(Ciro Metaggiata) Способность правильно ориентироваться в той огромной «серой зоне», которая становится киберпространством, является очень сложным делом. Возможность установить, кто на самом деле является исполнителем и кто зачинатель кибер-атаки, особенно в контексте судебных расследований, тем более. Однако в контексте все более обширного и разнообразного мира хакеров можно выделить некоторые преступные группы, способные проводить кибер-кампании, имеющие глобальный резонанс.
Поэтому мы посвящаем ряд статей группам киберпреступников, которые считаются наиболее актуальными на планетарном уровне, кратко пересматривая их дела. Однако перед началом работы необходимо сделать некоторые предварительные условия.
Во-первых: как упоминалось выше, это преступные хакеры, сильно отличающиеся от так называемых «этических» хакеров, которые во многих случаях представляют собой ценный ресурс, но слишком часто недостаточно ценятся. Этические хакеры, по сути, не получают никакой прибыли от своих действий (кроме личного удовлетворения), а, наоборот, помогают объектам воздерживаться от их внимания для повышения безопасности используемых ИТ-систем, обнаружения и сигнализации любых уязвимостей перед реальным злонамеренный.
Во-вторых: имена, приписываемые преступным группам, обычно не являются реальными, но назначаются исследователями или исследователями, которые могут их идентифицировать. Поэтому, учитывая, что часто бывает, что группе присваивается более одного имени, что приводит к созданию путаницы, статьи будут использовать псевдонимы, на которых большая часть проведенных на них исследований сходится.
В-третьих: как географическое происхождение этих групп, так и их состав (преступники, разведчики, военные, политические активисты и т. Д.), Как правило, устанавливаются на основе комплексных исследований, которые не могут полностью устранить неопределенности. В частности, исследователи анализируют и сопоставляют следы, оставленные хакерами во время и после атак, такие как, например, используемые пароли, фрагменты кода, с помощью которых было написано вредоносное ПО, ключи шифрования и используемые методы маскировки. Чтобы ввести следователей в заблуждение, используются структуры командования и контроля и другие особые элементы, которые можно распознать в тактике и методах, используемых каждой отдельной группой.
Таким образом, на основании этих свидетельств компании, занимающиеся кибербезопасностью, исследовательские центры и даже разведка, выявляют группы хакеров и присваивают им соответствующие имена, которые, как уже упоминалось, не всегда являются общими. В конечном счете, о таких группах еще мало что известно, и непроницаемая аура секретности, которая их окружает, позволяет им на данный момент безнаказанно совершать свои преступные действия.
Без этих предпосылок мы переходим к группе, недавно занятой танцами, не кто иной, как Белый дом: The Lazarus Group.
В частности, в последние недели правительство США указало на Северную Корею как на инициатора разрушительной кибератаки глобального масштаба, известной как WannaCryptor (см. Статью). Кроме того, по мнению американских следователей, материальным преступником была группа хакеров, которая в прошлом уже отличилась в других кибероперациях, связанных с северокорейским режимом: фактически, Lazarus Group. Однако, помимо предполагаемой национальности, о происхождении и составе группы известно немного, так что неясно, являются ли они киберпреступниками, нанятыми северокорейским режимом, или, скорее, это оперативная ячейка фантомного "подразделения". 180 »Главного разведывательного управления. В любом случае, у Lazarus есть особенность: у него есть наступательные навыки в экспоненциальном росте и очень разнообразные цели по всему миру. В частности, исследователи отметили, что, хотя Lazarus до сих пор никогда не разрабатывал особо сложных вредоносных программ, с другой стороны, он обладает сильной способностью создавать новые с очевидной легкостью. По сути, группа может изучать или разрабатывать методы атаки со скоростью, которую трудно найти в других киберпреступных ячейках. Кроме того, известно, что Lazarus работает по всему миру и может проводить кампании, которые преследуют самые разные цели: вооруженные силы, финансовые учреждения (даже те, которые имеют дело с криптовалютами), компании в энергетическом секторе и другие типы частных компаний, такие как Sony, которая, как мы увидим позже, была вовлечена в спор между США и Северной Кореей вопреки себе.
Таким образом, учебная программа Лазаря особенно насыщена, отражая ее динамизм и беспощадность. В частности, уже начиная с 2007, группа была бы признана за проведение некоторых шпионских кампаний и саботажа, направленных на достижение нескольких целей.
Впоследствии в 2013 он был бы отличен за то, что совершил кибератаки против некоторых банков и компаний связи, расположенных в Южной Корее.
Тем не менее, это 2014 год, когда Лазарус попал в заголовки газет, когда Федеральное бюро расследований приписало ему сенсационную атаку на серверы компании Sony Picture Entertainment. Точнее, 24 ноября сеть этой компании была поставлена на колени в результате кибератаки, и огромное количество личных данных сотрудников было вывезено в неизвестном направлении. Все это произошло по случаю выхода американского сатирического фильма «Интервью», распространявшегося Sony и признанного настоящим возмущением северокорейского режима. Позже, несмотря на то, что ответные меры США не заставили себя долго ждать как в виде экономических санкций, так и в отношении кибер-возмездия (с неопределенными результатами), Lazarus быстро возобновил свои кибероперации.
На следующий год, по сути, было характерно несколько кибер-кампаний, которые были отнесены к рассматриваемой группе, ориентированные на южнокорейские, американские и, более ограниченные, находящиеся в других странах, проводимые с помощью многочисленных вредоносных программ с различными характеристиками и целями. («Разрушение» данных, а не шпионаж), таких как Hangman, Destrover, DeltaCharlie или WildPositron, чтобы назвать несколько.
В феврале 2016, с другой стороны, был приписан Lazarus частично успешной попытке кибер-грабежа с самой большой добычей, когда-либо записанной в истории: кибер-атакой на Центральный банк Бангладеш. Точнее, в течение двух дней закрытия Центрального банка группа управляла в обход своих систем безопасности, чтобы заказать перевод почти 1 миллиардов долларов США в Федеральную резервную систему США, а оттуда - на некоторые текущие счета в Шри-Ланке и на Филиппинах. , К счастью, институт США заблокировал крупнейший транш передачи, и определенная сумма была восстановлена в последующие месяцы. Однако больше, чем 60 миллионов долларов, потеряло бы счет благодаря многочисленным шагам по текущим счетам, распространенным в Юго-Восточной Азии. Эта история подняла много вопросов о реальном характере и целях Лазаря, все еще не решена. Было ли это попыткой поставить экономику Бангладеш на колени (само по себе далеко от расцвета) и дестабилизировать эту страну или, скорее, «вульгарное» ограбление?
Дело в том, что позже, в период с 2016 по 2017 год, в рамках кибер-кампании, основанной на вредоносном ПО, получившем название Ratankba, группа снова сосредоточится на финансовых учреждениях, на этот раз принадлежащих половине мира.
Наконец, после глобальной атаки с WannaCryptor, о которой она уже была написана, в конце прошлого года Lazarus заинтересовался растущим бизнесом валютных крипт и, в частности, лондонским банком, чьи сотрудники были " целенаправленно "по электронной почте, содержащей вложения или ссылки на веб-сайты, скомпрометированные специально« упакованными »вредоносными программами.
В заключение, будь то северокорейская разведывательная группа или киберпреступность, которые иногда нанимаются режимом, Группа Лазарус все еще может считаться респектабельным элитарным подразделением. Его способность запускать и проводить кампании глобального охвата и «менять кожу» постоянно делает ее, по сути, особенно эффективной и чрезвычайно опасной.
Являетесь ли они наследниками древних, страшных воинов-хаваров (молодых людей, принадлежащих к благородным семьям, которые воспитывались и обучались для формирования военного руководства) или киберпреступников, которые установили выгодное партнерство с режимом, The Lazarus Group является одним из лучших и неприступные «армии» киберпространства.
Источник: DIFESAONLINE