Slovenská antivírusová firma Eset informovala o svojich zisteniach spojených so severokórejskou skupinou Lazarus, ktorú financuje a riadi priamo komunistická vláda diktátora Kim Čong-una.

Tá si za cieľ vybrala dodávateľov obranných spoločností v období medzi koncom roka 2021 a marcom 2022. Išlo o firmy firmy v Európe (Francúzsko, Taliansko, Nemecko, Holandsko, Poľsko a Ukrajina) a v Latinskej Amerike (Brazília).

Hoci primárny účel kampane bola kybernetická špionáž, skupina Lazarus sa tiež neúspešne pokúsila o vylákanie peňazí od majiteľov napadnutých počítačov. „Skupina Lazarus preukázala vynaliezavosť, keď nasadila vskutku zaujímavé nástroje. Príkladom jekomponent, ktorý dokáže zneužiť zraniteľnosť v ovládači od Dellu a vďaka nej zapisovať do pamäte, ktorá je normálne prístupná len pre jadro operačného systému. Tento pokročilý trik bol použitý pri pokuse o obídenie bezpečnostného riešenia,“ vysvetľuje Jean-Ian Boutin, riaditeľ výskumu hrozieb spoločnosti Eset.

Ako sme nedávno informovali, Kim Čong-un a jeho hackeri z KĽDR sú aj za jednou z najväčších krádeží kryptomien v histórii, kedy podľa Ministerstva financií USA zmizlo 540 miliónov dolárov zo siete Ronin. Ůtok bol dielom práve spomínanej skupiny Lazarus.

Všetko začalo v roku 2020 – na LinkedIne

Už v roku 2020 výskumníci spoločnosti ESET zdokumentovali operáciu s názvom In(ter)ception) vykonanú podskupinou Lazarus, ktorá bola namierená proti európskym dodávateľom leteckých a obranných spoločností.

Útok však nezahŕňal len hrabanie sa v zdrojových kódoch a bežnému smrteľníkovi nič nehovoriacich súčastí najznámejších softvérov. Severokórejskí hackeri využili aj LinkedIn – tam sa snažili vybudovať dôveru medzi útočníkmi a nič netušiacimi zamestnancami týchto firiem.

Tým potom poslali popisy „zaujímavých“ pracovných pozícii či prihlášky, v ktorých však bol škodlivý obsah napádajúci ich počítače. Už vtedy sa útočníci zamerali na firmy v Brazílii, Českej republike, Katare, Turecku a na Ukrajine.

Následne sa útoky rozšírili aj mimo EÚ, no princíp zostal rovnaký. Zatiaľ čo malvér použitý v rozličných kampaniach bol rozdielny, falošný náborový pracovník vždy kontaktoval zamestnanca na LinkedIne, aby mu následne zaslal škodlivý dokument.

Falošná náborová kampaň – zdroj: ESET

ESET odhalil. že podvodníci kopírovali prvky legitímnych náborových kampaní, aby ich falošné kampane pôsobili dôveryhodnejšie. Okrem toho použili útočníci na šírenie škodlivého obsahu aj služby ako WhatsApp či Slack.

Pošli nám TIP na článok



Teraz čítajú