ในเดือนกุมภาพันธ์ ปี 2016 เกิดเหตุการณ์ขโมยเงินจำนวน 81 ล้านเหรียญสหรัฐ และโอนเงินออกจากธนาคารกลางบังคลาเทศ นับเป็นอาชญากรรมทางไซเบอร์ครั้งใหญ่ที่สุดในประวัติศาสตร์อีกหนึ่งครั้ง จากการตรวจสอบของทีมนักวิจัยจากบริษัทความปลอดภัยไอทีชั้นนำของโลก รวมถึงแคสเปอร์สกี้ แลป พบว่า การจารกรรมนี้ดำเนินการโดยกลุ่มลาซารัส ซึ่งขึ้นชื่อในด้านจารกรรมไซเบอร์และมีผลงานการโจมตีที่ร้ายแรงหลายครั้ง ไม่ว่าจะเป็นบริษัทอุตสาหกรรมการผลิต สื่อ สถาบันการเงิน ตั้งแต่ปี 2009 ครอบคลุมอย่างน้อย 18 ประเทศทั่วโลก
หลังเหตุการณ์ธนาคารกลางบังคลาเทศ กลุ่มลาซารัสก็ยังทำงานอย่างต่อเนื่อง โดยกำลังวางแผนการร้ายครั้งใหม่คือการขโมยเงินจากธนาคารเอเชียตะวันออกเฉียงใต้ แต่โชคยังดีที่ปฏิบัติการนี้ถูกสกัดโดยโซลูชั่นของแคสเปอร์สกี้ แลป ซะก่อน จากนั้นจึงพบว่า กลุ่มลาซารัสก็เปลี่ยนเป้าหมายไปยุโรป ซึ่งถูกสกัดขัดขวางเช่นเดียวกัน
สูตรการทำงานของลาซารัส
จากการวิเคราะห์ทางนิติเวช นักวิจัยของแคสเปอร์สกี้ แลป สามารถร่างรูปแบบการทำงานได้ดังนี้
Initial compromise: ระบบเดี่ยวภายในธนาคารถูกรุกล้ำด้วยโค้ดช่องโหว่ในการแอคเคสจากระบะไกล (เช่น เว็บเซิร์ฟเวอร์) หรือบุกรุกผ่านเอ็กพลอต์ที่ฝังเอาไว้ที่เว็บไซต์ เมื่อพนักงานธนาคารเปิดไปที่เว็บนั้นๆ คอมพิวเตอร์ก็จะติดกับมัลแวร์ที่มาพร้อมคอมโพเน้นท์มากมาย
Foothold established: จากนั้นกลุ่มลาซารัสก็เข้าโฮสต์อื่นของธนาคารและติดตั้งแบ็คดอร์ ซึ่งมัลแวร์อนุญาตให้แฮกเกอร์ไปๆมาๆ เมื่อไหร่ก็ได้ตามที่ต้องการ
Internal reconnaissance: กลุ่มลาซารัสจะใช้เวลาหลายวันหลายสัปดาห์เพื่อศึกษาเน็ตเวิร์กของธนาคารและมองหาข้อมูลที่มีค่า อาจจะเป็นเซิร์ฟเวอร์ที่ใช้สำรองข้อมูล ซึ่งบันทึกข้อมูลระบุตัวตน เมลเซิร์ฟเวอร์ หรือส่วนควบคุมโดเมนทั้งหมดซึ่งจะมีคีย์เข้าใช้งานทุกพื้นที่ รวมถึงเซิร์ฟเวอร์ที่ใช้เก็บข้อมูลธึรกรรมทางการเงิน
Deliver and steal: ในที่สุด กลุ่มลาซารัสจะติดตั้งมัลแวร์พิเศษ ที่สามารถบายพาสฟีเจอร์ความปลอดภัยภายในของซอฟต์แวร์การเงิน และทำธุรกรรมฉ้อโกงในนามธนาคาร
ข้อมูลภูมิศาสตร์
ทีมนักวิจัยของแคสเปอร์สกี้ แลป ทำการสืบสวนพบว่า การโจมตีต่างๆ ยาวนานเป็นสัปดาห์ แต่อย่างไรก็ตาม ผู้โจมตีก็สามารถซุ่มดำเนินการอยู่นานหลายเดือน ยกตัวอย่างเช่น ขณะกำลังวิเคราะห์เหตุการณ์ในเอเชียตะวันออกเฉียงใต้ ผู้เชี่ยวชาญพบว่า แฮกเกอร์สามารถก่อกวนเน็ตเวิร์กของธนาคารนาน 7 เดือนก่อนที่ทีมไอทีของธนาคารจะรู้ตัวและแจ้งปัญหาด้านความปลอดภัย ซึ่งความจริงแล้ว กลุ่มโจรร้ายนี้ ได้เข้าเน็ตเวิร์กของธนาคารนั้น ก่อนหน้าเหตุการณ์ที่ธนาคารกลางบังคลาเทศเพียงแค่วันเดียว
จากข้อมูลของแคสเปอร์สกี้ แลป ในเดือนธันวาคม 2015 พบตัวอย่างมัลแวร์ที่เกี่ยวข้องกับกิจกรรมของกลุ่มลาซารัสปรากฏตัวขึ้น ในสถาบันการเงิน บ่อนการพนัน บริษัทพัฒนาซอฟต์แวร์ และธุรกิจการเงินคริปโตในประเทศเกาหลี บังคลาเทศ อินเดีย เวียดนาม อินโดนีเซีย คอสตาริก้า มาเลเซีย โปแลนด์ อิรัก เอธิโอเปีย เคนย่า ไนจีเรีย อุรุกวัย กาบอง รวมถึงประเทศไทย และประเทศอื่นๆ ข้อมูลล่าสุดเมื่อเดือนมีนาคม 2017 แคสเปอร์สกี้ แลป ยังพบว่ากลุ่มลาซารัสนี้ยังดำเนินการต่อเนื่องไม่หยุดหย่อน
แม้ว่าผู้โจมตีจะลบร่องรอยอย่างดี แต่อย่างน้อยจะต้องมีเซิร์ฟเวอร์หนึ่งแห่งที่บุกรุกเข้าไปแล้วเกิดข้อผิดพลาดและทิ้งสิ่งแปลกปลอมไว้ ในขั้นตอนการเตรียมการ เซิร์ฟเวอร์จะถูกตั้งค่าเป็นศูนย์กลางควบคุมและสั่งการ (command & control) การเชื่อมต่อที่ได้ทำในตอนตั้งค่าจะมาจากเซิร์ฟเวอร์ VPN/proxy ที่ใช้ทดสอบ อย่างไรก็ดี การเชื่อมต่อนี้ก็เป็นการเชื่อมต่อระยะสั้นที่มาจากไอพีแอดเดรสที่หายากในเกาหลีเหนือ ซึ่งถือเป็นอีกหนึ่งสิ่งแปลกปลอมที่ชี้ว่าเป็นการดำเนินการของกลุ่มลาซารัส หรืออย่างน้อยก็เป็นสมาชิกของกลุ่มนี้ แต่ข้อมูลนี้ก็ไม่เพียงพอจะสรุปขั้นสุดท้ายได้ ด้วยการเชื่อมต่อนี้อาจเป็นการจัดฉากก็ได้
กลุ่มลาซารัสลงทุนในมัลแวร์ของตนอย่างหนัก พยายามสร้างทูลเซ็ตนานหลายเดือนเพื่อไม่ให้โดนโซลูชั่นความปลอดภัยต่างๆ ตรวจจับได้ แต่ทุกครั้ง ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป จะสามารถระบุฟีเจอร์ที่มีลักษณะเฉพาะในโค้ดที่แฮกเกอร์สร้างขึ้น ทำให้สามารถแกะรอยตัวอย่างใหม่ๆ ได้ ปัจจุบัน ผู้โจมตีได้ซุ่มดำเนินการอย่างเงียบเชียบ ซึ่งอาจหมายถึงการหยุดพักก่อนสร้างอาวุธใหม่
วิตาลี คามลัก หัวหน้าทีมวิเคราะห์และวิจัยระดับโลก แคสเปอร์สกี้ แลป ภูมิภาคเอเชียแปซิฟิก กล่าวว่า "เราเชื่อว่า กลุ่มลาซารัสจะกลับมาเร็วๆ นี้ การตั้งค่าที่ผิดพลาดเพียงเล็กน้อยอาจทำให้เกิดช่องโหว่รุกล้ำความปลอดภัยขนาดใหญ่ ซึ่งอาจเป็นเงินจำนวนหลายร้อยล้านเหรียญของบริษัทที่ตกเป็นเป้าโจมตี เราหวังว่าผู้บริหารของธนาคาร บ่อนการพนัน และบริษัทการเงินการลงทุนต่างๆ ทั่วโลกจะเริ่มรู้จักและระวัดระวังกลุ่มลาซารัสให้ดี"
ผลิตภัณฑ์ของแคสเปอร์สกี้ แลป สามารถตรวจจับและสกัดมัลแวร์ของกลุ่มลาซารัสได้ ในชื่อดังต่อไปนี้
Backdoor.Win32.Contopee.a,
Backdoor.Win64.Agent.lo,
Exploit.MSIL.CVE-2016-0034.b,
HEUR:Trojan-Banker.Win32.Alreay.gen,
Trojan-Banker.Win32.Agent.zvr และอื่นๆ
แคสเปอร์สกี้ แลป ได้เปิดเผยสัญญาณบ่งชี้ว่าระบบถูกแฮก หรือ Indicators of Compromise (IOC) และข้อมูลอื่นๆ เพื่อช่วยเหลือองค์กรให้สามารถแกะรอยกลุ่มที่โจมตีเน็ตเวิร์กของตนเองได้ ข้อมูลเพิ่มเติม กรุณาไปที่ https://securelist.com/blog/sas/77908/lazarus-under-the-hood
แคสเปอร์สกี้ แลป ขอให้องค์กรสแกนเน็ตเวิร์กของตนเองเพื่อตรวจหาตัวอย่างมัลแวร์ของกลุ่มลาซารัส และหากพบ ควรรีบทำลาย และแจ้งให้ผู้ดูแลและหน่วยงานรักษากฎหมายทราบถึงเหตุการณ์
ข้อมูลเพิ่มเติมเกี่ยวกับการโจมตีทางการเงินของกลุ่มลาซารัส กรุณาอ่านข้อมูลและดูคลิปวิดีโอที่ https://securelist.com/blog/sas/77908/lazarus-under-the-hood