Перейти к публикации
RusKaz

Взлом криптобиржи с северокорейским акцентом.

Рекомендованные сообщения

Серьезные киберпреступники зачастую используют настолько изощренные методы нападения, что даже специалистам по безопасности приходится потрудиться, чтобы вывести их на чистую воду. Недавно эксперты «Лаборатории Касперского» обнаружили новую кампанию северокорейской группировки Lazarus, известной своими атаками на Sony Pictures и многочисленные финансовые учреждения, например кражей $81 миллиона у Центробанка Республики Бангладеш.

В этот раз злоумышленники, в духе времени, решили поживиться криптовалютой. Чтобы добраться до кошельков жертв, они запустили зловред в корпоративные сети криптовалютных бирж. Преступники использовали человеческий фактор, причем со знанием дела.

 

Трейдинговая программа с вредоносным обновлением

Проникновение в сеть началось с электронной почты. По меньшей мере один из сотрудников биржи получил письмо с предложением установить приложение для трейдинга Celas Trade Pro производства компании Celas Limited. Учитывая сферу деятельности организации, такая программа вполне могла понадобиться ее команде.

Ссылка из письма вела на официальный сайт разработчика, который выглядел достаточно убедительно — в том числе обладал действующим SSL-сертификатом, выданным одним из крупнейших сертифицикационных центров — Comodo CA.

SSL-сертификат — способ подтверждения подлинности открытого ключа в технологии безопасной передачи данных по протоколу HTTPS. SSL-сертификат устанавливает соответствие цифровой подписи, при помощи которой осуществляется шифрование, определенному домену, физическому лицу или организации.

667930ddcfbf90928d406.png
 

Продукт Celas Trade Pro можно было скачать в одной из двух версий — для Windows и для Mac. Также производитель анонсировал скорый выход приложения для Linux.

6fc903cede6b2b77d772b.png
 

У трейдинговой программы был также действующий цифровой сертификат, что лишний раз подтверждало ее легитимность. Кроме того, в ее коде не было вредоносных компонентов.

После того как сотрудник криптовалютной биржи успешно установил Celas Trade Pro на свой компьютер, приложение тут же захотело обновиться. Для этого оно обратилось к серверу, принадлежащему компании-разработчику, что также не выглядело подозрительно. Между тем вместо обновления на устройство загрузился бэкдор.

Бэкдор — это одна из самых опасных угроз. Бэкдор предоставляет своему хозяину возможность удаленного управления компьютером жертвы. В отличие от обычных утилит удаленного администрирования, трояны этого типа устанавливаются, запускаются и работают незаметно. После установки бэкдоры могут получать команду на отправку, прием, исполнение и удаление файлов, сбор конфиденциальных данных, информации о действиях пользователя и многое другое.

9f478414d0d69a2724983.png
 

Fallchill — очень опасный зловред

Бэкдор — это «черный ход», с помощью которого преступники проникают в чужую систему. Чаще всего для атаки на биржи использовался зловред Fallchill — именно по нему, среди прочего, удалось опознать организаторов: группировка Lazarus прибегала к помощи этого бэкдора уже не раз.

Он позволяет злоумышленникам практически полностью контролировать зараженное устройство.

Вот только некоторые из способностей такого ПО:

  • Поиск и чтение файлов, а также их загрузка на командный сервер (тот самый сервер, с которого трейдинговое приложение скачивало обновление).
  • Запись информации в конкретный файл (например, в исполняемый файл той или иной программы или в платежное распоряжение).
  • Уничтожение файлов.
  • Загрузка и запуск дополнительных инструментов.

 

Взглянем поближе на зараженную программу и ее разработчиков…

Как мы уже говорили, практически на всех этапах атаки, до самой установки бэкдора, как сама трейдинговая программа, так и компания-создатель выглядели вполне добропорядочно. Однако при более глубоком анализе обнаружились подозрительные нюансы.

Так, загрузчик обновлений передавал на сервер замаскированный под GIF-изображение файл с информацией о компьютере и в том же виде получал инструкции — а обмен картинками совсем не типичен для обновления серьезного ПО.

Что касается сайта, сертификат домена при ближайшем рассмотрении оказался низкого уровня и подтверждал только факт его принадлежности компании Celas Limited. О существовании этой организации и личности ее владельца в нем ничего не говорилось (получение более продвинутых сертификатов предполагает подобные проверки). При этом, проверив указанный при регистрации домена адрес по Google Maps, аналитики выяснили, что по этому адресу находится одноэтажное строение, которое занимает раменная.

9ea25b5f7b2544a800fb2.png
 

Вряд ли владельцы ресторанчика на досуге занимаются программированием, так что логично предположить, что адрес фейковый. Тем более что по другому адресу, указанному при получении цифрового сертификата приложения Celas Trading Pro, как оказалось, и вовсе находится чистое поле.

1da466a3bb62d884ebd01.png
 
Кроме того, домен компания, судя по всему, оплачивала биткойнами — а обычно сделки в криптовалюте проводят, когда хотят сохранить анонимность.

Впрочем, сказать наверняка, является ли эта компания специально созданным фейком или она сама пала жертвой киберпреступников, нельзя, тем более что раньше северокорейские взломщики уже компрометировали ни в чем не повинные организации ради атаки на их партнеров или заказчиков.

 

Чему нас учит Lazarus?

Как видно из этой истории, когда речь заходит о крупных деньгах, распознать источник угрозы может оказаться очень непросто. Тем более на криптовалютном рынке, который последнее время стабильно привлекает мошенников всех сортов: от разработчиков всевозможных майнеров до серьезных преступных группировок, действующих по всему миру.

Отдельного внимания заслуживает тот факт, что эта кампания рассчитана не только на пользователей Windows, но и на владельцев компьютеров с macOS. Это очередное напоминание о том, что само по себе использование macOS вовсе не гарантирует полную безопасность, — заботиться о защите пользователям Apple тоже необходимо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вааще ничего не понятно. Какбудто текст пришельцем с другой планеты написан )))))))))))))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да тут много терминологии. Но так то разобраться можно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.
Примечание: вашему сообщению потребуется утверждение модератора, прежде чем оно станет доступным.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.


×
×
  • Создать...