Em busca de Lazarus: Perseguindo os hackers infames para evitar grande roubos a bancos
4 de abril de 2017Amostras de malware relacionadas à atividade do grupo Lazarus foram detectadas no Brasil, México, Chile, e vários outros países
Ilha de São Martinho, 3 de abril de 2017
A Kaspersky Lab publicou os resultados de mais de um ano de investigação sobre as atividades do Lazarus – um notório grupo de hackers supostamente responsável pelo roubo de US$81 milhões do Banco Central de Bangladesh em 2016. Durante a análise forense dos artefatos deixados pelo grupo nos bancos do Sudeste Asiático e Europeu, a Kaspersky Lab alcançou uma compreensão profunda das ferramentas maliciosas que o grupo usa e como opera ao atacar instituições financeiras, casinos e desenvolvedores de software para empresas de investimento e negócios de cripto-moeda ao redor do mundo. Esse conhecimento ajudou a interromper pelo menos duas outras operações que tinham por objectivo roubar uma grande quantidade de dinheiro de instituições financeiras.
Em fevereiro de 2016, um grupo de hackers (não identificados na época) tentou roubar US$ 851 milhões, e conseguiu transferir US$ 81 milhões do Banco Central de Bangladesh. Este é considerado um dos maiores e mais bem-sucedidos roubos cibernéticos existentes. Uma investigação mais aprofundada, conduzida por pesquisadores de diferentes empresas de segurança de TI, incluindo a Kaspersky Lab, revelou uma grande chance de que os ataques fossem conduzidos por Lazarus – um notório grupo de espionagem e sabotagem cibernética responsável por uma série de ataques regulares e devastadores, conhecido por atacar empresas de manufatura e instituições financeiras em pelo menos 18 países desde 2009.
Embora o ataque de Bangladesh foi seguido por vários meses de silêncio, o grupo Lazarus estava ainda ativo. Eles estavam se preparando para uma nova operação para roubar dinheiro de outros bancos e, no momento em que estavam prontos, já tinham o pé em uma instituição financeira do Sudeste Asiático. Depois de serem interrompidos pelos produtos da Kaspersky Lab e da investigação, eles recuaram por mais alguns meses e, mais tarde, decidiram mudar sua operação para a Europa. Mas suas tentativas também foram interrompidas pelas detecções de software de segurança da Kaspersky Lab, ajudado por a resposta rápida de incidentes, análise forense e engenharia reversa de os principais pesquisadores da empresa.
A fórmula do Lazarus
Com base nos resultados da análise forense desses ataques, os pesquisadores da Kaspersky Lab conseguiram reconstruir o modus operandi do grupo.
Compromisso inicial – Um único sistema dentro de um banco é violado com código vulnerável remotamente acessível (por exemplo, em um servidor web) ou através de um ataque watering hole por meio de um exploit plantado em um site legítimo. Uma vez que esse site é visitado, o computador da vítima (empregado do banco) recebe um malware, o que traz componentes adicionais.
Apoio estabelecido – Em seguida, o grupo migra para outros hosts do banco e implanta backdoors persistentes – o malware permite que eles entrem e saiam sempre que quiserem.
Reconhecimento interno – Posteriormente, o grupo passa dias e semanas aprendendo a rede e identificando recursos valiosos. Um desses recursos pode ser um servidor de backup, onde as informações de autenticação são armazenadas, um servidor de correio ou todo o controlador de domínio com chaves para cada “porta” da empresa, bem como servidores armazenando ou processando registros de transações financeiras.
Entregar e roubar – Finalmente, implementam um malware especial capaz de ignorar os recursos de segurança interna do software financeiro e emitir transações desonestas em nome do banco.
Geografia e Atribuição
Os ataques investigados pelos pesquisadores da Kaspersky Lab duraram semanas. No entanto, os criminosos puderam operar sob o radar por meses. Por exemplo, durante a análise do incidente no Sudeste Asiático, especialistas descobriram que os hackers foram capazes de comprometer a rede bancária não menos de sete meses antes do dia em que a equipe de segurança do banco solicitou resposta ao incidente. Na verdade, o grupo tinha acesso à rede desse banco antes mesmo do dia do incidente de Bangladesh.
De acordo com os registros da Kaspersky Lab, a partir de dezembro de 2015, amostras de malware relacionadas à atividade do grupo Lazarus apareceram em instituições financeiras, cassinos, desenvolvedores de software para empresas de investimentos e negócios de cripto-moeda no Brasil, México, Chile, Costa Rica, Uruguai, Coréia, Bangladesh, Índia, Vietnã, Indonésia, Malásia, e vários outros países. As últimas amostras conhecidas pelo Kaspersky Lab foram detectadas em março de 2017, mostrando que os atacantes não têm intenção de parar.
Apesar de os criminosos terem sido cuidadosos o suficiente para limpar seus vestígios, pelo menos um servidor com brecha para outra campanha continha erro grave com um artefato importante deixado para trás. Em preparação para a operação, o servidor foi configurado como o centro de comando e controle do malware. As primeiras conexões feitas no dia da configuração vinham de alguns servidores VPN/proxy indicando um período de teste para o servidor C&C. No entanto, houve uma conexão curta durante aquele dia, que estava vindo de um intervalo de endereços IP muito raros na Coréia do Norte.
De acordo com pesquisadores, isso pode significar várias coisas:
– Os atacantes se conectaram a partir de um IP localizado na Coréia do Norte
– Foi uma operação de “false flag” que alguém planejou cuidadosamente
– Alguém na Coreia do Norte acidentalmente visitou a URL da central de controle e comando
Por muitos meses, os investigadores tinham suspeitado que os hackers de Lazarus pudessem ter as ligações à Coreia do Norte, mas não havia nenhuma prova direta ou contínua. Este artefato recentemente descoberto apoiou esta teoria.
O grupo Lazarus investe pesadamente em novas variantes de seu malware. Durante meses, estavam tentando criar um conjunto de ferramentas malicioso que seria invisível para as soluções de segurança. Porém, cada vez que faziam isso, especialistas da Kaspersky Lab conseguiam identificar recursos exclusivos na criação do código, permitindo que a Kaspersky Lab acompanhasse as novas amostras. Agora, os atacantes ficaram relativamente quietos, o que provavelmente significa que eles fizeram uma pausa para retrabalhar seu arsenal.
“Temos certeza que eles vão voltar logo. Ao todo, ataques como os conduzidos pelo grupo Lazarus mostram que uma pequena configuração incorreta pode resultar em uma violação de segurança importante, que pode potencialmente custar a um negócio centenas de milhões de dólares em perdas. Esperamos que os executivos-chefe de bancos, cassinos e empresas de investimento em todo o mundo fiquem cautelosos com o nome de Lazarus”, diz Vitaly Kamluk, Chefe da Equipe Global de Pesquisa e Análise da APAC da Kaspersky Lab.
Os produtos da Kaspersky Lab detectam e bloqueiam com sucesso o malware utilizado pelo ator de ameaça Lazarus com os seguintes nomes específicos de detecção:
– HEUR:Trojan-Banker.Win32.Alreay*
– Trojan-Banker.Win32.Agent.zvr*
A empresa também está lançando Indicators of Compromise (IOC) e outros dados para ajudar as organizações a procurar vestígios desses grupos de ataque em suas redes corporativas.
Para mais informações, acesse Securelist.com.
Desejamos que todas as organizações examinem cuidadosamente suas redes para detectar a presença de amostras de malware de Lazarus e, se detectadas, desinfetem seus sistemas e denunciem a invasão às equipes de aplicação da lei e de resposta a incidentes.
Para saber mais sobre os ataques financeiros do grupo Lazarus, leia a postagem do blog disponível em Securelist.com.