Segurança - Lazarus modus operandi, será?
Caça a hackers busca evitar grande roubos a bancos
Amostras de malware relacionadas à atividade do grupo Lazarus foram detectadas no Brasil, México, Chile, e vários outros países; evidências apontam para ligação com a Coreia do Norte
Em fevereiro de 2016, um grupo de hackers (não identificados na época) tentou roubar US$ 851 milhões, e conseguiu transferir US$ 81 milhões do Banco Central de Bangladesh. Este é considerado um dos maiores e mais bem-sucedidos roubos cibernéticos existentes. Uma investigação mais aprofundada, conduzida por pesquisadores de diferentes empresas de segurança de TI, incluindo a Kaspersky Lab, revelou uma grande chance de que os ataques fossem conduzidos por Lazarus – um notório grupo de espionagem e sabotagem cibernética responsável por uma série de ataques regulares e devastadores, conhecido por atacar empresas de manufatura e instituições financeiras em pelo menos 18 países desde 2009.
Embora o ataque de Bangladesh foi seguido por vários meses de silêncio, o grupo Lazarus estava ainda ativo. Eles estavam se preparando para uma nova operação para roubar dinheiro de outros bancos e, no momento em que estavam prontos, já tinham o pé em uma instituição financeira do Sudeste Asiático. Depois da investigação, eles recuaram por mais alguns meses e, mais tarde, decidiram mudar sua operação para a Europa. Mas suas tentativas também foram interrompidas, ajudados pela resposta rápida de incidentes, análise forense e engenharia reversa de pesquisadores especialistas.
A fórmula do Lazarus
Com base nos resultados da análise forense desses ataques, os pesquisadores conseguiram reconstruir o modus operandi do grupo.
- Compromisso inicial – Um único sistema dentro de um banco é violado com código vulnerável remotamente acessível (por exemplo, em um servidor web) ou através de um ataque watering hole por meio de um exploit plantado em um site legítimo. Uma vez que esse site é visitado, o computador da vítima (empregado do banco) recebe um malware, o que traz componentes adicionais.
- Apoio estabelecido – Em seguida, o grupo migra para outros hosts do banco e implanta backdoors persistentes – o malware permite que eles entrem e saiam sempre que quiserem.
- Reconhecimento interno – Posteriormente, o grupo passa dias e semanas aprendendo a rede e identificando recursos valiosos. Um desses recursos pode ser um servidor de backup, onde as informações de autenticação são armazenadas, um servidor de correio ou todo o controlador de domínio com chaves para cada “porta” da empresa, bem como servidores armazenando ou processando registros de transações financeiras.
- Entregar e roubar – Finalmente, implementam um malware especial capaz de ignorar os recursos de segurança interna do software financeiro e emitir transações desonestas em nome do banco.
Geografia e Atribuição
Os ataques investigados pelos pesquisadores duraram semanas. No entanto, os criminosos puderam operar sob o radar por meses. Por exemplo, durante a análise do incidente no Sudeste Asiático, especialistas descobriram que os hackers foram capazes de comprometer a rede bancária não menos de sete meses antes do dia em que a equipe de segurança do banco solicitou resposta ao incidente. Na verdade, o grupo tinha acesso à rede desse banco antes mesmo do dia do incidente de Bangladesh.
De acordo com os registros, a partir de dezembro de 2015, amostras de malware relacionadas à atividade do grupo Lazarus apareceram em instituições financeiras, cassinos, desenvolvedores de software para empresas de investimentos e negócios de cripto-moeda no Brasil, México, Chile, Costa Rica, Uruguai, Coréia, Bangladesh, Índia, Vietnã, Indonésia, Malásia, e vários outros países. As últimas amostras conhecidas foram detectadas em março de 2017, mostrando que os atacantes não têm intenção de parar.
Apesar de os criminosos terem sido cuidadosos o suficiente para limpar seus vestígios, pelo menos um servidor com brecha para outra campanha continha erro grave com um artefato importante deixado para trás. Em preparação para a operação, o servidor foi configurado como o centro de comando e controle do malware. As primeiras conexões feitas no dia da configuração vinham de alguns servidores VPN/proxy indicando um período de teste para o servidor C&C. No entanto, houve uma conexão curta durante aquele dia, que estava vindo de um intervalo de endereços IP muito raros na Coréia do Norte.
De acordo com pesquisadores, isso pode significar várias coisas:
- Os atacantes se conectaram a partir de um IP localizado na Coréia do Norte
- Foi uma operação de “false flag” que alguém planejou cuidadosamente
- Alguém na Coreia do Norte acidentalmente visitou a URL da central de controle e comando
Por muitos meses, os investigadores tinham suspeitado que os hackers de Lazarus pudessem ter as ligações à Coreia do Norte, mas não havia nenhuma prova direta ou contínua. Este artefato recentemente descoberto apoiou esta teoria.
O grupo Lazarus investe pesadamente em novas variantes de seu malware. Durante meses, estavam tentando criar um conjunto de ferramentas malicioso que seria invisível para as soluções de segurança. Porém, cada vez que faziam isso, especialistas conseguiam identificar recursos exclusivos na criação do código, permitindo que se acompanhasse as novas amostras. Agora, os atacantes ficaram relativamente quietos, o que provavelmente significa que eles fizeram uma pausa para retrabalhar seu arsenal.
“Temos certeza que eles vão voltar logo. Ao todo, ataques como os conduzidos pelo grupo Lazarus mostram que uma pequena configuração incorreta pode resultar em uma violação de segurança importante, que pode potencialmente custar a um negócio centenas de milhões de dólares em perdas. Esperamos que os executivos-chefe de bancos, cassinos e empresas de investimento em todo o mundo fiquem cautelosos com o nome de Lazarus”, diz Vitaly Kamluk, Chefe da Equipe Global de Pesquisa e Análise da APAC da Kaspersky Lab.
