Výskumníci spoločnosti ESET zdokumentovali útoky na zamestnanca vesmírnej spoločnosti v Holandsku a politického novinára v Belgicku. Obom sa ozvali falošní headhunteri spoločnosti Amazon s lákavou pracovnou ponukou. V skutočnosti však nemali dočinenia s HR špecialistami, ale útočníkmi z neslávne známej skupiny Lazarus.
Lákavá pracovná ponuka
Kybernetická kampaň, ktorú analyzovali výskumníci spoločnosti ESET, sa odohrala na konci roka 2021. Útoky sa začali rozposlaním spear-phishingových e-mailov, v ktorých sa nachádzali škodlivé dokumenty vydávajúce sa za pracovnú ponuku od spoločnosti Amazon. Hlavným cieľom útočníkov bol podľa všetkého zber citlivých informácií. Medzi obeťami bol zamestnanec vesmírnej spoločnosti v Holandsku aj belgický novinár.
Útok sa v oboch prípadoch začal kontaktovaním obetí s pracovnou ponukou. Pracovníka vesmírnej spoločnosti v Holandsku oslovili útočníci prostredníctvom sociálnej siete LinkedIn a belgického novinára zas prostredníctvom e-mailu. Škodlivý kód sa skrýval v prílohe, ktorá sa vydávala za pracovnú ponuku od spoločnosti Amazon. V prípade pracovníka vesmírnej spoločnosti išlo pravdepodobne o ponuku pre vesmírny program spoločnosti Amazon Project Kuiper. Ide o podobnú metódu, ktorú hackeri zo skupiny Lazarus použili aj pri nedávnych operáciách In(ter)ception a DreamJob.
Ide o ukážkový príklad sociálneho inžinierstva
Niekedy nestačí, ani keď má firma nasadené najmodernejšie bezpečnostné riešenia. Útočníci čoraz častejšie siahajú po technikách sociálneho inžinierstva – psychologickej manipulácie, pri ktorej nechtiac odovzdá útočníkom prístup do firemnej siete samotný zamestnanec. Útočníci často zneužívajú dôveru ľudí či nepozornosť. Niekedy si však dajú mimoriadne záležať na tom, aby pôsobili dôveryhodne, pričom odhaliť ich nemusí byť vôbec jednoduché.
Stiahnite si našu Príručku o technikách sociálneho inžinierstva a buďte o krok vpred pred útočníkmi.
Varovanie pre vývojárov bezpečnostných produktov
Otvorením škodlivého dokumentu v prílohe sa do systému dostalo niekoľko škodlivých nástrojov vrátane dropperov, loaderov, plne vybavených HTTP(S) backdoorov a HTTP(S) uploaderov.
Najpozoruhodnejším bol nástroj, ktorý predstavuje prvé zaznamenané zneužitie zraniteľnosti CVE-2021-21551, ktorá postihuje Dell DBUtil drivery. Nástroj získal schopnosť čítať aj zapisovať priamo do pamäte, v ktorej sa nachádza jadro operačného systému a tým v kombinácii so zraniteľnosťou odstavil všetky bezpečnostné riešenia na skompromitovaných zariadeniach. Vývojári bezpečnostných riešení by preto mali posilniť ich sebaobranné schopnosti. Spoločnosť Dell vydala bezpečnostnú aktualizáciu v máji 2021.
Praktiky skupiny Lazarus
Vzhľadom na komplexnosť útokov sa výskumníci spoločnosti ESET nazdávajú, že skupinu Lazarus tvorí veľký tím, ktorý je navyše dobre organizovaný a dôkladne pripravený. Skupinu Lazarus definuje rozmanitosť, počet ale aj výstrednosť jej kampaní.
„Na tomto útoku, tak ako aj mnohých ďalších útokoch pripísaných skupine Lazarus, sme videli, že veľké množstvo nástrojov bolo nasadených na jediné koncové zariadenie v sieti, ktorá ju zaujímala,“ vysvetľuje Peter Kálnai, výskumník spoločnosti ESET, ktorý odhalil kybernetickú kampaň.
Skupina Lazarus, známa tiež ako HIDDEN COBRA, je aktívna najmenej od roku 2009 a má na svedomí niekoľko veľkých útokov na vysokopostavené ciele. Falošné náborové kampane zosnovala koncom minulého roka aj voči dodávateľom obranných a leteckých spoločností po celom svete.
Zatiaľ čo malvéry použité v rozličných kampaniach boli rozdielne, základný princíp útoku bol vždy rovnaký. Falošný náborový pracovník kontaktoval zamestnanca na LinkedIne, aby mu následne zaslal škodlivý dokument.
Podľa Spojených štátov je za skupinou Lazarus Severná Kórea. V roku 2021 americké ministerstvo spravodlivosti obvinilo troch programátorov v službách severokórejskej armády za kybernetické útoky. Podľa americkej vlády patrili pod hackerskú jednotku severokórejskej armády, v bezpečnostnej komunite známu ako Lazarus Group.
