Slovenská antivírusová firma Eset informovala o svojich zisteniach spojených so severokórejskou skupinou Lazarus, ktorú financuje a riadi priamo komunistická vláda diktátora Kim Čong-una.

Tá si za cieľ vybrala dodávateľov obranných spoločností v období medzi koncom roka 2021 a marcom 2022. Išlo o firmy firmy v Európe (Francúzsko, Taliansko, Nemecko, Holandsko, Poľsko a Ukrajina) a v Latinskej Amerike (Brazília).

Hoci primárny účel kampane bola kybernetická špionáž, skupina Lazarus sa tiež neúspešne pokúsila o vylákanie peňazí od majiteľov napadnutých počítačov. „Skupina Lazarus preukázala vynaliezavosť, keď nasadila vskutku zaujímavé nástroje. Príkladom jekomponent, ktorý dokáže zneužiť zraniteľnosť v ovládači od Dellu a vďaka nej zapisovať do pamäte, ktorá je normálne prístupná len pre jadro operačného systému. Tento pokročilý trik bol použitý pri pokuse o obídenie bezpečnostného riešenia,“ vysvetľuje Jean-Ian Boutin, riaditeľ výskumu hrozieb spoločnosti Eset.

Ako sme nedávno informovali, Kim Čong-un a jeho hackeri z KĽDR sú aj za jednou z najväčších krádeží kryptomien v histórii, kedy podľa Ministerstva financií USA zmizlo 540 miliónov dolárov zo siete Ronin. Ůtok bol dielom práve spomínanej skupiny Lazarus.

Všetko začalo v roku 2020 – na LinkedIne

Už v roku 2020 výskumníci spoločnosti ESET zdokumentovali operáciu s názvom In(ter)ception) vykonanú podskupinou Lazarus, ktorá bola namierená proti európskym dodávateľom leteckých a obranných spoločností.

Útok však nezahŕňal len hrabanie sa v zdrojových kódoch a bežnému smrteľníkovi nič nehovoriacich súčastí najznámejších softvérov. Severokórejskí hackeri využili aj LinkedIn – tam sa snažili vybudovať dôveru medzi útočníkmi a nič netušiacimi zamestnancami týchto firiem.

Tým potom poslali popisy „zaujímavých“ pracovných pozícii či prihlášky, v ktorých však bol škodlivý obsah napádajúci ich počítače. Už vtedy sa útočníci zamerali na firmy v Brazílii, Českej republike, Katare, Turecku a na Ukrajine.

Následne sa útoky rozšírili aj mimo EÚ, no princíp zostal rovnaký. Zatiaľ čo malvér použitý v rozličných kampaniach bol rozdielny, falošný náborový pracovník vždy kontaktoval zamestnanca na LinkedIne, aby mu následne zaslal škodlivý dokument.

Falošná náborová kampaň – zdroj: ESET

ESET odhalil. že podvodníci kopírovali prvky legitímnych náborových kampaní, aby ich falošné kampane pôsobili dôveryhodnejšie. Okrem toho použili útočníci na šírenie škodlivého obsahu aj služby ako WhatsApp či Slack.