Sve o hakerskoj grupi LAZARUS iz Severne Koreje koja je možda započela SAJBER RAT: Mogu da obore svet, ovo nije prvi put da prave haos

Kompanija za virtuelnu bezbednost "Simantek" je otkrila dva moguća linka koja ukazuju da je "VonaKraj" sajber napad vezan za hakersku grupu "Lazarus" iz Severne Koreje.

Preporučujemo

Iza hakerskog napada u kome je stradalo 150 zemalja i više od 300.000 kompjutera stoji - SEVERNA KOREJA?! (VIDEO)

1. Simantek je identifikovao prisustvo alata koje isključivo koristi Lazarus na inficiranim kompjuterima i ranijim verzijama "VonaKraj" virusa. Ove ranije varijante "VonaKraj" nisu imale mogućnost da se šire preko "Server Message Block-a", mrežnog protokola Windows-a koji dozvoljava sistemu da u okviru iste mreže deli podatke. Veruje se da bi upravo Lazarus alati mogli da se koriste kao metod za razmnožavanje "VonaKraj" virusa, ali to nije potvrđeno.

2. Zajednički kod: Kako je tvitovao "Guglov" istraživač Nik Mehta, postoji zajednički kod između poznatih Lazarus alata i "VonaKraj" virusa. Simantek je utvrdio da ovi kodovi koriste određeni niz 75 šifara koje su do sada videli samo kod Lazarus alata i kod "VonaKraj" varijanti.

Foto: Profimedia/AFP/Fancy

Iako ovi nalazi ne ukazuju na definitivnu vezu između Lazarusa i "VonaKraj" virusa, svetski kompjuterski stručnjaci veruju da postoje dovoljne veze da zahtevaju dalju istragu.

Kompanija "Intezer Labs" sa sedištem u Izraelu saglasna je sa pretpostavkom da je Severna Koreja povezana s virusom "VonaKraj" i to, kako kažu, ne samo zbog Lazarusa, a stim u vezi najavljuje nove informacije.

Pored pomenutih stručnjaka, na mogućnost da iza sajber napada stoji hakerska grupa iz Pjongjanga, ukazali su i istraživači u bezbednosnoj kompaniji "Kasperski", sa sedištem u Rusiji, koji su "Lazarus" istraživali več nekoliko godina i otkrili da sličnosti u kodu ukazuju na ovu hakersku grupu za koju se veruje da stoji iza brojnih hakerskih akcija. To je dosad najvažniji trag u vezi s poreklom virusa, koji bi, smatraju, mogao da bude "ključ za rešavanje misterije", ali da su potrebna dodatna istraživanja.

Printskrin:map.norsecorp.com/v1/

RANI RADOVI "LAZARUSA"

Hakerska grupa "Lazarus" najpoznatija je po svom "nastupu" iz 2014. godine, kada su hakovali "Soni pikčers".

Grupa je inače aktivna od 2009. godine i njihove prve aktivnosti bile su usmerene protiv vlade Južne Koreje u Seulu.

U jednoj od najvećih i najuspešnijih sajber-pljački do sada, u februaru prošle godine, organizovana grupa pokušala je da ukrade 851 milion američkih dolara i uspela je da prenese čak 81 milion dolara iz centralne banke Bangladeša. Istraga koju su sproveli istraživači iz različitih IT bezbednosnih kompanija otkrila je da postoji velika verovatnoća da je napad sprovela grupa "Lazarus", ozloglašena hakerska grupa odgovorna za brojne napade od 2009. godine u 18 zemalja.

Foto-ilustracija: Profimedia/Alamy

Iako je nakon napada u Bangladešu usledilo nekoliko meseci tišine, grupa "Lazarus" je i dalje bila aktivna. Oni su se pripremali za novu operaciju krađe novca od drugih banaka i, u trenutku kada su bili spremni, već su uspeli da se infiltriraju u jednu finansijsku instituciju u jugoistočnoj Aziji. Nakon što su ih bezbednosna rešenja omela u tome, napadači su se povukli na još nekoliko meseci, da bi kasnije odlučili da premeste svoje operacije u Evropu. Međutim, njihovi pokušaji bili su prekinuti i na Starom kontinentu uz pomoć bezbednosnih rešenja, brzih odgovora na incidente, forenzičke analize i obrnutog inženjeringa.

Forenzičkom analizom napada rekonstruisan je način rada ove grupe.

U sistem unutar banke upadaju pomoću daljinskog malicioznog koda (npr. na veb-serveru) ili pomoću "watering hole" napada, koristeći "rupu" postavljenu na benignom sajtu. Kada žrtva poseti takvu stranicu, računar zaposlenog u banci biva zaražen malverom koji nosi sa sobom dodatne komponente. Grupa se zatim seli na druge "domaćine" unutar banke i instalira otporne malvere koji im dozvoljavaju da dolaze i odlaze kad god žele. Nakon toga grupa provodi dane i sedmice proučavajući mrežu i identifikujući vredne resurse. Jedan takav resurs može da bude rezervni server, gde se čuvaju podaci za autorizaciju, mejl server ili celokupni kontroler domena sa tasterima za svaka "vrata" u kompaniji, kao i server na kojem se skladište ili obrađuju podaci o finansijskim transakcijama. Konačno, oni instaliraju poseban malver sposoban da zaobilazi unutrašnje bezbednosne funkcije finansijskog softvera i izdaju lažne transakcije u ime banke.

Foto: Flickr/Mr. Cacahuate

Od decembra 2015. godine, uzorci malvera koji se odnose na aktivnosti grupe "Lazarus" pojavili su se u finansijskim institucijama, kazinima, softverima investicionih kompanija i kompanijama koje se bave kriptovalutama u Južnoj Koreji, Bangladešu, Indiji, Vijetnamu, Indoneziji, Kostariki, Maleziji, Poljskoj, Iraku, Etiopiji, Keniji, Nigeriji, Urugvaju, Gabonu, Tajlandu i u nekoliko drugih zemalja. Najnoviji uzorci otkriveni su u martu 2017. godine, što znači da napadači nemaju nameru da se zaustave.

Iako su napadači bili dovoljno oprezni da izbrišu svoje tragove, bar jedan server koji su kompromitovali sadržao je ozbiljnu grešku sa važnim artefaktom koji su ostavili iza sebe.

"Lazarus" grupa u velikoj meri ulaže u nove varijante malvera i istraživači su sigurni da će se vratiti uskoro.

Podsetimo, novi soj "ransomver" virusa poznat kao "VonaKraj" je pogodio 150 zemalja sveta i stotine hiljada računara širom sveta od njegovog nastanka u petak, 12. maja. "VonaKraj" je daleko opasniji od drugih vrsta zajedničkog "ransomvera" zbog svoje sposobnosti da se širi računarima koji koriste Windows, tako što koristi ranjivost ovog operativnog sistema.

(Gordana Ćosić - g.cosic@telegraf.rs)