Cyberbezpieczeństwo

Hakerzy Korei Północnej w operacji szpiegowskiej

hacker
Fot. Christoph Scholz/Flickr/CC BY-SA 2.0

Specjaliści fińskiej firmy cyberbezpeczeństwa WithSecure wykryli nową kampanię szpiegowską, za którą stoi popularna północnokoreańska grupa Lazarus. Eksperci wrogie działania nazwali „No Pineapple!”.

W raporcie do sprawy wskazano, że hakerzy Pjongjangu realizowali operację od sierpnia do listopada 2022 roku. Wymierzona była w podmioty z m.in. branży medycznej (badania, opieka zdrowotna) oraz z sektorów energetyki i obronnego.

Na ślady kampanii specjaliści WithSecure natchnęli się, gdy zostali wezwani do zbadania potencjalnego incydentu, który miał być następstwem cyberataku z użyciem ransomware.

Czytaj też

O poniedziałku do soboty

Hakerzy w trakcie działań wykorzystywali luki CVE-2022-27925 oraz 2022-37042 Zimbra do włamania się do docelowej infrastruktury. Korzystając z dostępu, wykradali dane (np. maile) i penetrowali kolejne sieci. Użyli m.in. backdoora Dtrack.

Zgodnie z danymi przedstawionymi przez WithSecure, hakerzy pozyskali pliki o łącznej wadze co najmniej 100 GB. Analiza ekspertów wykazała, że atakujący pracowali od poniedziałku do soboty w godzinach 9:00-22:00.

Czytaj też

Szpiedzy i złodzieje

Lazarus to jedna z popularnych grup w środowisku hakerskim, która została przypisana Korei Północnej. Jej działalność wspiera realizację interesów Pjongjangu. Wystarczy wspomnieć zarówno o cyberszpiegostwie, jak i kradzieży środków finansowych.

Przykładem pierwszego rodzaju operacji – poza omówionym wyżej przypadkiem – mogą być wymierzone w kontrahentów zbrojeniowych na całym świecie.

Jak informowaliśmy, celem były podmioty z Polski, Ukrainy, Francji, Włoch, Hiszpanii, NIemiec, Czech, a także Turcji, Kataru i Brazylii. Działania hakerów bazowały na fałszywych kampaniach rekrutacyjnych, prowadzonych na znanych serwisach i w aplikacjach, w tym np. LinkedIn i WhatsApp. 

Odnosząc się do kradzieży aktywów, można przytoczyć kradzież kryptowalut o łącznej wartości 100 mln dol. z Harmony Horizon. Atrybucji incydentu dokonało FBI.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]

Komentarze

    Czytaj także