Grupa Lazarus znów aktywna – celem branża medyczna i energetyczna

Badacze z firmy WithSecure (dawiej F-Secure Business) wykryli nową kampanię wywiadowczą, za którą stoi północnokoreańska grupa Lazarus. Ataki wymierzone są w organizacje zajmujące się badaniami medycznymi i z branży energetycznej. Ich celem jest kradzież poufnych informacji.

Więcej niż „zwykły” atak ransomware

Eksperci zidentyfikowali najnowszą kampanię grupy Lazarus po wykryciu incydentu ransomware w jednej z organizacji chronionych przez platformę WithSecure Elements. Podczas analizy podejrzanych aktywności znaleziono dowody wskazujące, iż atak był częścią większej kampanii wywiadowczej, a nie tylko pojedynczym incydentem.

– Początkowo podejrzewano, że jest to próba ataku z pomocą oprogramowania ransomware BianLian, jednak zebrane przez nas dowody szybko wskazały inny kierunek. Dokonując dalszej analizy incydentu, nabraliśmy pewności, że atak został przeprowadzony przez grupę powiązaną z rządem Korei Północnej, co ostatecznie doprowadziło nas do o wniosku, że była to grupa Lazarus – wskazuje Sami Ruohonen, Senior Threat Intelligence Researcher w WithSecure

Północnokoreańska grupa APT

Grupy APT (ang. Advanced Persistent Threat) to zorganizowane zespoły hakerskie, które dysponują ogromnymi zasobami finansowymi. Zazwyczaj są bezpośrednio powiązane z rządami poszczególnych krajów. Grupa Lazarus jest powszechnie uważana za część północnokoreańskiego Biura Wywiadu Zagranicznego i Rozpoznania. Badacze WithSecure powiązali ją z analizowanymi incydentami na podstawie wykorzystanych taktyk, technik i procedur. Były one stosowane wcześniej zarówno w działalności tej grupy, jak i innych cyberprzestępców powiązanych z Koreą Północną.

Cenne informacje i nowe sposoby działania

Celem nowej kampanii grupy Lazarus były organizacje badawcze z sektora publicznego i prywatnego. Ataki wymierzone zostały w firmy oraz instytucje medyczne i energetyczne, m.in. w ich łańcuchy dostaw. Celem kampanii była najprawdopodobniej chęć uzyskania danych wywiadowczych.

W porównaniu z wcześniejszymi atakami grupy Lazarus badacze WithSecure znaleźli istotne różnice:

  • Wykorzystanie nowej infrastruktury – poleganie na adresach IP bez nazw domen;
  • Zmodyfikowana wersja złośliwego oprogramowania do kradzieży informacji Dtrack, używanego już wcześniej przez grupę Lazarus i Kimsuky (również związaną z Koreą Północną);
  • Nowa wersja złośliwego oprogramowania GREASE, które pozwala atakującym na tworzenie kont administratorów z uprawnieniami protokołu zdalnego pulpitu, który omija zapory sieciowe.

Wykrycie kampanii było możliwe za sprawą błędu popełnionego prawdopodobnie przez członka grupy Lazarus. Jednak Tim West, Head of Threat Intelligence w WithSecure podkreśla, że osoby odpowiedzialne za bezpieczeństwo powinny być czujne: – Pomimo niepowodzenia operacji przestępcy zastosowali dobrą strategię. Ich działania były przemyślane, skierowane na starannie wybrane punkty końcowe. Nawet dysponując zaawansowaną ochroną, organizacje muszą ciągle sprawdzać, jak reagują na alerty. Konieczna jest integracja informacji o zagrożeniach z regularną analizą potencjalnych źródeł ataku. Tylko takie podejście może zapewnić ochronę przed zaawansowanymi grupami hakerskimi.