Хакер - Взлом по-северокорейски. Как группировка APT38 уводит из банков сотни миллионов долларов

Содержание статьи

• Мотивы и инструменты
• 2014 год — группа намечает цели будущих атак
• Что такое APT
• Декабрь 2015 года — попытка взлома ханойского банка Tien Phong Bank
• SWIFT
• Февраль 2016 года — атака на Центральный банк Бангладеш
• Отравленный водопой
• Пара слов о санкциях
• Октябрь 2017 года — атака на Дальневосточный международный банк (FEIB) на Тайване
• Январь 2018 года — попытка ограбления Bancomext в Мексике
• Май 2018 года — попытка ограбления Banco De Chile
• Август 2018 года — взлом индийского Cosmos bank
• Холодная война

Если ты воображаешь, что в Северной Корее примерно три компьютера, на одном из которых Ким Чен Ын играет в League of Legends, а на другой кладет ноги, то ты ошибаешься. Северокорейские хакеры теперь фигурируют в новостях о крупных взломах наравне с русскими и китайскими, и их успехи впечатляют. Группа APT38 за четыре года похитила для своей страны сотни миллионов долларов прямо из банков. Вот как это происходит.

Недавно на сайте компании FireEye был опубликован доклад Un-usual Suspects («Необычные подозреваемые»), для подготовки которого исследователи скрупулезно изучили всю доступную информацию о северокорейских хакерах, проанализировали их методы и инструменты, а главное, мотивы атак. Именно на основании мотивов им удалось более четко выделить отдельные группировки, которые раньше СМИ валили в одну кучу под общим названием Lazarus Group.

INFO

FireEye базируется в Кремниевой долине и занимается кибербезопасностью. Компания помогает бороться с угрозами многим гигантам из списка Fortune 500: среди ее клиентов Yahoo, Microsoft, Pfizer, eBay, Adobe и даже американская разведка.

Мотивы и инструменты

Главный герой доклада — группа АРТ38, нацеленная прежде всего на финансовые преступления, в частности взлом банковских систем и кражу огромных сумм, в том числе из банкоматов. Специалисты предполагают, что с 2014 года хакеры из АРТ38 украли около 1,1 миллиарда долларов! Также эксперты FireEye выделили группу Lazarus, которая призвана сеять хаос и дестабилизировать работу крупных организаций, например с помощью WannaCry. Также «Лазарю» приписывают атаку на Sony Pictures в 2014 году. Третья группировка TEMP.Hermit специализируется на кибершпионаже и атаках на оборонные и государственные объекты.

Тем не менее эти три группировки, безусловно, связаны. В частности, совпадает 260 байт в рансомвари WannaCry, которой пользуется Lazarus, и бэкдоре Whiteout, которым пользуется АРТ38. Помимо этого, эксперты нашли общий захардкоженный массив данных у бэкдоров Macktruck и NestEgg, принадлежащих группировкам TEMP.Hermit и АРТ38 соответственно.

Специалисты FireEye на данный момент определили 26 уникальных семейств малвари, которые принадлежат перу АРТ38. Также группа использует два публично доступных семейства. Этот арсенал включает бэкдоры, вайперы, туннелеры и дата-майнеры. Если хочешь знать все подробности об их арсенале, смотри последние разделы доклада.

По мнению экспертов FireEye, группировка APT38 сосредоточила фокус именно на финансовых преступлениях, потому что ее главная задача — добывать деньги на содержание своей страны. Новые и новые санкции со стороны ООН серьезно потрепали экономику КНДР, а режим и армия сами себя не прокормят. И чем суровее санкции, тем активнее становятся «заработки».

INFO

В 2013 году, после очередного испытания северокорейской ядерной бомбы, Совет Безопасности ООН ввел новые санкции против КНДР. Теперь они касались не только военных разработок, но и денежных переводов, поступающих в Северную Корею из международной финансовой системы.

По хронологии атак АРТ38, воссозданной экспертами, видно, что хакеры охотятся исключительно на банки. Раньше эти атаки приписывали группам TEMP.Hermit и Lazarus, но в ходе расследования стало ясно, что у КНДР есть специализированная группировка для кражи денег.

2014 год — группа намечает цели будущих атак

Именно тщательная подготовка отличает группировку АРТ38 от многих коллег, да и в целом характерна для АРТ как класса атак. По информации FireEye, иногда хакеры находились в скомпрометированной системе цели месяцы и годы, анализируя уязвимости. В одном из случаев члены АРТ38 изучали работу компании изнутри на протяжении 155 дней, прежде чем совершить атаку. А рекордный срок — почти два года, 678 дней.

Да и не каждый раз дело заканчивалось кражей денег, первое время хакеры просто изучали, как работают финансовые системы. Например, в начале 2014 года они внедрили бэкдор NESTEGG и кейлоггер KEYLIME в один из банков в Юго-Восточной Азии, но до атаки на SWIFT дело так и не дошло.

Группа начала с прощупывания целей по соседству. Скорее всего, в своем регионе у АРТ38 было больше возможностей для отмывания украденных денег. Не прошло и пары лет, как группа расширила свою активность до глобальных масштабов.

Оценивая все усилия АРТ38, долгие разведывательные операции, исследование работы систем и даже отдельных пользователей, а также сопровождение денег после кражи, специалисты FireEye делают выводы о большом количестве персонала и сложной структуре группировки по всему миру.

Что такое APT

APT (Advanced Persistent Threat — развитая устойчивая угроза) — это класс целенаправленных атак как противоположность массовым атакам. АРТ обычно заранее тщательно спланированы, многоэтапны и включают элементы первоначальной разведки.

Без сомнений, северокорейская группировка относится именно к этому типу, поэтому ее обозначили как АРТ38. Кстати, предположительно российскую группировку Fancy Bear называют также АРТ28, ты наверняка слышал про их детище NotPetya и атаки на украинские электростанции.

Подробнее об APT читай в нашей статье «WTF is APT? Продвинутые атаки, хитрости и методы защиты».

Декабрь 2015 года — попытка взлома ханойского банка Tien Phong Bank

Хакеры из APT38 попытались вывести более миллиона евро через систему SWIFT и передать их в один из банков Словении, но кража не состоялась. Сотрудники TPBank вовремя заметили подозрительные действия и остановили движение средств. Представители вьетнамского банка предполагают, что малварь работала у одного из их внешних подрядчиков, отношения с которым они немедленно разорвали.

Это был первый раз, когда хакеры использовали свою малварь (DYEPACK) для сокрытия следов. Этот инструмент позволяет менять локальные данные о совершенных в системе SWIFT транзакциях, чтобы мошенничество трудно было вовремя обнаружить.

SWIFT

SWIFT (Society for Worldwide Interbank Financial Telecommunication — Общество всемирных межбанковских финансовых каналов связи) — международная межбанковская система передачи информации и совершения платежей. Эта технология используется еще с 1970-х годов. Головной офис SWIFT находится в Брюсселе, а владеют этим кооперативным обществом более 9 тысяч банков по всему миру.

SWIFT — излюбленная цель хакеров из АРТ38 и основа банковской деятельности по всему миру. К этой системе подключены порядка 11 тысяч банков и финансовых организаций, у каждого из которых есть уникальный SWIFT-код. Система SWIFT, по сути, передает от банка к банку сообщения, платежные поручения, которые проверяются и обрабатываются, и каждой транзакции присваивается собственный номер.

Хакеры из APT38 создали малварь, которая позволяла не только выпускать неавторизованные сообщения, но и скрывать факт их отправки. Причем им удавалось не только стирать записи об отправке средств, но и блокировать сообщения, подтверждающие транзакцию. Беднягам пришлось проштудировать все мануалы по работе с системой SWIFT, чтобы создать малварь, бьющую точно в цель.

Февраль 2016 года — атака на Центральный банк Бангладеш

Хакеры пытались украсть из ЦБ Бангладеш около миллиарда долларов, находившихся в Федеральном резервном банке Нью-Йорка. Они отправили 35 запросов на перевод, но только пять из них были обработаны. В результате первых четырех транзакций 81 миллион долларов ушел в филиппинский банк на четыре частных счета, и большую часть этих денег злоумышленники сразу же перевели дальше.

По пятому запросу 20 миллионов долларов направлялись в шри-ланкийскую частную компанию Shalika Foundation. Но, испугавшись невиданной суммы, представители местного банка вернули транзакцию на проверку назад по пути роутинга. Проверяя платежное поручение, сотрудник немецкого Deutche Bank заметил, что хакеры опечатались, написав Fandation вместо Foundation, и заблокировал подозрительную транзакцию.

Мошеннические транзакции можно было заметить еще на стороне бангладешского банка, вот только АРТ38 позаботились об этом заранее. В этом банке все транзакции SWIFT проверялись по бумажным распечаткам в конце дня, и, чтобы скрыть следы, малварь вмешалась в работу принтера. Затем злоумышленникам помог выходной день — в Бангладеш это пятница, — и, вернувшись к работе, сотрудники банка обнаружили множество сообщений от ФРБ Нью-Йорка.

Американские клерки обратили внимание на подозрительные платежные поручения, но, не дождавшись ответа от ЦБ Бангладеш, ушли на выходные. Таким образом, у преступников было достаточно времени, чтобы запутать следы и вывести украденные деньги.

WWW

• Подробный разбор атаки на сайте SecurityLab

«Атакующие определенно обладали глубокими и детальными познаниями о специфике контроля над операциями в пострадавших банках. Эти сведения они могли получить как от инсайдера, так и в результате кибератаки, также возможно и сочетание обоих вариантов», — гласило официальное заявление SWIFT.

Кстати, глава банка подал в отставку после этого происшествия.

Почти сразу представители SWIFT сообщили о второй атаке — на неназванный коммерческий банк во Вьетнаме. Там повторилась похожая схема, только вместо распечаток для проверки проведенных транзакций использовались отчеты в формате PDF. В этом случае хакеры из АРТ38 изменили программу — просмотрщик PDF так, чтобы мошеннические переводы не отразились в списке. Эти факты еще раз демонстрируют, как детально хакеры были знакомы с процедурами и внутренней кухней каждого банка.

INFO

Очередные санкции ООН в ответ на ядерные испытания в 2016 году еще больше ограничивают экономические возможности КНДР. В основном это жесточайшие ограничения экспорта из Северной Кореи по всем крупнейшим статьям.

Отравленный водопой

Похоже, с каждым новым витком санкций экономическое давление вынуждает хакеров действовать все более спешно. В октябре 2016 года АРТ38 начинает использовать новый инструмент — атаки типа watering hole (водопой). Такие атаки названы по аналогии с тактикой хищников, которые охотятся у водопоя, поджидая добычу — животных, пришедших напиться.

Хакеры же внедряют вредоносное ПО на сайты, чаще всего нишевые, которыми постоянно пользуются намеченные жертвы. АРТ38 использовали в качестве «водопоев» медиапорталы, специализирующиеся на криптовалютах, — это как раз было на пике криптовалютного хайпа в 2016 году. Эти сайты действительно много посещали представители финансовых компаний и банков, искавшие информацию о разных койнах и ICO. Еще ловушки расставляли на новостных сайтах по теме бизнеса и финансов, а также на биржах.

Пара слов о санкциях

В 2017 году ООН ограничивает экспорт основных товаров из КНДР еще сильнее, а также запрещает создание совместных предприятий с участием северокорейского капитала. Между тем система SWIFT полностью блокирует доступ к системе всем северокорейским банкам. Китайские корпорации перестают импортировать в КНДР нефтепродукты, а китайские банки приостанавливают работу с северокорейскими гражданами и фирмами. КНДР продолжает испытания оружия.

Октябрь 2017 года — атака на Дальневосточный международный банк (FEIB) на Тайване

Для изначального проникновения хакеры использовали таргетированный фишинг, рассылая письма со ссылками на скачивание якобы документов Office и PDF. На самом деле ссылки вели на бэкдоры. Проникнув в сеть банка через SMB, они внедрили свою кастомную малварь и уже через пару дней получили учетные данные от двух аккаунтов SWIFT.

Через систему SWIFT хакеры отправили несколько платежных поручений на общую сумму 60 миллионов долларов в банки США, Камбоджи и Шри-Ланки. Большая часть транзакций не прошла из-за неточности в заполнении поручения на обеспечение платежей, так что тайваньский банк понес лишь незначительные убытки.

Шриланкийским подельникам удалось снять часть денег, переведенных из FEIB, — 195 тысяч долларов, но, когда они вернулись в Bank of Ceylon за остальными деньгами, их уже ждали с наручниками. Для небольшого государства перевод в 1,2 миллиона выглядел слишком подозрительно.

Как только атака была обнаружена, хакеры запустили во внутреннюю сеть банка модифицированную версию шифровальщика Hermes, которая не требовала выкуп, а отображала сообщение «Finish work» и оставляла во всех директориях файл с именем UNIQUE_ID_DO_NOT_REMOVE. Таким образом они зашифровали возможные улики и затруднили расследование.

WWW

• Отчет McAffee об этой атаке
• Подробный отчет компании BAE

Январь 2018 года — попытка ограбления Bancomext в Мексике

Однажды утром работа банка Bancomext пошла как-то не так: некоторые сотрудники не смогли включить свои компьютеры, интернет работал медленнее обычного, машины тормозили — а еще в этот день объем транзакций был в пару раз больше обычного. Просто хакеры из АРТ38 пытались украсть у Bancomext более 110 миллионов долларов.

Забавно, что перевод они оформили в виде пожертвования от мексиканского банка в пользу корейской церкви. Сотрудники банка вовремя заметили подозрительные транзакции и заблокировали платеж. Им повезло, что в Корее было три часа ночи и тамошний банк не мог обработать входящий перевод, так что деньги не успели утечь дальше.

Все же Bancomext пришлось временно приостановить работу до выяснения обстоятельств: операции были заморожены, работники разошлись по домам, были выключены телефон и почтовый сервер, так что без потерь не обошлось. Но убытки от простоя не идут в сравнение с несостоявшейся кражей.

Как потом выяснилось, система банка была скомпрометирована за много месяцев до попытки перевода денег — хакеры из АРТ38, как обычно, собирали информацию о работе банка, чтобы получше скрыть готовящееся преступление.

Май 2018 года — попытка ограбления Banco De Chile

Пресс-служба банка сначала отрицала кибератаку, но затем признала, что банк атакован неким «вирусом». Тем временем сотрудники банка публиковали в соцсетях фотографии своих компьютеров, по которым понятно, что малварь стерла master boot record и система перестала загружаться.

Кроме того, на одном чилийском форуме опубликовали скриншот частной переписки с сотрудником банка. Из переписки было понятно, что атака вывела из строя более 9 тысяч компьютеров и 500 серверов. Хакеры использовали вайпер, известный как KillMBR или KillDisk, чтобы не оставить никаких улик киберкриминалистам.

Служба безопасности банка попалась на отвлекающий маневр и пыталась восстановить работоспособность компьютеров, а хакеры занялись кражей денег через систему SWIFT. По словам генерального директора, в результате мошеннических транзакций банк потерял 10 миллионов долларов — деньги были отправлены в один из банков Гонконга.

Август 2018 года — взлом индийского Cosmos bank

Недавняя атака проводилась в два этапа. 11 августа с 15:00 до 22:00 подставные «мулы» в 28 странах мира массово выгружали деньги из банкоматов — за эти семь часов было выполнено более 15 тысяч транзакций. Мошенники использовали клонированные карты.

Все внимание отдела безопасности банка было направлено на банкоматы, но через день, в понедельник, 13 августа, группа АРТ38 вступила в игру со своей обычной схемой переводов через SWIFT. Преступники перевели почти 2 миллиона долларов на счет в одном из гонконгских банков. Расследование все еще идет, так что информация об атаке засекречена. Руководство индийского банка надеется отследить и вернуть хотя бы часть украденных денег.

Холодная война

Многочисленные атаки АРТ38 на SWIFT, конечно, повлекли за собой усиление безопасности системы переводов. В частности, в 2016 году представители SWIFT объявили о запуске новой программы безопасности клиентов. Но и северокорейские хакеры непрерывно совершенствуют свои инструменты. Вряд ли эта гонка вооружений остановится в ближайшее время, особенно если учесть, что ООН все туже закручивает гайки для КНДР.

В сентябре Министерство юстиции США предъявило обвинения гражданину Северной Кореи по имени Пак Чин Хёк. Обвиняют его в участии во всех атаках, которые приписывают северокорейским группировкам, включая взлом Sony Pictures в 2014 году, кражу из Центробанка Бангладеш и распространение шифровальщика WannaCry.

Свои заявления представители Минюста подкрепили детальным отчетом на 179 страницах. В докладе приводится множество доказательств: email, IP-адреса, а также повторно используемые отрывки кода и схемы шифрования. Подозреваемому грозит около 25 лет тюрьмы, если тот когда-нибудь окажется в руках американской системы правосудия.