Prováveis links surgem entre o Grupo Lazarus e cibercriminosos russos
Os pesquisadores examinam os incidentes de segurança nos últimos anos que aparentemente conectam o Grupo Lazarus da Coreia do Norte com invasores que falam russo.
A análise publicada hoje examina relatórios de anos de incidentes de segurança para apontar ligações entre o Lazarus Group, historicamente ligado à Coreia do Norte, e os cibercriminosos que falam russo.
Em um artigo sobre suas descobertas, Mark Arena, CEO da empresa de segurança Intel 471, mantém duas suposições geralmente aceitas: que o Lazarus Group está vinculado à Coreia do Norte e que TrickBot, TA505 e Dridex estão conectados a cibercriminosos que falam russo. Para fazer a análise, a Arena explorou fontes públicas e abertas de pesquisadores de segurança que publicaram informações sobre atividades de ameaças.
O relatório conclui que os invasores norte-coreanos provavelmente estão ativos no submundo do crime cibernético e mantêm relacionamentos com criminosos cibernéticos de alto nível que falam russo, relata a Arena. Além disso, o malware que se acredita ter sido usado por, e provavelmente escrito por, invasores norte-coreanos foi “muito provavelmente” distribuído usando acessos de rede mantidos por cibercriminosos que falam russo.
“Há uma ligação entre o TrickBot e os operadores por trás do Trickbot que vendem de forma bastante clara os acessos às instituições financeiras aos norte-coreanos”, diz Arena. “E o fato de ter acesso aos operadores do TrickBot – descobrir quem eles são e quem você contata para isso – você precisa ser bastante examinado do ponto de vista do cibercriminoso.”
TrickBot é uma estrutura de distribuição de malware não anunciada em nenhum fórum ou mercado criminal aberto ou apenas para convidados, diz Arena. É acessível apenas para criminosos de primeira linha com uma reputação comprovada obtida por meio do envolvimento com a compra e venda de produtos e serviços no submundo do crime. A capacidade dos invasores norte-coreanos de se comunicarem com as operadoras e clientes do TrickBot significaria que eles próprios são considerados criminosos cibernéticos de primeira linha.
O Dr. Gray Rattray, sócio e fundador da Next Peak LLC, e ex-diretor do NSC para cibersegurança na Casa Branca, concorda. Ele chama o Grupo Lazarus de “ator estratégico emergente e assustador por excelência”. Embora quem eles sejam seja um pouco indeterminado, “eles são um grupo com capacidade real” e ferramentas de nível nacional, que usarão para atingir qualquer número de objetivos.
“Qualquer grupo organizado usa as ferramentas menos necessárias”, diz Rattray, que já comandou o time vermelho e operações ofensivas. O Lazarus Group é capaz de usar as ferramentas necessárias para atingir qualquer número de objetivos alinhados com o que o regime norte-coreano deseja, acrescenta. TrickBot é um deles – os pesquisadores do SentinelOne identificaram o Lazarus Group usando o TrickBot para implantar suas próprias amostras de malware na rede de uma empresa visada com o conjunto de ferramentas de ataque Anchor.
Com base nas descobertas do SentinelOne e de várias outras equipes de pesquisa, o Intel 471 avalia uma provável ligação entre os operadores TrickBot e os atacantes norte-coreanos. TrickBot parece ser uma fonte de acessos comprometidos que os atores norte-coreanos podem usar, e as pessoas que o controlam parecem bem versadas na identificação de organizações comprometidas para atividades de ataque de acompanhamento – seja por meio do Anchor ou de outras ferramentas de intrusão como Metasploit, Cobalt Strike, ou Império.
O link TrickBot foi o mais forte descoberto entre invasores norte-coreanos e cibercriminosos que falam russo, afirma Arena em um blog . Ele estima que essa atividade já esteja em andamento há mais de um ano, embora, apesar do tempo, não esteja claro se os atores que falam russo sabem que estão vendendo para atacantes norte-coreanos, que ele diz também falar em russo.
Intel 471 também explorou conexões potenciais entre atacantes norte-coreanos e TA505, bem como links para Dridex. Eles concluíram que, embora o TA505 possa ter trabalhado historicamente com invasores norte-coreanos na ocasião, isso não parece ter acontecido recentemente. Nenhuma ligação foi encontrada entre a Coreia do Norte e a Dridex.
Grupo Lazarus e Rússia: Alvos e Motivações
Como os invasores da Coréia do Norte e de língua russa se beneficiam dessa colaboração? Arena começa com a Rússia: “O que eles ganham com isso é o acesso a uma equipe ou grupo de pessoas [que] são especializadas em hackear bancos e roubar grandes quantias de dinheiro”, explica ele.
Se os invasores que falam russo venderem o acesso a uma instituição financeira, por exemplo, pode haver um incentivo monetário se a invasão for bem-sucedida. Os atores norte-coreanos que roubam os fundos podem devolver uma porcentagem se conseguirem roubar grandes somas de dinheiro, observa Arena.
Para a Coreia do Norte, o benefício é uma fonte de acesso às instituições financeiras. Embora eles provavelmente tenham a capacidade de fazer engenharia social para entrar em um banco, o processo é demorado.
“Se eles são capazes de alavancar os acessos subterrâneos de outros criminosos, isso é algo que eles próprios não precisam fazer”, acrescenta Arena.
Do ponto de vista do cibercrime, a Rússia está “aos trancos e barrancos” à frente de outras regiões, o que a torna um colaborador atraente. Enquanto alguns atores que falam russo são motivados por espionagem, os grupos, neste caso, são puramente motivados por ganhos financeiros – uma meta que os alinha com os invasores norte-coreanos.
Seu foco principal é em organizações com níveis mais baixos de segurança – por exemplo, Rattray aponta para o ataque ao Banco de Bangladesh, conduzido pelo APT 38, um grupo de ataque que surgiu como uma entidade própria do Grupo Lazarus. A ascensão do APT 38 coincidiu com as sanções econômicas internacionais contra a Coreia do Norte e as pressões econômicas resultantes.
Este foi um de um grande número de ataques contra nós fracos no sistema de pagamento, diz ele. Os invasores não entraram na organização SWIFT, mas nas pessoas que usam o SWIFT para transferir somas importantes.
“Esse é um tipo de risco transformacional”, acrescenta. “Se não podemos ter certeza de que os terminais no sistema SWIFT não serão corrompidos e moverão dezenas, senão centenas, de milhões de dólares em transações fraudulentas, as pessoas começam a ficar preocupadas.”
Entrar no Banco de Bangladesh e morar lá por tempo suficiente para descobrir como forçar um pagamento fraudulento é algo que uma agência de inteligência pode fazer, aponta Rattray. Embora ele não rastreie grupos de ataque específicos, ele diz que a colaboração com atores que falam russo seria uma “evolução lógica” para o grupo.
“O Grupo Lazarus usou e continuará a usar as ferramentas e técnicas necessárias para a missão”, diz ele. “Eles operam como um serviço de inteligência.” O grupo provou ser altamente capaz e disposto a fazer o melhor em coisas ruins, e sua agilidade em fazer isso é um trunfo.