Взлом криптобиржи с северокорейским акцентом

Рассказываем о новой кампании APT Lazarus, которую ну очень сложно распознать, и о том, как связаны криптовалюты, киберпреступники и рамен.

Серьезные киберпреступники зачастую используют настолько изощренные методы нападения, что даже специалистам по безопасности приходится потрудиться, чтобы вывести их на чистую воду. Недавно наши эксперты обнаружили новую кампанию северокорейской группировки Lazarus, известной своими атаками на Sony Pictures и многочисленные финансовые учреждения, например кражей $81 миллиона у Центробанка Республики Бангладеш.

В этот раз злоумышленники, в духе времени, решили поживиться криптовалютой. Чтобы добраться до кошельков жертв, они запустили зловред в корпоративные сети криптовалютных бирж. Преступники использовали человеческий фактор, причем со знанием дела.

Трейдинговая программа с вредоносным обновлением

Проникновение в сеть началось с электронной почты. По меньшей мере один из сотрудников биржи получил письмо с предложением установить приложение для трейдинга Celas Trade Pro производства компании Celas Limited. Учитывая сферу деятельности организации, такая программа вполне могла понадобиться ее команде.

Ссылка из письма вела на официальный сайт разработчика, который выглядел достаточно убедительно — в том числе обладал действующим SSL-сертификатом, выданным одним из крупнейших сертифицикационных центров — Comodo CA.

Продукт Celas Trade Pro можно было скачать в одной из двух версий — для Windows и для Mac. Также производитель анонсировал скорый выход приложения для Linux.

У трейдинговой программы был также действующий цифровой сертификат, что лишний раз подтверждало ее легитимность. Кроме того, в ее коде не было вредоносных компонентов.

После того как сотрудник криптовалютной биржи успешно установил Celas Trade Pro на свой компьютер, приложение тут же захотело обновиться. Для этого оно обратилось к серверу, принадлежащему компании-разработчику, что также не выглядело подозрительно. Между тем вместо обновления на устройство загрузился бэкдор.

Fallchill — очень опасный зловред

Бэкдор — это «черный ход», с помощью которого преступники проникают в чужую систему. Чаще всего для атаки на биржи использовался зловред Fallchill — именно по нему, среди прочего, удалось опознать организаторов: группировка Lazarus прибегала к помощи этого бэкдора уже не раз. Он позволяет злоумышленникам практически полностью контролировать зараженное устройство. Вот только некоторые из способностей такого ПО:

  • Поиск и чтение файлов, а также их загрузка на командный сервер (тот самый сервер, с которого трейдинговое приложение скачивало обновление).
  • Запись информации в конкретный файл (например, в исполняемый файл той или иной программы или в платежное распоряжение).
  • Уничтожение файлов.
  • Загрузка и запуск дополнительных инструментов.

Взглянем поближе на зараженную программу и ее разработчиков…

Как мы уже говорили, практически на всех этапах атаки, до самой установки бэкдора, как сама трейдинговая программа, так и компания-создатель выглядели вполне добропорядочно. Однако при более глубоком анализе обнаружились подозрительные нюансы.

Так, загрузчик обновлений передавал на сервер замаскированный под GIF-изображение файл с информацией о компьютере и в том же виде получал инструкции — а обмен картинками совсем не типичен для обновления серьезного ПО.

Что касается сайта, сертификат домена при ближайшем рассмотрении оказался низкого уровня и подтверждал только факт его принадлежности компании Celas Limited. О существовании этой организации и личности ее владельца в нем ничего не говорилось (получение более продвинутых сертификатов предполагает подобные проверки). При этом, проверив указанный при регистрации домена адрес по Google Maps, аналитики выяснили, что по этому адресу находится одноэтажное строение, которое занимает раменная.

Вряд ли владельцы ресторанчика на досуге занимаются программированием, так что логично предположить, что адрес фейковый. Тем более что по другому адресу, указанному при получении цифрового сертификата приложения Celas Trading Pro, как оказалось, и вовсе находится чистое поле.

Кроме того, домен компания, судя по всему, оплачивала биткойнами — а обычно сделки в криптовалюте проводят, когда хотят сохранить анонимность.

Впрочем, сказать наверняка, является ли эта компания специально созданным фейком или она сама пала жертвой киберпреступников, нельзя, тем более что раньше северокорейские взломщики уже компрометировали ни в чем не повинные организации ради атаки на их партнеров или заказчиков.

Больше подробностей об этой кампании APT Lazarus можно прочитать в полном отчете наших экспертов на Securelist.

Чему нас учит Lazarus?

Как видно из этой истории, когда речь заходит о крупных деньгах, распознать источник угрозы может оказаться очень непросто. Тем более на криптовалютном рынке, который последнее время стабильно привлекает мошенников всех сортов: от разработчиков всевозможных майнеров до серьезных преступных группировок, действующих по всему миру.

Отдельного внимания заслуживает тот факт, что эта кампания рассчитана не только на пользователей Windows, но и на владельцев компьютеров с macOS. Это очередное напоминание о том, что само по себе использование macOS вовсе не гарантирует полную безопасность, — заботиться о защите пользователям Apple тоже необходимо.

Советы