ラザロユビキタス

ソニーエンターテイメントをハッキングし、バングラデシュの中央銀行を強奪し、世界中のSWIFTシステムに対する厚かましい攻撃を行い、韓国のメディアや金融会社からのデータを破壊します。 これらのシェアには共通点はないようです。 そして毎回彼らはラザログループの同じ男でした。

キャンペーンの規模、多様性、費用の大きさは印象的です-私たちの研究者だけが150を超える悪意のあるツールをLazarusとリンクすることができました！ 実際、ハッカーは攻撃ごとに、攻撃から消しゴムまで、新しいツールを作成しました。 コードは新しいものでしたが、完全ではありませんでした。 Lazarusの有名な活動に関する詳細なレポートには58ページが含まれていますが、ここで最も興味深い点を説明します。

変動性と遺伝

実際、上記のすべての攻撃をラザロと結びつけることは非常に困難です。 まず第一に、みんなのモットーは使用するツールの絶え間ない変化だからです。 ほとんどの場合、コンパイルは攻撃の2日前までに行われます。 これにより、署名分析ツールがまったく役に立たなくなり、Yaraの有効性が著しく制限されます。 そのため、これらの攻撃はすべて一見すると異なる人々によって実行されますが、コードに完全に没頭することで反対のことがわかります。

多様性を採用したハッカーは、遺伝を避けることができませんでした。 コードを一から作成するのは難しいだけでなく、非常に高価です。 したがって、異なる一見楽器間の一定の連続性を非常に明確に追跡できます。 たとえば、バングラデシュと東南アジアのサンプルを比較すると、ロギング機能がわずかな変更を加えて新しいコードに転送されていることがわかります。新しいコードは現在のプロセスのIDもログに書き込みます。



Novettaの研究者は、他の2つのインシデント後に発見されたmalvariを比較すると、2つの異なるツールの構成ファイルで同じマジックナンバー0xA0B0C0D0を使用していることに気づきました。これは、偶然の一致によるものではありません（スクリーンショットのlpFileDataを参照）。



Novettaレポートの公開後、ハッカーはそれを修正しましたが、完全ではありません-数は異なりますが、検証アルゴリズムは同じです。

ところで、ラザロのキャンペーンの連続的な進化がここで説明されていると思うなら、あなたは間違っています。 アナリストによると、バングラデシュ中央銀行と前述の東南アジアの銀行に対する攻撃は同時にほぼ同時に行われたため、これらは数億ドルを引き出す大規模な事業の一部であることが示唆されています。

銃口でのSWIFT

グループ内の別の部門が、Lazarusの運営に資金を提供するための資金の抽出に従事していると考えています。 アナリストは、Bluenoroffと名付けました（銀行攻撃で使用されたツールの1つの名前にちなんで）。 Bluenoroffsは、銀行、カジノ、金融ソフトウェアの開発者、暗号通貨サービスに焦点を当てています。 動機は透明で、方法は洗練され、地理は非常に広範囲に及んでいます-メキシコからマレーシアまで。



Bluenoroffは、データの盗難や破壊には関心がありません。 彼らの目標は本物のお金だけです。
Bluenoroffの銀行に対する攻撃パターンは単純ですが、効果的です。 このグループはSWIFTソフトウェア（銀行間振替の国際ネットワーク）を非常によく研究しており、定期的にそれを逆転させる可能性があります。 銀行のネットワークをハッキングして、すべてが通常どおり開始されます。

研究者はいくつかの注目すべきベクトルを説明しています：

-新しくインストールされた銀行のWebサーバーの侵害。 一般に、銀行は用心深く行動し、サイトの保護を確認するためにペンテスターを雇いました。 さて、ラザロはテスト中に彼を正しくハッキングしました。 ハッカーは、ペンテスト後に閉じられた脆弱性を利用したか、ペンテスター自身がサーバーに貼り付けたシェルをバックドアしたかの2つの可能性があります。 とにかく美しいです。

-ポーランドの銀行は、ポーランドの金融規制当局のウェブサイトを通じて感染しました。 ハッカーはサイトにIEのエクスプロイトを展開し、攻撃されたマシンでマルウェアブートローダーを実行しました。

-建材メーカーのサイトに投稿されたAdobe Flashのエクスプロイト。 興味深いことに、ハッカーは長期にわたる脆弱性の悪用に成功しました。 判明したように、2015年12月にリリースされたFlashバージョン20.0.0.235が感染したマシンにインストールされました。 この間ずっと、彼は定期的に更新を試みましたが、何も機能しませんでした-更新サーバーは、銀行のネットワークで更新サーバーに接続するプロキシサーバーを見つけることができませんでした。

その後、攻撃はネットワーク上にひそかに広がり、従業員の資格情報の主要な資格情報が収集されます（突然、管理者が逮捕されます）。



最後に、SWIFTサーバーがネットワーク上で検出され感染すると、ハッカーは管理者セッションを傍受し、データベースを操作します。 その結果、数百万ドル（バングラデシュ中央銀行の場合-8100万ドル）が間違った住所に送られます。

バングラデシュに対するセンセーショナルな攻撃の後、SWIFTは追加のコードとデータベースの整合性チェックを追加してソフトウェアを更新しました。 Bluenoroffsはまったく恥ずかしくないということを言わなければなりません-次の攻撃で、既に彼らのmalvarはこれらのチェックを巧みにオフにしました。 特徴的なことは、ソフトウェアを元の状態に戻す方法も知っていることです。



難読化

興味深い点-ハッカーはハッキングされたシステムをバックドアのセット、TCPトンネルを介して制御します。 ただし、直接ではありません。感染したマシンはリレーチェーンを形成し、すべてのバックドアトラフィックはマシンの1つから1つのトンネルを通過します。 これにより、感染の検出とローカライズが困難になります。 管理者がC＆Cサーバーへの接続をサポートするマシンを特定しても、他の侵害されたノードを特定することはそれほど難しくありません。


ラザロはいくつかの新しい興味深いテクニックを適用します。 サイバー犯罪者は、SWIFTと銀行間の責任の分離によって引き起こされるサイバー攻撃の調査における問題を認識していると考えています。 そして、マルウェアの分割を開始し、一部がSWIFTに接続されたシステムに保存され、もう一方が独自の銀行システムに保存されました。 そのため、銀行とSWIFT側の両方からの攻撃の痕跡を検出することを困難にしようとしています-カスペルスキーなどのサードパーティが有利なのはここです。 全体像を見ることができます。

技術的には、機能するマルウェアプロセスを取得するために収集する必要があるファイルを分割することにより、これを実行します。 これはすでに2回観察されており、これは偶然ではないことを確信しています。

情報セキュリティインシデントを調査する場合、通常、システム全体を分析し、メモリダンプとディスクイメージを調べます。 システムが半分感染している可能性があり、攻撃の2番目の要素が別の場所にあると考える人はほとんどいません。 アナリストは、木のために森を簡単に見ることができず、閉じたシステムの分析に身を閉じました。 したがって、実際には、この手法は調査を複雑にするために使用されたと考えています。

攻撃のすべての段階のすべてのコンポーネントを取得できたとしても、攻撃の複製は容易ではありません。 ポイントは、チェーンを開始する独創的なスキームです。各コンポーネントは、前のコンポーネントが起動パラメーターで渡す必要があるコードを解読するためにパスワードを必要とします。 そして、最初のコンポーネント（インストーラー）のみが知っている最初のパスワードがないと、研究者はマルウェアの動作を観察できなくなり、コードを分解することはほとんど不可能になります。
ところで、すべてのLazarusアクティビティは、被害者のタイムゾーンの非稼働時間中に実行され、ログを慎重にクリーニングします。

ラザロは発砲していません

グループの多くの株式の調査は北朝鮮を指し示したが、兆候は完全に間接的だった。 基本的に、結論は考えられる動機に基づいていました。 例えば、ソニー・エンターテインメントに対する攻撃は、「インタビュー」の初演の直前に行われました。「インタビュー」は、朝鮮民主主義人民共和国の指導者キム・ジョンウンが殺されるコメディです。 その結果、首相は延期されなければならなかった（しかし、キャンセルされなかった）。 同様に、韓国のサイトへの攻撃-「北の隣人」を除き、誰がそれを必要とするのか誰も理解できませんでした。 しかし、銀行強盗の場合、このロジックは適用されません-誰もがお金を必要とします。

Lazarusはトラックを慎重に消去し、正確な帰属を防ぐために偽のフラグを残します。 多くの場合、彼らは有名なラッシュハッカーに矢を転送しようとします。 特に、2017年1月にポーランドの銀行を攻撃するために使用されたエクスプロイトコードにロシア語の単語が見つかりました。 そして何！ Xoroshspat、vyzov_chainika、podgotovkaskotiny。 誰がどのように知っているのかはわかりませんが、コードを書くときだけタグを呼び出します。 バックドアでは、形式kliyent2podklyuchit、ustanavlivat、poluchit、nachaloの単語も見つかりました。 外国人がフレーズブックから単語を選んでいるかのように、これはすべて非常に奇妙に聞こえます。

私たちのヒーローともう一つの軽過失を失望させてください。 研究者は、グループが使用したヨーロッパの管理および制御サーバーをキャプチャすることに成功しました。 分析の結果、ハッカーはApache Tomcatをインストールして構成し、マルウェアのリモート制御用のJSPスクリプトをダウンロードしてテストを開始したことがわかりました。 そして、テスト後、彼らはいくらかのお金を稼ぐことに決めました。そして真実は、プロセッサリソースをアイドル状態にする必要がある理由であり、Monero暗号通貨マイナーをサーバーにダウンロードしました。 鉱夫は曲がったことが判明し、サーバーを完全に停止しました。 彼はアクセスできなくなり、ハッカーはすべてのトレース、特にApacheログをクリアできませんでした。

そして、ログで興味深いことがわかりました。 オペレータは慎重にプロキシとVPNを使用して、バックドアテストインストールをサーバーに接続しました。 そのため、フランスと韓国のIPアドレスがログに表示されますが、北朝鮮のプロバイダーStar JVに属する非常に珍しい範囲175.45.176.0-175.45.179.255からの短期接続もあります。 オペレーターが自分のIPを入力して間違いを犯した可能性がありますが、これはもちろん証明とは言えませんが、インターネット上には北朝鮮のコンピューターが存在するため、同じ方法でハッキングされ、痕跡を隠すために使用される可能性があります。

結論として、Bluenoroffから銀行からパルプを抽出するプロセスはあまり効率的ではないと言います。ほとんどの場合、彼らはネットワークを長時間放牧し、ゆっくりと調査し、管理者の資格情報を収集し、SWIFTサーバーでさまざまな方法をテストします。 たとえば、サンプルの一部を受け取ったアジアの銀行に対する攻撃は9か月以上続きました。 そして、これは「たとえハッキングされたとしても、被害を未然に防ぐことができる」という仮説の優れた証拠と言えます。 犠牲者にはこれに十分な時間がありましたが、奪われていることを理解するのに十分な内部の専門知識がありませんでした-ゆっくりですが確実に。