A világ legütősebb hekkerei 23 milliárd forintot loptak egy banktól

A Kaspersky Lab ismertette a Lazarus hackercsoport – amit felelőssé tesznek a tavalyi bangladesi központi bank elleni 23 milliárd forint (81 millió dollár) összértékű rablásért – ügyében folyt több mint egy éves vizsgálat eredményeit. A kriminalisztikai elemzés során összesítették a Lazarus támadási módszertanát, hogy milyen kártékony programokat és stratégiát használnak a pénzügyi intézmények, kaszinók, befektetési társaságok fejlesztési részlegei és digitális pénznem vállalkozások elleni támadások során.

Twitter megosztás
Google+ megosztás
Cikk küldése e-mailben
Cikk nyomtatása

Ez az összesített tudás segített a cég szakembereinek megállítani két hasonló támadást, amelyeknek célpontjai szintén pénzintézetek voltak.

Tavaly februárban egy akkor még azonosítatlan hackercsoport megkísérelt ellopni kb. 240 milliárd forintot (851 millió dollárt), az akció végén végül 23 milliárd forintot (81 millió dollárt) tudtak átutalni bankszámláikra a bangladesi Központi Bankból.

A támadás napjaink legsikeresebb kibertámadásaként vonult be a történelembe.

A vizsgálatok eredményei azt mutatják, hogy a támadások mögött az ismert Lazarus csoport állhat, akik többek között felelősek olyan rendszeres pusztító támadásokért, amelyeket gyártó cégek, média- és pénzintézetek ellen indítottak világszerte 18 országban immár 8 éve.

Annak ellenére, hogy több hónapos csend követte a bangladesi támadást, a Lazarus csoport aktívan készítette elő új műveletét, amely során más bankokat szándékoztak feltörni és úgy tűnik sikeresen behatoltak egy délkelet-ázsiai pénzintézet rendszerébe.

Miután eredményesen blokkolták a csoport tevékenységét, azok néhány hónapos pihenő után úgy döntöttek, hogy átköltöznek Európába. Szerencsére támadó kísérleteiket félbeszakították a Kaspersky Lab biztonsági szoftverei, valamint a gyors válaszreakció, a sokrétű biztonsági elemzés, és a kibertanácsadó cég vezető kutatóinak mérnöki támogatása.

A vizsgált támadások hetekig tartottak, miközben a támadók képesek észrevétlenül működni hónapokig. A délkelet-ázsiai támadás elemzése során a szakértők felfedezték, hogy a hekkerek 7 hónappal korábban törték fel a rendszert, minthogy a bank biztonsági csapata segítséget kért volna.

Bár a támadók elég óvatosak voltak és törölték a nyomokat, egy általuk feltört szerveren egy mintát ott felejtettek. A felkészülési művelet folyamán, a szervert a rosszindulatú-program C&C központjaként konfigurálták. A konfiguráció első csatlakozásai néhány VPN/proxy-szerverről érkeztek, tesztelve a C&C szervert.

Ugyanakkor volt egy rövid csatlakozás egy nagyon ritka észak-koreai IP címről.