Сложнейшие атаки, похищенные миллионы и тысячи скомпрометированных аккаунтов — происхождение одной из самых профессиональных хакерских группировок, возможно, раскрыто. О том, что сотворили преступники и кто их вычислил — в программе Вести.Нет

За хакерами из кибергруппировки Lazarus, вероятно, стоит Северная Корея. Такой вывод следует из доклада "Лаборатории Касперского", который был представлен на конференции Security Analyst Summit. Lazarus — одна из самых известных в определенных кругах хакерских групп, которая с 2011 года промышляет кибершпионажем и киберсаботажем. И, скорее всего, ответственна за кражу 81 миллиона долларов из центрального банка Бангладеш в 2016 году, – инцидент стал едва ли не крупнейшим в истории. По крайней мере, из успешных.

"Лаборатория Касперского отслеживала после атаки на Бангладеш все активности с использованием того же самого вредоносного кода, и где-то летом 2016 г. к нам поступил тревожный звоночек, что появились новые файлы, они были использованы в одном из банков Юго-Восточной Азии. И мы поняли, что готовится новая операция, по сути, возможно, похожая на Бангладеш. Нам удалось связаться с банком, мы установили контакт и помогли им, во-первых, определить машины, компьютеры, которые были заражены, изолировать их, провести полный анализ, что с ними случилось, как атакующие проникли на них, и помочь им предотвратить атаку", — рассказал Виталий Камлюк, руководитель исследовательского центра "Лаборатории Касперского" в Азиатско-Тихоокеанском регионе.

По данным "Лаборатории Касперского", эта атака готовилась довольно долго, хакеры проникли в банковскую сеть как минимум за семь месяцев до того, как был распознан вредоносный код. Несколько месяцев специалисты лаборатории изучали зараженные компьютеры и собирали байты-следы, оставленные хакерами. А в январе этого года появилась новая волна атак на банки — на этот раз в Европе. В процессе расследования этого случая на одном из взломанных европейских серверов, который Lazarus использовала в качестве командного центра, эксперты зафиксировали один запрос от редкого IP-адреса в Северной Корее.

"В том случае, когда европейский сервер управления вредоносными программами и на нём появился северокорейский IP-адрес, на том же сервере находилась программное обеспечение, которое занималось майнингом или добычей криптовалюты. И она была настолько тяжелым и настолько интенсивно использовала ресурсы компьютера, что он просто перестал быть доступен и оператор потерял управление. Он не смог даже уничтожить и затереть следы своего присутствия, удалить файл этого веб-сервера, где появился северокорейский адрес. Только благодаря этому мы собственно и обладаем теми уликами, о которых мы сейчас говорим", — продолжил Виталий Камлюк, руководитель исследовательского центра "Лаборатории Касперского" в Азиатско-Тихоокеанском регионе.

Это стало самой важной уликой, доказывающей причастность этой страны к хакерской группировке Lazarus. Среди косвенных также называются совпадение часового пояса Северной Кореи с активностью атакущих, а также явные попытки скрыть использование корейской версии операционной системы Windows, в которой разрабатывался вредоносный код.

"Мы не торопимся с громкими заявлениями, мы не обвиняем Северную Корею, но однозначно северная Корея принимала какое-то участие, играла очень важную роль в этой атаки. Возможно, существует небольшая вероятность, что кто-то пытается подставить Северную Корею. Но в этом случае это будет очень дорогостоящая операция, если это действительно цель. Другой вариант, что кто-то помогает Северной Корее делать эту операцию, проводить операцию. И это объясняет — почему используется английский язык в сообщениях вредоносных программ. Это объясняет то, как они смогли развить такую сложную систему атак и систему построения вредоносного кода, который достаточно запутан. Либо, если это действительно Северная Корея – это значит, что мы что-то не знаем о том, каковы их интересы и мотивации в поиске вот этой незаконной прибыли путём кражи денег или перевода денег. И кое-что не знаем об их технологическом развитии", — признался Виталий Камлюк, руководитель исследовательского центра "Лаборатории Касперского" в Азиатско-Тихоокеанском регионе.

Стоит сказать, что впервые Северную Корею и группу Лазарус связали вместе после крупнейшей хакерской атаки на компанию Sony, в процессе которой злоумышленники украли у корпорации личные данные 47 тыс. работников и кинозвезд, обрушили ряд сервисов и серверов (среди которых был и PSN). В качестве мотива для атаки ФБР называли неадекватную реакцию властей Северной Кореи на выход комедийного фильма "Интервью" с Сетом Рогеном и Джеймсом Франко в главных ролях. В фильме, кстати говоря, погибает лидер страны Ким Чен Ын.

Правительство Северной Кореи действительно тогда оскорбилось и обещало наказать создателей картины.