Lazarus: образ действия и контрмеры

В начале 2016 года по всему миру прогремела новость о краже $81 млн и попытке украсть еще $851 млн у Центрального банка Бангладеш. «Лаборатория Касперского» с самого начала принимала участие в расследовании инцидента, за которым стоит группа злоумышленников, названная Lazarus.

Тщательно изучив все обстоятельства случившегося, наши эксперты поняли, какими инструментами пользовались киберпреступники и как именно они действуют при атаках. Среди их целей не только банки, но и другие финансовые учреждения, казино и даже разработчики ПО для инвестиционных компаний.

К сожалению, пока злоумышленники остаются безнаказанными. И если в абзаце выше указана сфера вашей деятельности, то вам стоит проверить свою IT-инфраструктуру на предмет заражения. Для чего следует понимать, как действует Lazarus.

Образ действия злоумышленников

Первая фаза

Злоумышленники проникают в чужую инфраструктуру через один из входящих в нее компьютеров. Обычно — путем дистанционного использования уязвимости или методом заражения стороннего сайта, на который заходят сотрудники компании. При посещении взломанной страницы на машину «подсаживается» вредоносный код.

Вторая фаза

С помощью обширного арсенала — в ходе расследования мы выявили более 150 зловредов, имеющих отношение к деятельности группы, — зараза распространяется по другим ПК в сети компании, где организуются пути обхода защитных систем (backdoors).

Третья фаза

Дальше ведется кропотливая работа по сбору данных об информационной инфраструктуре жертвы. Цель ее — добыча учетных данных для программ, обслуживающих финансовые транзакции. Чтобы найти эти сведения, злоумышленники могут пристально изучать серверы с резервными копиями данных, контроллеры доменов, почтовые серверы и так далее.

Четвертая фаза

В итоге преступники создают специальные зловреды, способные обходить защиту финансового софта, и организуют вывод средств со счетов жертвы. Дальше получить эти деньги — дело техники.

Уроки для бизнеса

Несмотря на профессионализм злоумышленников, остановить их и предотвратить хищение денежных средств можно. Вы можете серьезно снизить риски, следуя нашим советам.

• Обеспечьте информационную инфраструктуру, где работают программы, отвечающие за денежные транзакции, надежной защитой, которая способна засекать целевые атаки.
• Следите за осведомленностью своих сотрудников о современном мире киберугроз и методах противодействия им.
• Регулярно проводите аудит информационной инфраструктуры в поисках уязвимостей и следов проникновения злоумышленников.
• Особенно тщательно защищайте серверы с резервными копиями данных: на них могут быть обнаружены логины, пароли и даже токены для аутентификации.
• Настраивайте ПО для переводов денежных средств тщательно, с учетом рекомендаций профессионалов по кибербезопасности и разработчиков этого ПО.
• При подозрении на наличие постороннего присутствия в IT-инфраструктуре пользуйтесь услугами экспертов, которые смогут провести полноценное расследование.

По нашему опыту, даже если злоумышленники сумели проникнуть в вашу инфраструктуру, не поздно пресечь их манипуляции и избежать потери денег и ухудшения репутации.

Полный анализ атаки, а также информацию о признаках заражения вы найдете на сайте SecureList.