Skupině Lazarus stačilo získat kontrolu nad počítačem administrátora a poté přenastavit firewall, aby se mohli dostat do sítě s omezeným provozem.
Analytici společnosti Kaspersky identifikovali novou, dosud neznámou malwarovou kampaň skupiny Lazarus, velmi aktivních kyberzločinců, kteří používají pokročilé trvalé hrozby a přičítá se jim celá řada sofistikovaných útoků. Od začátku roku 2020 se Lazarus zaměřuje na obranný průmysl a využívá k tomu vlastní backdoor zvaný ThreatNeedle. Tato zadní vrátka se důmyslným způsobem dostávají do kritické části síťové infrastruktury a shromažďují citlivé informace. Napadená zařízení přitom ani nemusejí být připojena k internetu.
Lazarus je jednou z nejaktivnějších kyberzločineckých skupin současnosti. Přinejmenším od roku 2009 se podílí na rozsáhlých kampaních v oblasti kybernetické špionáže, šíření ransomwaru a útocích namířených proti obchodování s kryptoměnami. Zatímco v posledních letech se Lazarus zaměřoval především na finanční instituce, zdá se, že začátkem roku 2020 svoje portfolio rozšířil o společnosti a instituce v obranném průmyslu.
Bezpečnostní experti společnosti Kaspersky se o poslední kampani dozvěděli poté, co byli vyzváni, aby pomohli vyřešit bezpečnostní incidenty a zjistili, že se daná organizace stala cílem nového backdooru. Doposud tento backdoor ThreatNeedle napadl organizace více než v tuctu zemích světa.
Do společnosti se infiltruje prostřednictvím phishingu: oběti dostávají e-maily, které obsahují škodlivou přílohu ve Wordu nebo odkaz, který vypadá, že vede na server dané společnosti. E-maily se často tváří jako zprávy s naléhavou informací o pandemii Covid-19 a údajně pocházely od respektovaného zdravotnického centra.
Jakmile oběť otevře škodlivý dokument, malware se stáhne do jejího zařízení a zahájí proces infiltrace společnosti. Backdoor ThreatNeedle použitý v této kampani patří do rodiny malwaru známého jako Manuscrypt, který vyvinula skupina Lazarus a dříve byl zachycen při útocích na kryptoměny. Po instalaci je ThreatNeedle schopen získat plnou kontrolu nad zařízením oběti, což znamená, že může provádět vše od manipulace se soubory až po provádění příkazů zaslaných od vzdáleného řídícího serveru.
Jednou z nejzajímavějších technik v této kampani je schopnost skupiny Lazarus získávat data jak z běžných firemních sítí, tak ze sítí s omezeným provozem (jde například o síť, na kterou jsou napojena kriticky důležitá zařízení a počítače s velmi citlivými daty, a tudíž nejsou zároveň připojena k internetu). Podle přísných pravidel jedné z napadených společností nesmí existovat mezi těmito dvěma typy sítí žádné propojení a nesmějí si navzájem předávat informace. Správci IT, kteří mají na starosti bezproblémový chod všech sítí v dané firmě, se však mohou připojovat k oběma sítím. Skupině Lazarus tak stačilo získat kontrolu nad počítačem administrátora a poté přenastavit firewall, aby se mohli dostat do sítě s omezeným provozem a odtud ukrást citlivá data.
„Lazarus byl asi nejaktivnějším tvůrcem kyberbezpečnostních hrozeb v roce 2020 a nezdá se, že by se na tom mělo v dohledné době cokoli změnit. Už v lednu letošního roku tým pro analýzu bezpečnostních hrozeb společnosti Google oznámil, že odhalil backdoorové útoky skupiny Lazarus na analytiky bezpečnosti. … Lazarus není jen velmi aktivní, ale také hodně sofistikovaný. Nejen že dokázal překonat segmentaci sítě, ale také provedl rozsáhlou analýzu, aby mohl vytvořit velmi dobře personalizované a efektivní phishingové e-maily (tzv. spear phishing) a připravil vlastní nástroje k stahování a ukládání ukradených dat na vzdálený server,“ uvádí společnost Kaspersky.