F-Secure повідомляє: північнокорейські хакери запускають глобальну атаку на індустрію криптовалют. Незважаючи на те, що професійні зловмисники замітали сліди, F-Secure вдалося реконструювати глобальну атаку так званої групи Lazarus.
Фахівці з кібербезпеки F-Secure опублікували звіт, в якому пов’язують деталі цілеспрямованої атаки на компанію індустрії криптовалюти з Lazarus Group. Хакерська група, яка, як вважають, має тісні зв'язки з Корейською Народно-Демократичною Республікою (КНДР), відома своїм високопрофесійним підходом, який переслідує суто фінансові інтереси. У звіті F-Secure, пов’язуючи підказки та шаблони, отримані під час атаки, з наявними дослідженнями, робить висновок, що перевірений інцидент є частиною глобальної кампанії групи Lazarus. Це спрямовано на компанії з індустрії криптовалют із США, Великобританії, Нідерландів, Німеччини, Сінгапуру, Японії та інших країн.
Доповідь розкриває групу Lazarus
У звіті аналізуються журнали, журнали та інші технічні артефакти, виявлені F-Secure під час судового розслідування атаки на криптоорганізацію. Експерти з безпеки F-Secure виявили, що методи атаки майже ідентичні методам, які раніше використовували Lazarus Group, також відомі як APT38.
Крім того, звіт містить детальну інформацію про тактику, прийоми та процедури (TTP), які використовувалися під час атаки. Наприклад, зловмисники змогли використовувати «підводний фішинг» для використання довірених зовнішніх служб. У цьому конкретному випадку через платформу LinkedIn було надіслано фальшиву пропозицію про роботу, спеціально адаптовану до профілю одержувача.
Подібні атаки щонайменше в 14 країнах
На основі артефактів фішингу, виявлених після атаки Lazarus Group, дослідники F-Secure змогли пов’язати цей інцидент із великою кампанією, яка триває з січня 2018 року. Згідно зі звітом, подібні артефакти були виявлені під час атак щонайменше в 14 країнах: США, Китаї, Великобританії, Канаді, Німеччині, Росії, Південній Кореї, Аргентині, Сінгапурі, Гонконгу, Нідерландах, Естонії, Японії та Філіппіни.
Група Lazarus доклала чимало зусиль, щоб обійти захист постраждалої компанії під час атаки. Наприклад, він зміг вимкнути антивірусне програмне забезпечення на скомпрометованих хостах і видалити будь-які докази його діяльності, що залишилися. І хоча звіт характеризує атаку як високопрофесійну, це вказує на те, що зусилля Lazarus Group згодом замести сліди були недостатніми. Численні приховані та нерозгадані підказки нарешті дали F-Secure чіткі докази діяльності зловмисників.
Реагування на інциденти, кероване виявлення та реагування та група тактичної оборони
«Атаку розслідували досвідчені фахівці з наших команд реагування на інциденти, керованого виявлення та реагування та тактичної оборони. Виявилося, що цей напад мав ряд подібностей з відомою діяльністю угруповання Lazarus. Ми вважаємо, що вони також відповідальні за цю атаку», — сказав Метт Лоуренс, директор із виявлення та реагування F-Secure. Організації тепер можуть переглянути звіт, щоб ознайомитися з конкретною кібератакою, TTP та Lazarus Group загалом. Крім того, надаються прямі рекомендації безпеки для захисту від атак хакерської групи.
Дізнайтеся більше на F-Secure.com
Про F-Secure Ніхто не має кращого уявлення про справжні кібератаки, ніж F-Secure. Ми долаємо розрив між виявленням і відповіддю. Для цього ми використовуємо неперевершений досвід сотень найкращих технічних консультантів нашої галузі щодо загроз, дані з мільйонів пристроїв, на яких працює наше відзначене нагородами програмне забезпечення, а також постійні інновації у сфері штучного інтелекту. Провідні банки, авіакомпанії та корпорації довіряють нашій відданості боротьбі з найнебезпечнішими кіберзагрозами світу. Разом із нашою мережею провідних партнерів і понад 200 постачальниками послуг, наша місія полягає в тому, щоб надати всім нашим клієнтам кібербезпеку корпоративного рівня, адаптовану до їхніх потреб. Компанія F-Secure, заснована в 1988 році, зареєстрована на NASDAQ OMX Helsinki Ltd.