skip to Main Content

Kaspersky sfida gli hacker di Lazarus e svela i loro metodi d’attacco

Kaspersky Sfida Gli Hacker Di Lazarus E Svela I Loro Metodi D’attacco

Lazarus è responsabile del furto di 81 milioni alla Central Bank of Bangladesh nel 2016

Lazarus è uno dei più noti gruppi di hacker attivi nel panorama del cybercrime. Come opera? Lo ha scoperto Kaspersky dopo aver indagato per più di un anno sulla formazione. Questa, tra le altre cose, è responsabile di aver rubato anche 81 milioni di dollari dalla Central Bank of Bangladesh nel 2016. Le indagini sono partite dalle tracce lasciate dopo i cyber attacks. Grazie a esse e ad altre analisi gli specialisti sono riusciti a capire che tipo di tool malevolo sia usato dal gruppo e il modus operandi in occasione delle aggressioni informatiche. Peraltro, quanto scoperto ha permesso ai ricercatori di bloccare almeno due operazioni di Lazarus, tese a rubare grandi quantità di denaro da alcune istituzioni finanziarie.

Lazarus fermato mentre cercava di colpire banche nel Sud Est Asiatico e in Europa

A febbraio del 2016 un gruppo di hacker (allora ignoto) cercò di rubare 851 milioni di dollari dalla Bank of Bangladesh, ma vi riuscì solo in parte. Furono sottratti 81 milioni, grazie un singolo errore nella compilazione delle stringhe di comando. Dopo alcune indagini, Kaspersky scoprì che i responsabili erano i cyber criminali di Lazarus, allora noti per aver condotto attacchi informatici contro 18 paesi in tutto il mondo dal 2009. Dopo il furto la formazione sparì nell’ombra per alcuni mesi. Stavano preparando una nuova operazione contro una banca nel Sud Est Asiatico. Kaspersky, però, è riuscita a bloccarli in tempo. A quel punto gli hacker hanno deciso di cambiare area geografica, puntando sull’Europa. Ma anche qui sono stati fermati prima che potessero creare danni.

Gli hacker attaccano in 4 passaggi: si comincia con la compromissione iniziale e la creazione di un punto d’appoggio

Dalle indagini, Kaspersky è riuscita a comprendere il modus operandi che contraddistingue Lazarus da altri gruppi del cybercrime. Questo è basato su 4 processi: Il primo è la compromissione iniziale. Un singolo sistema di una banca viene bucato con un codice che sfrutta vulnerabilità da remoto o attraverso un “watering hole attack”. È caratterizzato dal fatto che gli hacker identifichino i siti più usati dalle vittime e li infettino, affinché i “bersagli” istallino un malware voluto. Il secondo passaggio è creare un punto d’appoggio. Lazarus migra su altri host della banca e apre backdoors persistenti, grazie al trojan precedentemente installato.

Successivamente, si passa alla ricognizione interna e infine al furto di denaro

Successivamente, si passa alla ricognizione interna. Lazarus spende giorni e settimane per imparare come funziona il network e per identificare le risorse preziose. Come i backup server, in cui sono immagazzinate le informazioni di autentificazione, o il domain controller. Questo ha le chiavi di ogni “porta “ del bersaglio. Infine, c’è l’ultima fase: la “Deliver and steal”. Gli hacker installano un malware speciale, in grado di bypassare le misure di sicurezza interna dei software finanziari ed effettuano transazioni non autorizzate da parte della banca. I cyber attacchi veri e propri solitamente durano settimane, mentre il lavoro preparatorio per condurli anche mesi.

L’articolo integrale di Kaspersky Lab sulla sfida a Lazarus

Back To Top