Komisję Nadzoru Finansowego zaatakowała grupa Lazarus. Co o niej wiadomo?

Na początku lutego, w wyniku awarii strony Komisji Nadzioru Finansowego, dowiedzieliśmy się, że polski sektor finansowy od wielu tygodni był ofiarą ataku typu Advanced Persistent Threat. To właśnie zainfekowanie sieci KNF doprowadziło do dystrybucji nieznanego oprogramowania w sieci polskich banków.

Dotąd niewiele jednak wiadomo było zarówno o samym oprogramowaniu wykorzystanym do ataku, jak i o jego sprawcach. Zapewnienia o tym, że z rachunków klientów nie zniknęły żadne środki, były źródłem podejrzeń, że za być może największym ujawnionym atakiem na polski sektor finansowy stały grupy sponsorowane przez inne państwo. Światło na tę kwestię rzucają wnioski z ekspertyzy przeprowadzonej przez Symanteca.

Według ekspertów tej firmy, Downloader.Ratankba, czyli trojan, za pomocą którego zaatakowano polski (ale także między innymi amerykański) sektor finansowy, współdzieli pewne ciągi znaków w kodzie z malware wykorzystywanym wcześniej przez grupę Lazarus. Podobieństwa zachodzą także w kodzie Hacktool, które Ratankba pobierał po połączeniu z domeną eye-watch.in. Ze szczegółami analizy można zapoznać się na blogu Symanteca.

Pierwszy atak przypisywany dziś grupie Lazarus miał miejsce w 2009 roku i był wymierzony w infrastrukturę Korei Południowej. W 2013 grupa miała być zaangażowana w atak na Sony Pictures, który sparaliżował infrastrukturę japońskiego oddziału firmy. Kaspersky Lab łączy także Lazarus z przypadkami szpiegostwa przemysłowego oraz innymi licznymi atakami na prywatną i państwową infrastrukturę w USA, Brazylii, Arabii Saudyskiej, Rosji, Indiach czy Chinach.