Hackerii care sperie chiar și cele mai puternice state: cum fură informații din domeniul apărării
Grupul Lazarus e cunoscut în lumea securității cibernetice încă din 2009. Acum, s-a remarcat cu un tip de atac orientat către industria de apărare.
Grupul Lazarus a folosit, încă de la începutul lui 2020, un atac de tip backdoor personalizat, numit ThreatNeedle. Backdoor-ul se deplasează lateral prin rețelele infectate și colectează informații importante. În ultimul deceniu, grupul s-a remarcat atât prin campanii de ransomware, și atacuri pe piața criptomonedelor, cât și prin campanii care vizau instituții financiare.
Specialiști Kaspersky au luat cunoștință de această campanie pentru prima dată când au fost contactați de o companie victimă ca să reacționeze la atac. Au descoperit că organizația în cauză suferise un atac de tip backdoor personalizat (un tip de malware care permite controlul complet, de la distanță, asupra dispozitivului).
Denumit ThreatNeedle, acest backdoor se deplasa lateral prin rețelele infectate și extrăgea informații confidențiale. Până în prezent, organizații din peste 12 țări au fost afectate.
Cum acționează atacatorii de data asta
Infecția inițială avea loc prin spear phishing; țintele primeau mailuri care conțineau fie un atașament Word rău intenționat, fie un link ce face legătura cu serverele companiei. De multe ori, mailurile susțineau că sunt necesare actualizări urgente legate de pandemia globală și pretindeau că provin de la un centru medical respectat. Odată ce documentul rău intenționat era deschis, malware-ul era accesat și trecea la următoarea etapă a procesului de implementare.
Programul malware ThreatNeedle utilizat în această campanie aparține unei familii de malware cunoscută sub numele de Manuscrypt, care aparține grupului Lazarus și a fost descoperită anterior atacând afacerile cu criptomonede. Odată instalat, ThreatNeedle este capabil să obțină controlul complet al dispozitivului victimei, ceea ce înseamnă că poate face orice, de la manipularea fișierelor până la executarea comenzilor primite.
Una dintre cele mai interesante tehnici din această campanie a fost capacitatea grupului de a fura date atât din rețelele IT de birou (o rețea care conține computere cu acces la internet), cât și din rețeaua restricționată a unei centrale (una care conține active critice și computere cu date foarte sensibile, fără acces la internet).
Conform politicilor companiei, între aceste două rețele nu se transferau informații. Cu toate acestea, administratorii se puteau conecta la ambele rețele pentru a le întreține. Lazarus a reușit să obțină controlul stațiilor de lucru ale administratorilor și apoi a creat un gateway rău intenționat pentru a ataca rețeaua restricționată și pentru a fura și extrage date confidențiale de acolo.