מצוד אחר קבוצת האקרים ידועים לשמצה במאמץ למנוע שוד בנק נוסף
מאת:
מערכת Telecom News, 4.4.17, 10:53
תוצאות מחקר על פעילות קב' ריגול סייבר האחראית לגניבת 81 מיליון דולרים מהבנק המרכזי של בנגלדש ב-2016. הכלים הזדוניים שבהם השתמשה הקב' והדרך בה פעלה שלב אחר שלב בהתקפות. ממצאים ממרץ 2017 מראים, שלתוקפים אין כוונה לעצור.
בפברואר 2016, קבוצת האקרים (שלא הייתה מזוהה באותו הזמן) ניסתה לגנוב 851 מיליון דולרים, כשהיא מצליחה לבצע העברה של 81 מיליון דולרים מהבנק המרכזי של בנגלדש. פעילות זו נחשבת לשוד הסייבר הגדול והמוצלח ביותר אי פעם.
חקירה, שערכו חוקרים מחברות אבטחת מידע שונות, כולל מעבדת קספרסקי, חשפה, שקיים סיכוי גבוה לכך, שההתקפה בוצעה ע"י
לזרוס – קבוצת ריגול סייבר הידועה כאחראית לסדרה של התקפות הרסניות, בעיקר התקפות על חברות תעשייה, מדיה וגופים פיננסים, בלפחות
18 מדינות ברחבי העולם מאז 2009.
למרות שחלפו מספר חודשים רגועים לאחר המתקפה על בנגלדש, קבוצת לזרוס המשיכה לפעול. חברי הקבוצה התכוננו לפעילות חדשה של גניבת כספים מבנקים נוספים, ואף התחילו לפלס דרך לתוך גוף פיננסי בדרום מזרח אסיה. אלא שהם הופרעו ע"י מוצרי אבטחת מידע ובשל החקירה שבוצעה לאחר מכן, מה שגרם לעיכובם למשך מספר חודשים ואף לשינוי כיוון והעברת הפעילות לאירופה.
אבל גם שם, הניסיונות שלהם שובשו כתוצאה מזיהוי פעילותם ע"י תוכנת אבטחה של ותגובה מהירה, ניתוח פורנזי, והנדסה הפוכה מצד חוקרי החברה.
הנוסחה של לזרוס
בהתבסס על תוצאות ניתוח פורנזי של המתקפות, חוקרי מעבדת קספרסקי היו מסוגלים לעקוב אחר דרך הפעולה של הקבוצה.
- הפריצה הראשונית: מערכת יחידה בתוך הבנק נפרצת באמצעות פירצה בקוד עם גישה מרחוק (כגון בשרת רשת) או באמצעות מתקפת "בור השקיה" עם כלי פריצה, שהושתלו באתר חיצוני. ברגע שהוא מבקר באתר, מחשב הקורבן (עובד בנק) נדבק בקוד הזדוני, שמייבא אחריו רכיבים נוספים.
- רגל בדלת: הקבוצה נודדת משם למערכות אחרות בבנק ומפעילה דלת אחורית קבועה, קוד זדוני המאפשר לה להיכנס ולצאת מתי שתרצה.
- סיור והיכרות: לאחר מכן הקבוצה מבלה ימים ושבועות בלימוד הרשת ובזיהוי המשאבים החשובים בה. משאב אחד כזה יכול להיות שרת הגיבוי בו מאוחסנים סיסמאות ונתוני אימות. הוא יכול להיות גם שרת דואר או בקר דומיין מלא המכילים את המפתחות לכל "דלת" בחברה ושרתים המאחסנים או מעבדים רשומות של פעילות פיננסית.
- אספקה וגניבה: לבסוף, הם מפעילים קוד זדוני מיוחד המסוגל לעקוף את מאפייני האבטחה הפנימיים או תוכנה פיננסית ולרשום פעולות פיננסיות מזויפות בשם הבנק.
גיאוגרפיה וייחוס
ההתקפות, שנחקרו ע"י חוקרי מעבדת קספרסקי, נמשכו שבועות. עם זאת, התוקפים יכלו לפעול מתחת למכ"ם במשך חודשים. לדוגמא, במהלך ניתוח האירוע בדרום מזרח אסיה, החוקרים גילו, שההאקרים הצליחו לפרוץ לרשת הבנק לא פחות מ-7 חודשים לפני היום בו צוות האבטחה של הבנק הפעיל תגובה לאירוע.
עפ"י רשומות החברה, החל מדצמבר 2015, דוגמיות של קוד זדוני הקשורות לפעילות של קבוצת לזרוס הופיעו בגופים פיננסים, בתי קזינו ומפתחים של תוכנות להשקעות, בקוריאה, בנגלדש, הודו, וייטנאם, אינדונזיה, קוסטה ריקה, מלזיה, פולין, עירק, אתיופיה, קניה, ניגריה, אורוגואי, גבון, תאילנד ומספר מדינות נוספות. הדוגמיות האחרונות, שזיהתה החברה, נאספו במרץ 2017, ומראות, שלתוקפים אין כוונה לעצור.
התוקפים היו אומנם זהירים מאוד ועשו מאמצים למחוק את עקבותיהם. אולם, לפחות שרת אחד, שפרצו אליו במסגרת פעילות אחרת, הכיל טעות רצינית וכלל ממצא חשוב, שהם הותירו מאחור. בהכנה לפעילות שלהם, השרת הוגדר כמרכז פיקוד ושליטה עבור הקוד הזדוני. החיבורים הראשוניםף שבוצעו ביום הגדרת השרתף הגיעו ממספר שרתי
VPN/proxy המצביעים על כך, שמדובר על תקופת מבחן עבור שרתי השו"ב.
עם זאת, באותו היום נעשה גם חיבור קצר, שהגיע מכתובת
IP נדירה מאוד ב
צפון קוריאה. ראוי לציין, שממצא יחידי זה, שעשוי להצביע על המקור האפשרי של קבוצת לזרוס, או לפחות של חלק מחבריה, אינו מספיק כדי לבסס ייחוס וודאי מאחר שהחיבור יכול היה להיות תוצאה של פעילות שגויה או של הטעיה.
קבוצת לזרוס משקיעה רבות בגרסאות חדשות של הקוד הזדוני שלה. במשך חודשים ניסו חבריה ליצור מערך כלים זדוניים, שיהיה בלתי נראה לפתרונות אבטחה. אבל כל פעם שהם ניסו זאת, מומחי החברה הצליחו לזהות מאפיינים ייחודיים בדרך בה הם יצרו את הקוד, דבר שאפשר לחברה לבצע מעקב אחר הדוגמיות החדשות. כעת, התוקפים הפכו לשקטים יחסית, והמשמעות היא שהם כנראה עצרו כדי לעבוד מחדש על מערך הכלים שלהם.
ויטאלי קמלוק, ראש צוות מחקר וניתוח בינלאומי בדרום מזרח אסיה, מעבדת קספרסקי: "אנו בטוחים, שהם יחזרו בקרוב. בסך הכל, התקפות כמו אלו, שביצעה קבוצת לזרוס מראות, שטעות קטנה בהגדרה יכולה להביא לפריצה גדולה באבטחה, דבר שיכול לעלות לקורבן מאות מיליוני דולרים. אנו מקווים, שמנהלים בכירים בבנקים, מוסדות פיננסים וחברות להשקעות ברחבי העולם יהיו מודעים לשם לזרוס. אנו קוראים לכל הארגונים לבצע סריקה זהירה ברשתות שלהם אחר הקוד הזדוני של לזרוס. אם זוהה, יש לנקות את המערכות ולדווח לגופי אכיפה ולצוותי תגובה".
הקוד זדוני המשמש את קבוצת לזרוס הוא תחת שמות הזיהוי הבאים:
- HEUR:Trojan-Banker.Win32.Alreay.*,
- Trojan-Banker.Win32.Agent*
מידע נוסף: וידיאו -
כאן ופירוט והדו"ח המלא-
כאן.
