
Perseguição a Lazarus – caça a um grupo de hackers para evitar roubos a grandes bancos
- A Kaspersky Lab acaba de publicar os resultados de uma investigação realizada durante mais de um ano sobre a atividade de Lazarus, o famoso grupo de hackers alegadamente responsável pelo roubo de 81 milhões de dólares ao Banco Central do Bangladesh em 2016
- As ferramentas que este grupo utiliza mostram como atua nos seus ataques a instituições financeiras, casinos e programadores de software para empresas de investimento em todo o mundo
Mesmo tendo permanecido em silêncio depois do ataque no Bangladesh, o grupo Lazarus manteve-se ativo, preparando novas operações para roubar fundos a outros bancos. Conseguiram entrar numa instituição financeira do sudeste asiático, mas os produtos da Kaspersky Lab detetaram o ataque e detiveram-no, tendo o grupo ficado inativo nos meses seguintes. Depois disso, tomaram a decisão de se dirigir para a Europa, mas foram novamente neutralizados graças ao software de deteção da Kaspersky Lab, assim como pelo trabalho das equipas de resposta rápida, análise forense e reverse engineering das empresas que investigaram o caso.
Fórmula Lazarus
Tendo como base os resultados da análise forense destes ataques, os analistas da Kaspersky Lab foram capazes de reconstruir o modus operandi do grupo.
- Compromisso inicial: Um sistema simples do banco vê-se comprometido, seja remotamente através de um código de acesso vulnerável (por exemplo através de um webserver), ou mediante um ataque wateringhole que se aproveitou de um exploit instalado. Quando se visita esse site, o computador da vítima (o empregado do banco) fica com um malware, que agrega componentes adicionais.
- Posição estabelecida: Nesta fase o grupo move-se para outros hosts do banco e implementa backdoors persistentes, sendo que o malware permite que estes entrem e saiam conforme queiram.
- Reconhecimento interno: O grupo dedica-se durante dias e semanas a conhecer a rede e a identificar os recursos de valor. Um desse recursos pode ser um servidor de backup, onde se armazena informação de autenticação, um servidor de email o os registos de processos de transações financeiras.
- Entregar e roubar: Por último, o grupo implementa um malware especial capaz de evitar as medidas de segurança do software financeiro, procedendo à emissão de transações não autorizadas no nome do banco.
“Estamos confiantes de que vamos vê-los de volta ao ativo em breve. Ataques como aqueles realizados pelo grupo Lazarus mostram-nos como pequenos problemas de configuração podem acabar em falhas de segurança significativas, com impacto de centenas de milhões de dólares para as empresas. Confiamos que os responsáveis de bancos, casinos e empresas de investimento em todo o mundo sejam conscientes do perigo deste grupo”, afirma Vitaly Kamluk, líder da equipa de análise e investigação global da Kaspersky Lab na APAC.