Grupul Lazarus revine cu o nouă campanie de spionaj în industria de apărare (Kaspersky)

 

Conform cercetătorilor, de la începutul anului 2020, industria de apărare a fost vizată de un atac de tip backdoor personalizat, numit ThreatNeedle, un backdoor care se deplasează lateral prin reţelele infectate colectând informaţii importante.

 

"Lazarus este unul dintre cei mai prolifici actori de ameninţare de astăzi. Activ cel puţin din 2009, Lazarus a fost implicat în campanii de ciberspionaj pe scară largă, campanii de ransomware şi chiar atacuri împotriva pieţei criptomonedelor. În timp ce în ultimii ani s-au concentrat asupra instituţiilor financiare, la începutul anului 2020, se pare că au adăugat industria de apărare la "portofoliul" lor", susţin experţii,

 

Potrivit sursei citate, primele indicii referitoare la această campanie au apărut pentru prima dată când specialiştii Kaspersky au fost contactaţi de o companie victimă ca să reacţioneze la atac şi au descoperit că organizaţia în cauză suferise un atac de tip backdoor personalizat (un tip de malware care permite controlul complet, de la distanţă, asupra dispozitivului).

 

Până în prezent, organizaţii din peste 12 ţări au fost afectate, notează compania de securitate cibernetică.

 

"Infecţia iniţială avea loc prin spear phishing; ţintele primeau e-mailuri care conţineau fie un ataşament Word rău intenţionat, fie un link ce face legătura cu serverele companiei. De multe ori, e-mailurile susţineau că sunt necesare actualizări urgente legate de pandemia globală şi pretindeau că provin de la un centru medical respectat. Odată ce documentul rău intenţionat era deschis, malware-ul era accesat şi trecea la următoarea etapă a procesului de implementare. Programul malware ThreatNeedle utilizat în această campanie aparţine unei familii de malware cunoscută sub numele de Manuscrypt, care aparţine grupului Lazarus şi a fost descoperită anterior atacând afacerile cu criptomonede. Odată instalat, ThreatNeedle este capabil să obţină controlul complet al dispozitivului victimei, ceea ce înseamnă că poate face orice, de la manipularea fişierelor până la executarea comenzilor primite", au explicat specialiştii.

 

Raportul acestora relevă faptul că una dintre cele mai interesante tehnici din această campanie a fost capacitatea grupului de a fura date atât din reţelele IT de birou (o reţea care conţine computere cu acces la internet), cât şi din reţeaua restricţionată a unei centrale (una care conţine active critice şi computere cu date foarte sensibile, fără acces la internet). #Conform politicilor companiei, între aceste două reţele nu se transferau informaţii. Cu toate acestea, administratorii se puteau conecta la ambele reţele pentru a le întreţine. Lazarus a reuşit să obţină controlul staţiilor de lucru ale administratorilor şi apoi a creat un gateway rău intenţionat pentru a ataca reţeaua restricţionată şi pentru a fura şi extrage date confidenţiale de acolo", susţin reprezentanţii companiei.

 

Kaspersky Industrial Control Systems Cyber Emergency Response Team (Kaspersky ICS CERT) este un proiect global lansat de Kaspersky în 2016 pentru a coordona eforturile vânzătorilor de sisteme de automatizare, ale proprietarilor şi operatorilor de instalaţii industriale şi ale cercetătorilor în domeniul securităţii IT pentru a proteja organizaţiile industriale de atacurile cibernetice.