Rosyjska firma przez ponad rok prowadziła dochodzenie dotyczące aktywności grupy Lazarus. To właśnie temu cybergangowi przypisuje się kradzież 81 mln dol. z Centralnego Banku Bangladeszu w 2016 r. Podczas analizy kryminalistycznej śladów pozostawionych przez to ugrupowanie w bankach zlokalizowanych w Azji Południowo-Wschodniej, ale również w Europie, w tym m.in. w Polsce, Kaspersky Lab dogłębnie rozpracował szkodliwe narzędzia wykorzystywane przez atakujących oraz sposób ich działania. Wiadomo, że Lazaru na koncie ma włamania do instytucji finansowych, kasyn, twórców oprogramowania dla firm inwestycyjnych oraz firm związanych z kryptowalutami na całym świecie.
W lutym 2016 r. grupa cyberprzestępców (wówczas niezidentyfikowana) próbowała ukraść 851 mln dol. Akcja jednak nie udała się, choć i tak hakerzy wyprowadzili z banku w Bangladeszu 81 mln dol. Incydent ten uznano za jeden z największych i najskuteczniejszych cybernapadów w historii.
Śledztwo wykazało, że członkowie grupy Lazarus od 2009 r. regularnie atakują firmy z branży produkcyjnej, media i instytucje finansowe. Działali w co najmniej 18 krajach, w tym również w Polsce. Szczegóły ataków w naszym kraju nie zostały ujawnione. Kaspersky Lab opisuje natomiast, jak działa Lazarus. Na początku atakujący włamują się do systemu wewnątrz banku, wykorzystując w tym celu słabości w systemie zabezpieczeń (np. nieaktualne oprogramowanie) lub stosując tzw. atak przy wodopoju, polegający na zainfekowaniu legalnej strony internetowej. Gdy ofiara (pracownik banku) odwiedzi taką stronę, jej komputer zostanie zainfekowany szkodliwym oprogramowaniem, które pobierze dodatkowe komponenty. To pozwala hakerom przedostać się do kolejnych maszyn w banku, w których rozmieszczają szkodliwe programy ze zdalnym dostępem do sieci. Dzięki temu atakujący mogą w dowolnym czasie pojawiać się i znikać z infrastruktury atakowanego banku. Kaspersky Lab informuje, że cyberprzestępcy poświęcają wiele dni, a nawet tygodni na poznanie sieci i zidentyfikowanie podatnych na ataki zasobów. Jednym z takich zasobów może być serwer zapasowy, na którym przechowywane są informacje dotyczące uwierzytelniania, serwer pocztowy lub kontroler całej domeny posiadający tzw. klucze do wszystkich „drzwi’ w firmie. Lazarus dostarczał specjalne szkodliwe oprogramowanie, które potrafiło obejść wewnętrzne funkcje bezpieczeństwa oprogramowania finansowego i przeprowadzać fałszywe transakcje w imieniu banku. Takie ataki trwały kilka tygodni, choć cyberprzestępcy mogli działać niezauważeni nawet przez wiele miesięcy.
Z danych firmy Kaspersky Lab wynika, że od grudnia 2015 r. próbki szkodliwego oprogramowania powiązanego z aktywnością ugrupowania Lazarus pojawiły się w instytucjach finansowych, kasynach, firmach zajmujących się rozwojem oprogramowania dla branży inwestycyjnej oraz firmach związanych z kryptowalutami w Korei, Bangladeszu, Indiach, Wietnamie, Indonezji, na Kostaryce, w Malezji, Polsce, Iraku, Etiopii, Kenii, Nigerii, Urugwaju, Gabonie czy Tajlandii.
Najnowsze znane badaczom z Kaspersky Lab próbki zostały wykryte w marcu 2017 r. - Jesteśmy pewni, że Lazarus wkrótce powróci. Co niezmiernie ważne, analiza ataków tego ugrupowania pokazuje, że nawet drobny błąd w konfiguracji systemów bezpieczeństwa w instytucjach finansowych może prowadzić do strat milionów dolarów - komentuje Witalij Kamliuk, szef Globalnego Zespołu ds. Badań i Analiz na obszar Azji i Pacyfiku w Kaspersky Lab.
