Armia i Służby
Hakerzy Korei Północnej penetrują branżę przemysłu obronnego
Hakerzy powiązani z rządem Korei Północnej od 2020 roku prowadzili kampanię wymierzoną w podmioty sektora przemysłu obronnego z kilkunastu państw. Ich głównym celem była kradzież poufnych danych, do czego wykorzystali niestandardowego backdoora. Złośliwe oprogramowanie rozsyłano za pomocą wiadomości spear-phishingowych, wykorzystujących tematykę pandemii koronawirusa.
Specjaliści Kaspersky’ego zidentyfikowali nową, nieznaną do tej pory kampanię grupy Lazarus, działającej na zlecenie reżimu Korei Północnej. Hakerzy prowadzili działania od początku 2020 roku a ich celem były podmioty z sektora przemysłu obronnego kilkunastu państw. Podczas operacji wykorzystano „niestandardowego backdoora” o nazwie ThreatNeedle do kradzieży poufnych informacji – czytamy w raporcie firmy Kaspersky.
Eksperci po raz pierwszy na tropy kampanii wpadli w momencie, gdy zostali zaangażowani w pomoc w reagowaniu na jeden z incydentów, w ramach którego poszkodowana organizacja padła ofiarą ThreatNeedle. Analiza działań hakerów wykazała, że początkowa infekcja wirusem następuje poprzez spear-phishing. Cele otrzymują wiadomości e-mail zawierające złośliwy załącznik Worda lub odsyłacz do zainfekowanej witryny. W wielu przypadkach treść korespondencji dotyczyła informacji o pilnych informacjach dotyczących pandemii koronawirusa a ich nadawcą miało być rzekomo „szanowane centrum medyczne” – podkreślono w raporcie.
Jak tłumaczą specjaliści Kaspersky’ego, po kliknięciu w załącznik, na urządzeniu ofiary instalowany jest backdoor. ThreatNeedle użyty podczas kampanii należy do rodziny złośliwego oprogramowania znanej jako Manuscrypt, która jest powszechnie wykorzystywana przez grupę Lazarus, np. podczas cyberataków na sektor finansowy. Dzięki jego zastosowaniu hakerzy są w stanie przejąć pełną kontrolę nad urządzeniem. „Mogą zrobić wszystko, od manipulowania plikami po wykonanie dowolnych poleceń” – tłumaczą eksperci. Przeprowadzona przez nich analiza jednoznacznie wykazała, że głównym motywem była kradzież danych z podmiotów sektora przemysłu obronnego.
Nie tylko byli w stanie (hakerzy Lazarus – przyp. red.) przełamać segmentację sieci, ale przeprowadzili szeroko zakrojone badania w celu stworzenia wysoce spersonalizowanych i skutecznych wiadomości e-mail typu spear-phishing oraz stworzyli niestandardowe narzędzia do wyodrębniania skradzionych informacji na zdalny serwer. Ponieważ branże nadal zajmują się pracą zdalną, a tym samym są jeszcze bardziej podatne na zagrożenia, ważne jest, aby organizacje podjęły dodatkowe środki ostrożności w celu ochrony przed tego typu zaawansowanymi atakami.
Hakerzy grupy Lazarus są obecnie jednym z najbardziej nieustępliwych i dokuczliwych aktorów uznawanych za zagrożenie w cyberprzestrzeni. Ich pierwsza aktywność została wykryta w 2009 roku i od tamtej pory zostali powiązani z szeroko zakrojonymi operacjami, w tym kampaniami cyberszpiegowskimi, ransomware czy kradzieży środków finansowych (np. kryptowalut).
Reżim wykorzystuje hakerów do np. obchodzenia sankcji nakładanych przez Zachód, o czym oficjalnie mówiła m.in. Organizacja Narodów Zjednoczonych. Według niej Pjongjang, w celu sfinansowania nowoczesnych technologii do produkcji broni nuklearnej i pocisków balistycznych, ucieka się do cyberataków na instytucje z sektora bankowego z całego świata.
Jak informowaliśmy na naszym portalu, zdaniem ekspertów ONZ, Korea Północna dokonała w okresie od końca 2019 do listopada 2020 roku kradzieży aktywów wirtualnych o łącznej wartości około 316 mln dolarów.