego do wykradania danych z banku.

Konkluzja

Świat jest areną ukrytych działań, które tylko pozornie są ze sobą zupełnie niezwiązane. Wielu ludzi stawia pytania, na które trudno odpowiedzieć np. skąd Korea Północna bierze pieniądze na rozwój broni, skoro od lat objęta jest coraz większymi sankcjami gospodarczymi? Kradzieże pieniędzy, a teraz także na większą skalę Bitcoinów, akcje cybersabotażowe i cyberszpiegowskie… To wszystko sprawia, że rodzi nam się więcej pytań, niż odpowiedzi. Zwłaszcza, że w tych wszystkich przypadkach, mamy do czynienia również z licznymi niejasnościami. Bo skoro ktoś z taką swobodą zostawia po sobą tak liczne i czytelne ślady, to albo jest pyszny i pragnie sławy, albo odwala jakiś dziwny numer z przerzucaniem podejrzeń na kogoś innego.

I co ciekawe – zawsze, gdzieś w tle, dziwnym zbiegiem okoliczności pojawia się Bitcoin.

fot. Surian Soosay, flickr.comCC BY 2.0

Komentarze

Bartosz Adamiak