Badacze z firmy Kaspersky zidentyfikowali nową, nieznaną wcześniej kampanię, za którą stoi Lazarus – niezwykle aktywne, zaawansowane ugrupowanie cyberprzestępcze działające od 2009 r. i powiązane z wieloma wyrafinowanymi atakami. Od początku 2020 r. cybergang atakował przemysł obronny z pomocą szkodliwego narzędzia o nazwie ThreatNeedle, które rozprzestrzenia się w zainfekowanych sieciach, gromadząc poufne informacje.
Lazarus to obecnie jedno z najaktywniejszych ugrupowań cyberprzestępczych. Działając od co najmniej 2009 r., grupa ta przeprowadzała kampanie szpiegowskie na dużą skalę – także w polskim sektorze finansowym, kampanie z wykorzystaniem ransomware, a nawet ataki na rynek kryptowaluty. Chociaż przez ostatnie kilka lat Lazarus koncentrował się na instytucjach finansowych, wygląda na to, że na początku 2020 r. wziął na swój celownik również przemysł obronny.
Badacze z firmy Kaspersky po raz pierwszy wpadli na trop wspomnianej kampanii, gdy pewna organizacja zwróciła się do nich o pomoc w zareagowaniu na incydent. Odkryli wówczas, że padła ona ofiarą szkodliwego programu umożliwiającego pełną zdalną kontrolę nad zainfekowanymi urządzeniami (tzw. backdoor). Szkodnik ten, któremu nadano nazwę ThreatNeedle, rozprzestrzenia się w zainfekowanych sieciach, wydobywając z nich poufne informacje. Do tej pory zaatakowane zostały organizacje w kilkunastu krajach.
Na początkowym etapie infekcji stosowany jest phishing ukierunkowany: potencjalne ofiary otrzymują wiadomości e-mail zawierające szkodliwy załącznik pod postacią pliku Worda lub odsyłacz do dokumentu przechowywanego w chmurze. Często wiadomości te zawierają rzekomo pilne aktualizacje związane z pandemią, a atakującym zdarza się podszywać pod uznane centrum medyczne.
ThreatNeedle należy do rodziny szkodników o nazwie Manuscrypt, której właścicielem jest ugrupowanie Lazarus i która wcześniej atakowała firmy związane z kryptowalutą. Po zainstalowaniu się na urządzeniu ofiary ThreatNeedle potrafi przejąć nad nim całkowitą kontrolę, co oznacza, że może zrobić tam wszystko: od manipulowania plikami po wykonywanie otrzymanych poleceń.
Jedna z najbardziej interesujących technik w tej kampanii dotyczyła możliwości kradzieży danych zarówno z sieci biurowej (zawierającej komputery z dostępem do internetu), jak i z maszyn odizolowanych od internetu, zawierających zasoby krytyczne. Zgodnie z zasadami stosowanymi w wielu firmach, między tymi dwiema sieciami nie mogą być przesyłane żadne dane. Mogą jednak łączyć się z nimi administratorzy w celu utrzymania systemów. Lazarus zdołał przejąć kontrolę nad stancjami roboczymi administratorów, a następnie skonfigurować „szkodliwą” bramę, aby atakować odizolowaną sieć, a następnie kraść i wydobywać z niej poufne dane.
Lazarus stanowił prawdopodobnie najaktywniejsze ugrupowanie cyberprzestępcze w 2020 r. i nic nie wskazuje na to, że w najbliższej przyszłości się to zmieni. Co więcej, już w styczniu tego roku zespół ds. analizy zagrożeń firmy Google informował, że Lazarus wykorzystuje szkodliwy program ThreatNeedle w atakach na badaczy bezpieczeństwa. Spodziewamy się, że w przyszłości usłyszymy o tym backdoorze jeszcze więcej, i z pewnością będziemy go obserwować – tłumaczy Seongsu Park, starszy badacz ds. cyberbezpieczeństwa z Globalnego Zespołu ds. Badań i Analiz (GReAT) w firmie Kaspersky. Lazarus jest nie tylko niezwykle „płodny”, ale również niezwykle wyrafinowany. Ugrupowanie to zdołało obejść segmentację sieci i włożyło mnóstwo wysiłku w stworzenie wysoce spersonalizowanych i skutecznych wiadomości phishingowych oraz budowę niestandardowych narzędzi pozwalających wydobywać i przenosić na zdalny serwer skradzione informacje. W sytuacji, gdy branże nadal stosują pracę zdalną, a przez to są bardziej narażone na zagrożenia, ważne jest, aby organizacje podjęły dodatkowe środki bezpieczeństwa, aby ochronić się przed tego rodzaju zaawansowanymi atakami.