USD 65.59 ЕВРО 75.18

Хакеры, атакующие банки, притворяются русскими

Экономика

Образцы зловредного ПО содержат плохо переведенные русские слова и команды


 
Хакеры, стоящие за сложной атакой, нацеленой на финансовые организации по всему миру, намеренно вставляют русские слова и команды в свои вредоносные программы, пытаясь сбить со следа расследование.
 
Исследователи из компании кибербезопасности BAE Systems недавно получили и проанализировали образцы вредоносных программ, связанных с кампанией, которая нацелена на 104 организации, большинство из которых являются банками, расположенными в 31-й стране.
 
Они нашли несколько команд и строк во вредоносных программах, которые были переведены на русский язык с помощью онлайн-инструментов, а результаты не имеют смысла для русскоговорящих.
 
«В некоторых случаях неточный перевод полностью поменял значение слов», говорят исследователи в своем блоге». Это подразумевает, что авторы этой атаки не являются носителями русского языка, а использование русских слов — ложный флаг».
 
Это необычное поведение, предназначенное, чтобы направить исследователей по ложному следу.

На самом деле есть технические доказательства, позволяющие связать эти образцы вредоносных программ и вцелом кампанию с группой, известной в индустрии безопасности, как Lazarus.
 

Эта группа действует с 2009 года, и на протяжении многих лет несет ответственность за различные нападения на правительственные и частные организаций из Южной Кореи и США.
 
Lazarus, как полагают, стоит за нападением на  Sony Pictures Entertainment в 2014 году, когда произошла утечка конфиденциальных данных, и многие из компьютеров компании оказались неработоспособными. ФБР и другие спецслужбы США связывают это нападение с Северной Кореей.
 
Группа Lazarus также была связана с кражей $81 млн из центрального банка Бангладеша в прошлом году. В этой атаке хакеры использовали вредоносные программы для манипулирования компьютерами, используемыми банком для работы с денежными переводами через сеть SWIFT.

Они попытались перевести в общей сложности $951 млн, но некоторые операции не удались, а другие были успешно отменены после обнаружения кражи.
 

Ранее в этом месяце была обнаружена вредоносное атака, которая коснулась несколько банков в Польше. При атаке, как полагают, использовали эксплойты, запускаемые с зараженного веб-сайта польского органа финансового надзора.
 
Исследователи из компаний BAE Systems и Symantec связали польское нападение с более крупной кампанией, которая продолжается с октября, и включает множество атак типа «watering hole». Веб-сайты Национальной банковской и фондовой комиссии Мексики и крупнейшего государственного банка из Уругвая были инфицированы аналогичным образом.
 
Вредоносные программы, используемые в этих атаках, несут кодовые сходство с инструментами, приписываемые в прошлом группе Lazarus.
 
Существует несколько киберпреступных банд русского происхождения, которые специализируются на банках. Эти группы используют направленный фишинг, чтобы закрепиться в сети банков, а затем изучают внутренние процедуры, прежде чем начинают воровать деньги.

Исследователи BAE Systems предполагают, что Lazarus может пытаться замаскировать свою деятельность под этих русскоязычных киберпреступников.