Severnokorejski hekerji napadli čilensko omrežje bankomatov

Zloglasna hekerska skupina Lazarus, za katero obstajajo močni indici o povezanosti s Pjongjangom, je že decembra izvedla obsežen napad na omrežje bankomatov v Čilu, a so ga oblasti do sedaj prikrivale. Da so hekerji iz Severne Koreje napadli bančno omrežje Redbanc, smo izvedeli šele, ko je čilenski senator Felipe Harboe na Twitterju javno okrcal organizacijo, zakaj tega ni javno obelodanila.

Še isti dan so na uradni strani Redbanca zapisali, da se je zgodil vdor, a niso razkrili nobenih podrobnosti. Šele dan pozneje so podrobnosti na dan izbezali na strani trendTIC. Vektor napada je bil oglas za razvojno delovno mesto v drugem tehnološkem podjetju, ki je bil objavljen na LinkedInu. Ko je eden izmed zaposlenih v Redbancu odgovoril na oglas, so hekerji z njim opravili razgovor, ki je prek Skypa potekal v španščini. Med razgovorom so tarči poslali datoteko ApplicationPDF.exe, češ da bo odprla standardni obrazec za prijavo. V resnici je šlo za zlonamerno programsko opremo z malwarom PowerRatankba, ki jo je žrtev zagnala na službenem računalniku v omrežju Redbanc.

Ko se je žrtvin računalnik okužil, so napadalci dobili informacije o imenu računalnika, podrobnosti o strojni in programski opremi, omrežni povezljivosti (deljenje datotek SMB in RPC, RDP) in tako dalje. To je zadostovalo, da so kasneje na računalnik odložili agresivnejšo skripto PowerShell. Zanimivo je, da se nameščeni protivirusni programi niso nič pritožili.

Skupina Lazarus ima na vesti že precej odmevnih vdorov. Obstaja že vsaj od leta 2009, znana pa je zlasti po napadu na Južno Korejo leta 2013, vdor v Sony Pictures leta 2014, krajo 81 milijonov dolarjev iz narodne banke v Bangladešu in globalnem izsiljevalskem napadu z WannaCry.