هک بانک‌ها با استفاده از APT LAZARUS

به گزارش کارگروه امنیت سایبربان؛ فعالیت Lazarus APT در سال‌های 2014 و 2015 افزایش یافت به‌نحوی‌که سازندگان این بدافزار فعالیت خود را با استفاده از نرم‌افزارهای مخرب سفارش شده پیش می‌بردند. این در حالی است که کارشناسان معتقدند بدافزار نام‌برده از قابلیت‌های پیچیده بالایی برخوردار است.
پس از بررسی‌های صورت گرفته روی بدافزار نام‌برده مشخص شد که از سال 2009 یا احتمالاً اوایل 2007 فعالیت خود را در قالب جاسوسی اینترنتی و فعالیت‌های خرابکارانه که باهدف از بین بردن اطلاعات سیستم‌های حساس است شروع کرده است. کارشناسان بر این باورند که بدافزار نام‌برده وابسته به کره شمالی در حملات اخیر خود بانک‌ها و حمله سایبری به زیرساخت‌های بنگلادش را در کارنامه خود دارد.
کارشناسان امنیتی بر این باورند که مهاجمان با استفاده از باج‌افزار Hermes جهت جلب‌توجه و اقدام برای ادامه فعالیت‌های خود اقدام می‌کنند. کارشناسان موسسه امنیتی McAfee معتقدند باج‌افزار نام‌برده فعالیت خود را با حمله به بانک‌های تایوانی شروع کرد و ردپای خود را به‌جای گذاشته که این به‌نوبه خود نشان‌دهنده این است که اهداف دیگری نداشته است.
این در حالی است که سازندگان Lazarus  از قابلیت‌های باج‌افزار Hermes در حمله خود برای مخفی کردن فعالیت‌های انجام‌شده، استفاده می‌کنند. کارشناسان امنیتی BAE Systems پس از بررسی باج‌افزار هرمس موفق به شناسایی و بررسی اطلاعات رمزنگاری‌شده موجود در هر پوشه شدند این قابلیت به بدافزار این امکان را می‌دهد که پس از انجام فعالیت‌های خود برخی از فایل‌های حیاتی را حذف کند.
کارشناسان در ادامه فعالیت‌های خود به بررسی لودر Bitsran کردند نحوه فعالیت این ابزار به این صورت است که با استفاده از ایجاد اختلال در شبکه هدف فعالیت مخرب خود را پیش می‌برد، جزییات بررسی نشان می‌دهد که بدافزار نام‌برده جهت جمع‌آوری اطلاعات شبکه مورداستفاده قرار می‌گیرد.
بررسی‌ها نشان می‌دهد که کدهای مخرب شامل رشته‌ای است که به زبان روسی نوشته‌شده است اما کارشناسان بر این باورند که این فعالیت صحت ندارد.