Спецпроекты

Северокорейские хакеры придумали топорный, но мощный способ атак на криптобиржи

Безопасность Стратегия безопасности Маркет
Группировка Lazarus застигнута за довольно топорными, но эффективными фишинговыми атаками на сисадминов криптовалютных организаций.

Это всё GDRP. Честно-честно

Северокорейская кибергруппировка Lazarus переключилась с традиционных финансовых учреждений на криптобиржи, считают эксперты компании F-Secure.

По их данным, участники Lazarus стоят за рассылкой системным администраторам криптобирж фальшивых предложений о работе через Linkedin.

Расследование нынешней кампании, в частности, началось после фишинговой атаки, в ходе которой системный администратор неназванной криптовалютной организации получил в личном аккаунте на Linkedin подложное предложение о работе в другой компании.

К сообщению прилагался вредоносный документ Word. При попытке открыть его пользователю вывелось сообщения о том, что документ «находится под защитой GDRP» (Генерального регламента ЕС по защите персональных данных), поэтому для его чтения якобы требуется «включить содержимое», т.е. снять защиту и активировать макросы.

Естественно, сразу после отключения защиты должны были срабатывать макросы, которые скачивали вредоносные файлы на компьютер жертвы.

korea600.jpg
Северокорейской кибергруппировке Lazarus удалось переключиться с атак на банки на криптобиржи

В данном конкретном случае, как сказано в отчёте F-Secure, документ на машине потенциальной жертвы был изменён так, чтобы удалять всякий вредоносный контент после его исполнения, эксперты компании установили, что исходный документ и вредосные компоненты были идентичны или очень похожи на те, что ранее уже попадали на VirusTotal, - об этом свидетельствовали метаданные и последствия запуска, сохранившиеся в базе данных System Resource Usage Monitor.

Собрать птицу по перьям

Исследователи констатировали значительное сходство между вредоносами, выявленными в данном случае, и инструментами, которые «Лаборатория Касперского» идентифицировала и отождествила с Lazarus/APT38 ещё в 2016 г.

Как отметили эксперты F-Secure, члены Lazarus приложили немало усилий, чтобы обойти защиту в атакованных организациях: была предпринята попытка деактивировать антивирус, а также устранить все следы присутствия вредоносных «имплантов», однако их всё равно удалось выявить и проанализировать.

По данным F-Secure, попытались атаковать таким образом «организации в криптовалютной вертикали» в Великобритании, США, Нидерландах, Германии, Сингапуре, Японии и как минимум ещё в восьми странах. Работали адресно: фальшивые предложения о работе получали отнюдь не случайные люди.

Группировка Lazarus давно известна атаками на финансовые учреждения во всём мире; в течение длительного времени они пытались выводить финансовые средства в Северную Корею, чья экономика по понятным причинам находится не в лучшем состоянии.

«Кража и использование криптовалют, вероятно, рассматривается командирами Lazarus как более перспективное направление деятельности, - полагает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. - Криптовалютные транзакции во многих случаях сложнее отследить и откатить, особенно в тех случаях, когда анонимизация является неотъемлемым атрибутом криптовалюты. А это открывает широкие возможности для отмывания реальных финансовых средств. Администраторам криптобирж следует задуматься о том, надёжна ли их персональная киберзащита. Впрочем, пока не ясно, насколько успешны были атаки Lazarus: следы замести им не удалось, и не факт, что они уже реально что-то смогли умыкнуть. И, к слову, не очень понятно, как системный администратор мог попасться на такую дешёвую уловку как упомянутая «защита GDRP» - шансов на успех у подобной «социальной инженерии» очень немного».