Обнаружены доказательства причастности к атакам на Центробанк Бангладеш северокорейских хакеров

ИБ-эксперты продолжают находить доказательства причастности к недавним кибератакам на мировые банки хакерской группировки Lazarus, предположительно связанной с Северной Кореей. Исследователи из Anomali Labs подробно изучили большой объем вредоносных исполняемых файлов и обнаружили пять образцов, использовавшихся как хакерами Lazarus, так и в атаках на финансовые организации.

Для сопоставления вредоносных образцов эксперты использовали инструмент Yara, позволяющий идентифицировать и классифицировать ПО. Поначалу они ожидали большого количества ложноположительных результатов, однако опасения оказались напрасными. Исследователи сравнивали образцы с помощью хэшей позиционно-независимого кода. Этот процесс предполагает использование значений хэшей, полученных из мнемоники инструкций в двоичном коде. Таким образом эксперты смогли обнаружить совпадения хэшей в разных образцах вредоносного ПО.

Напомним, на прошлой неделе исследователи Symantec выявили связь между атаками на банки Бангладеш и Филиппин. В обоих случаях для сокрытия незаконных денежных транзакций злоумышленники скомпрометировали финансовую систему SWIFT. Еще раньше эксперты BAE Systems обнаружили один и тот же компонент в образцах вредоносного ПО, использовавшегося для взлома SWIFT и корпоративной сети компании Sony Pictures Entertainment в 2014 году. По мнению ИБ-экспертов, за атакой на кинокомпанию стоит северокорейская хакерская группировка Lazarus.

На данный момент сложно сказать, действительно ли за атаками на банки и компанию Sony Pictures Entertainment стоит одна и та же группировка. Не исключено, что код используемого Lazarus вредоносного ПО оказался в руках у других злоумышленников, пытавшихся с его помощью замести свои следы.

Источник: securitylab.ru

Реклама
Запись опубликована в рубрике News. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s