Polityka i prawo

Eksperci zbadają serwer północnokoreańskich hakerów

Fot. Marco Verch/flickr
Fot. Marco Verch/flickr

Jak poinformował serwis Tech Crunch, specjaliści McAfee z zakresu cyberbezpieczeństwa zbadają serwer wykorzystywany przez północnokoreańskich hakerów powiązanych z Grupą Lazarus, który  otrzymali od członków amerykańskiej administracji. 

Serwer był wcześniej używany do rozpowszechniania złośliwego oprogramowania, które miało atakować cele takie, jak m.in. administracja rządowa, firmy z branży telekomunikacyjnej i podwykonawcy sektora zbrojeniowego. Działał on w ramach kampanii hakerskiej znanej jako Operation Sharpshooter, którą wykryto w grudniu ubiegłego roku. Cyberprzestępcy wysyłali swoim ofiarom e-mail zawierający złośliwy dokument tekstowy programu Word, który po otwarciu uruchamiał makrokod pobierający wirusa o nazwie Rising Sun, z użyciem którego hakerzy mogli wykradać dane z zaatakowanego komputera.

Tech Crunch podkreśla, że decyzja o przekazaniu badaczom należącego wcześniej do Grupy Lazarus serwera wynika z chęci lepszego zbadania i zrozumienia zagrożeń, jakie stanowią działania hakerskie sponsorowane przez obce państwa. Tego rodzaju cyberataki w 2016 roku posłużyły do ataku na firmę Sony, a rok później - z użyciem wirusa WannaCry - do sparaliżowania milionów komputerów na całym świecie.

Firma McAfee ocenia, że Operation Sharpshooter rozpoczęła swoje działanie we wrześniu 2017 roku, czyli dużo wcześniej, niż nastąpiło jej wykrycie. Zdaniem specjalistów celem hakerów było również więcej podmiotów i państw, niż zakładano - do ich grona należy zaliczyć m.in. instytucje finansowe oraz podmioty infrastruktury krytycznej z USA, Wielkiej Brytanii i krajów Unii Europejskiej. Oprogramowanie serwera było napisane w językach PHP i ASP, które są powszechnie wykorzystywane do budowy stron internetowych i aplikacji webowych - twierdzą eksperci. Ich zdaniem to właśnie dzięki takiej architekturze złośliwe oprogramowanie mogło być rozpowszechniane przez hakerów z dużą skutecznością.

Sam wirus Rising Sun w opinii badaczy zawiera w sobie komponenty, które powstawały w różnych latach. Dzięki analizie wstecznej wykryto fragmenty kodu, które można datować na 2016 rok. Jak podkreśla McAfee, wskazuje to na metodyczne podejście cyberprzestępców do rozwoju ich narzędzi i posługiwanie się spójną metodologią projektową. Badacze wykazali również, że wirus ten wywodzi się w prostej linii od innego robaka internetowego o nazwie Duuzer, który służył już w 2015 roku do ataków na komputery w Korei Południowej.

Według serwisu Tech Crunch obecne badania prowadzone przez zespół McAfee to kamień milowy w rozumieniu zachowań podmiotów odpowiedzialnych za takie kampanie hakerskie, jak Operation Sharpshooter. Atrybucja (przypisywanie sprawstwa) cyberataków jest wciąż bardzo trudnym zadaniem, a fakt, że specjaliści i przedstawiciele administracji publicznej są w stanie przypisać pochodzenie złośliwego oprogramowania do konkretnych grup hakerskich, daje nadzieje na lepsze rozpoznanie podobnych działań w przyszłości.

SZP/PAP

Komentarze

    Czytaj także