首页 » 漏洞 » APT档案:Lazarus黑客组织攻击金融行业的发展脉络

APT档案:Lazarus黑客组织攻击金融行业的发展脉络

 
文章目录

APT档案:Lazarus黑客组织攻击金融行业的发展脉络

前情提要

上周四,韩国一家受政府支持的金融研究机构发表了一篇报告,称朝鲜的网络空间部队已经细分为多个组织,相互协作发动网络攻击,且越来越多的攻击趋向于获取经济利益。

分析人员称,由于美国经济制裁的压力,且朝鲜国内军事投入成本需求不断增加,故而,原先以获取政府、军事信息、破坏网络正常运行的大规模的朝鲜黑客组织,如Lazarus等,近来已经将视线转向金融机构、赌场、参与金融贸易软件开发的公司、虚拟货币等更为经济型的目标,将窃取到资金转移到朝鲜国内。

其实,早在2015年,卡巴斯基、赛门铁克、FireEye等安全公司就有分析报告指出Lazarus将目标投向了全球范围内的金融行业。

Lazarus 组织与金融机构

  • 2014年,索尼影视娱乐公司遭到黑客袭击,美国政府出面谴责Lazarus的行为;
  • 2016年2月,一个未知的攻击者试图从孟加拉国中央银行窃取8100万美金,事后多篇分析报道称该事件与Lazarus组织有关;
  • 2016年5月,BAE公司遭到袭击,公布了一份有关攻击者使用的擦除程序的代码分析,事后Anomali实验室确认这一工具与Lazarus组织的擦除工具代码极为相似;
  • 2017年2月份,波兰媒体的一篇报道打破了关于一次银行攻击事件的平静,赛门铁克从波兰受攻击的金融部门提取到Lazarus组织惯用的擦除工具(根据字符串重用的线索)。
  • 2017年4月份,卡巴斯基发布一份研究报告,称Lazarus可能就是攻击波兰银行的幕后黑手,Lazarus的一个分支Bluenoroff组织专门从事金融相关的网络攻击,并负责处理资金转移事项。

更多证据

接下来,将重点引述卡巴斯基安全实验室关于 Lazarus及其相关联的组织的分析报告。

尽管几起针对银行系统的攻击事件都被指向了Lazarus组织,但是Lazarus对银行的攻击活动以及他们在这些攻击活动中的作用之间的联系依然缺乏实质性的征募。唯一的一条明确的线索是在针对孟加拉国中央银行的攻击活动中,一个用于联系SWIFT消息服务器的特定的恶意软件被发现了。尽管几乎安全行业所有的人都听说过了这次袭击事件,但关于该事件调查的具体技术细节却几乎没有对外披露过。媒体曾经提到过,调查发现有三波不同的攻击者,但这并不能证明Lazarus就是这起欺诈性的SWIFT交易的攻击者之一,也不能证明Lazarus已经开发出了专门针对银行系统的恶意软件。

卡巴斯基的安全研究人员发现了更多证据,这些证据在此之前从未对外界公开过,其中还包括2017年发生在欧洲、东南亚地区的一些金融机构的攻击活动。经过努力,设法解开了关于Lazarus组织的很多未解之谜,比如他们的渗透方法、与针对SWIFT系统攻击的恶意软件的关系,最重要的是,揭示了它们之间的因果关系。

APT档案:Lazarus黑客组织攻击金融行业的发展脉络

Lazarus组织攻击活动的范围不是局部地区,而是遍及全球。在过去的一年里,卡巴斯基实验室的人员在多个国家发现了它们的渗透工具,以网络间谍行为和进行网络间谍活动而闻名。与这个组织的悠久历史相比,对经济利益显示出兴趣的行为趋向则相对较新。在其内部,似乎有一组不同的人专门处理盗窃来的金钱或非法获得的利润,我们相信Lazarus组织非常庞大,仍然以渗透和间谍活动为主,而这个专门负责金融利益的黑客组织分支,我们将其称之为Bluenoroff

媒体报道对波兰银行的水坑攻击非常隐蔽,然而,很少有人知道这次行动只是众多攻击中的一个。Lazarus在全球很多地区都尝试注入恶意代码,根据检测,2016年年底他们在东南亚地区的活动被阻断后,Lazarus/Bluenoroff重整旗鼓,向新的国家和地区,目标主要是贫穷的或欠发达地区的小规模银行,到目标未知,Bluenoroff被发现的攻击目标包括四种类型:

  • 金融机构;
  • 赌场
  • 参与金融贸易软件开发的公司
  • 虚拟/加密货币的业务

Bluenoroff大范围的水坑攻击活动中,被检测到的受影响国家的完整名单如下:

  • 墨西哥
  • 澳大利亚
  • 乌拉圭
  • 俄罗斯联邦
  • 挪威
  • 印度
  • 尼日利亚
  • 秘鲁
  • 波兰

当然,并不是所有的攻击都像波兰袭击案那样成功,在波兰攻击者成功地入侵了一个政府网站,许多金融机构经常访问这个网站,这使它成为一个非常强大的攻击向量。然而,这一波的袭击导致了世界各地的多发性感染,给正在绘制中的Lazarus景观图增加了新的内容。

APT档案:Lazarus黑客组织攻击金融行业的发展脉络

一个关于Lazarus/Bluenoroff的最有趣的分析来源于对该小组使用的欧洲地区的C&C服务器的调查取证。依据取证分析报告,我们看到攻击者通过终端服务与C&C服务器进行通信,使用本地浏览器手动安装Apache Tomcat服务器,并配置了java服务器页面,向C&C上传 JSP脚本。一旦服务器准备好了,攻击者就开始测试它。首先使用浏览器,然后通过运行后门程序的测试实例。操作员使用多个IP地址:从法国到韩国,通过代理和VPN服务器进行连接。然而,取证人员发现了一个很短的连接,其IP范围非比寻常,起源于朝鲜。

APT档案:Lazarus黑客组织攻击金融行业的发展脉络

此外,操作人员安装了一个定制的挖掘Monero虚拟币的软件,这个软件极大的消耗了系统的资源,致使系统变得毫无反应,几乎处于冻结状态,这也是为什么服务器的日志信息未被清理、得以保存下来的原因。

这是我们第一次看到Bluenoroff和朝鲜之间存在有直接联系的证据。他们的活动范围是从后门程序到水坑攻击,并在东南亚和孟加拉国中央银行发起针对SWIFT服务器的攻击。现在,问题来了,能将所有这些Bluenoroff攻击都归责于朝鲜吗?作为研究人员,我们倾向于提供事实而不是推测。不过,看到C&C服务器日志的这个可疑IP段,使得朝鲜成为Lazarus /Bluenoroff威胁景观图的一个关键部分。

结论

Lazarus发起的APT 活动的规模令人震惊。自2011以来,活动越来越频繁,即使被公布了大量的分析报告,并引发轩然大波,Lazarus的活动也没来没有停止过。收集到的Lazarus相关的数百个样本显示了Lazarus正在操作一个恶意软件工厂,它通过多个独立的传送器产生新的样本。

各类分析报告中可以看到,Lazarus使用各种代码混淆技术,重写自己的算法、使用商业软件保护器、使用他们自己开发的和地下的加壳工具。Lazarus非常清楚如何发挥高质量代码的价值,分析人员通常会在被感染的第一阶段看到简陋的后门程序,然而,如果第一阶段后门程序报告了一个有趣的、成功的感染,攻击者就开始精心部署更高级的代码,小心地保护它们免受磁盘上的意外检测。代码要么被封装到DLL加载器中、要么存储在加密容器中、也可能隐藏在二进制的加密的注册表项中。它通常附带一个只有攻击者才能使用的安装程序(使用了密码进行保护),这样做是为了保证自动化的系统(无论是公共沙箱还是研究人员的的测试环境)不能看到真正的有效负载。

大多数工具都具有一次性使用的特征,一旦出现新的版本,老的版本就会被替换。然后不断的有更新的、更新的、更新的版本。Lazarus避免重用相同的工具、相同的代码和相同的算法。“保持变形!”这似乎是他们内在的座右铭。由于操作失误导致被捕获到使用了相同的工具,这种情况是非常罕见的,不过由于因为Lazarus的规模如此庞大,组织内部一部分并不总是知道其他人正在做什么,所以偶尔出错的情况也是在所难免的。

Lazarus这个水平的黑客组织在网络犯罪世界是非同寻常的,需要严格的组织并控制所有操作阶段的一切事务,所以说Lazarus可不是一个APT组织那么简单。

当然,所有这些操作都需要大量的资金来保持组织的运行,因此Lazarus组织内出现Bluenoroff子集是合乎逻辑的。

Bluenoroff专注于金融攻击。这个小组在逆向工程方面表现出了优异的技能,因为他们想要找到窃取大笔资金的方法,需要花时间破坏合法软件,并为SWIFT联盟软件打补丁。他们使用不同的恶意软件工具,主要作用并非入侵,相反地,他们更喜欢执行跟踪来重建和快速调试问题。在其他人员已经征服了新大陆、地面障碍已经被清除后,他们是活动的现场工程师。

Bluenoroff很喜欢的一个策略是默默地融入到正在运行的进程而不破坏它们。从样本的代码分析来看,当它们涉及到金钱盗窃时,他们并不是在寻找合适的入侵或破坏的解决方案。而是瞄准无形的盗窃、不留下痕迹。当然,试图转移数百万美元几乎不可能被忽视,但我们相信他们的恶意软件可能会秘密地部署在许多其他地方,确保行动不会触发任何严重的警报。

需要指出的是,在我们所分析的所有针对银行的攻击中,运行在银行服务器上的SWIFT软件解决方案没有显示或暴露出任何特定的漏洞。攻击主要集中在银行业的基础设施和员工,利用他们常用软件或网站的漏洞、暴力破解账号密码、使用键盘记录程序和提升特权。然而,银行一般都有专人负责使用安装了SWIFT软件的服务器,可能是管理员或操作员,攻击者迟早会找到这些人,获得必要的特权,并获得连接到SWIFT消息传递平台的服务器的访问权限。以管理员的权限访问这个平台,允许攻击者按照自己的意愿操作系统上运行的软件。没有什么可以阻止他们,因为从技术的角度来看,他们的活动可能与一个获得授权的、合格的工程师所做的行为相同:启动和停止服务、修补软件、修改数据库。因此,在我们分析过的所有入侵事件中,SWIFT是一个没有直接过错的组织。不仅如此,SWIFT还会通过检测数据库和软件完整性问题以保护其客户。这样做无疑是合适的,应该全力支持这些活动。复杂的完整性检查,可能会对Lazarus/Bluenoroff针对全球银行的攻击活动设置一定的障碍。

到目前为止,Lazarus/Bluenoroff是所有针对金融业开展大规模的网络攻击组织中最成功的组织之一。从行为动机来看,它们仍然是未来几年银行业、金融和相关贸易公司以及赌场的最大威胁之一。

参考资料

https://kas.pr/ix6C

https://www.symantec.com/connect/blogs/attackers-target-dozens-global-banks-new-malware-0

原文链接:APT档案:Lazarus黑客组织攻击金融行业的发展脉络,转载请注明来源!

0