logo KASPERSKY LAB CZECH REPUBLIC

Skupina Lazarus se nově soustředí na obranný průmysl

Lazarus je jednou z nejaktivnějších kyberzločineckých skupin současnosti, která se již od roku 2009 podílí na rozsáhlých kampaních v oblasti kybernetické špionáže, ransomware útocích, a útocích namířených proti obchodování s kryptoměnami.

Hackeři ze skupiny Lazarus se na IT infrastrukturu firem a institucí z oblasti obranného průmyslu zaměřuji od začátku roku 2020 - využívají k tomu vlastní backdoor zvaný ThreatNeedle.

Tato zadní vrátka se důmyslným způsobem dostávají do kritické části síťové infrasktruktury a shromažďují citlivé informace. Napadená zařízení přitom ani nemusejí být připojena k internetu.

Na začátku je promyšlený phishingový útok

Bezpečnostní experti společnosti Kaspersky se o této kampani dozvěděli poté, co byli vyzváni, aby pomohli vyřešit bezpečnostní incidenty a zjistili, že se daná organizace stala cílem nového backdooru (jde o typ malwaru, který umožňuje vzdáleně zcela ovládat napadené zařízení).

Zadní vrátka ThreatNeedle se skrytě pohybují infikovanými sítěmi a sbírají důvěrné informace. Doposud tento backdoor napadl organizace více než v tuctu zemích světa.

Do společnosti se infilturje prostřednictvím phishingu - oběti dostávají e-maily, které obsahují škodlivou přílohu ve Wordu nebo odkaz, který vypadá, že vede na server dané společnosti.

E-maily se často tváří jako zprávy s naléhavou informací o pandemii Covid-19 a údajně pocházely od respektovaného zdravotnického centra.

Jakmile oběť otevře škodlivý dokument, malware se stáhne do jejího zařízení a zahájí proces infiltrace společnosti.

Backdoor ThreatNeedle použitý v této kampani patří do rodiny malwaru známého jako Manuscrypt, který vyvinula skupina Lazarus a dříve byl zachycen při útocích na kryptoměny.

Po instalaci je ThreatNeedle schopen získat naprostou kontrolu nad zařízením oběti, což znamená, že může provádět vše od manipulace se soubory až po provádění příkazů zaslaných od vzdáleného řídícího serveru.

Malware se dostane i do odpojených sítí

Jednou z nejzajímavějších technik v této kampani je schopnost skupiny Lazarus získávat data jak z firemních IT sítí (tedy sítí, na kterých jsou připojeny firemní počítače s přístupem k internetu), tak ze sítí s omezeným provozem (jde například o síť, na kterou jsou napojena kriticky důležitá zařízení a počítače s velmi citlivými daty, a tudíž nejsou zároveň připojena k internetu).

Podle přísných pravidel jedné z napadených společností nesmí existovat mezi těmito dvěma typy sítí žádné propojení a nesmějí si navzájem předávat informace.

Správci IT, kteří mají na starosti bezproblémový chod všech sítí v dané firmě, se však mohou připojovat k oběma sítím.

Skupině Lazarus tak stačilo získat kontrolu nad počítačem administrátora a poté přenastavit firewall, aby se mohla dostat do sítě s omezeným provozem a odtud ukrást citlivá data.

Lazarus není jen velmi aktivní, ale také hodně sofistikovaný. Nejen že dokázal překonat segmentaci sítě, ale také provedl rozsáhlou analýzu, aby mohl vytvořit velmi dobře personalizované a efektivní phishingové e-maily (tzv. spear phishing) a připravil vlastní nástroje k stahování a ukládání ukradených dat na vzdálený server.

Protože se různé organizace nejen v obranném průmyslu stále více zabývají možností práce na dálku, a jsou tím pádem i zranitelnější, je důležité, aby přijaly zásadnější bezpečnostní opatření na ochranu před těmito typy pokročilých útoků.

Bezpečnostní experti společnosti Kaspersky připravili několik doporučení, jak se ochránit před útoky podobnými backdooru ThreatNeedle.

Kaspersky doporučuje:

Článek KASPERSKY LAB CZECH REPUBLIC ze dne 1. března 2021 - pondělí

Další články od KASPERSKY LAB CZECH REPUBLIC

Počet uživatelů ochotných zaplatit výkupné za obnovu dat roste

Únik osobních dat z účtů na Facebooku

Jak předcházet doxing útokům na firmu

Jak bezpečně používat webovou kameru

Roste počet útoků na protokoly pro vzdálený přístup

Kyborgové v Evropě - chceme to?

Váš Google Chrome naléhavě vyžaduje aktualizaci

Jak chránit Microsoft Exchange Server před zero-day útoky

Ransomware Quoter ohrožuje na dopravní firmy a finanční instituce

Kybernetické útoky na Magistrát hl. m. Prahy a MPSV

Pozor na vakcíny proti COVID-19 z Darknetu

Vývoj stalkerwaru v pandemickém roce 2020

Skupina Lazarus se nově soustředí na obranný průmysl

Jak na řízení týmů zaměřených na kyberbezpečnost

Pozor na falešné aplikace v souvislosti s Clubhouse

Těžba kryptoměn stojí za poklesem DDoS útoků

Projekt DeStalk vyhlašuje boj stalkerwaru

Jen mazat data z vyřazovaných zařízení nestačí

Zachránce a investor - dva hlavní modely napadení bankovního účtu

Počet útoků na výukové platformy pro distanční online vzdělávání roste

Osobní data a jejich ochrana v roce 2021

Outsourcing IT systémů a prostředků kybernetického zabezpečení

Virtuální platformy pomáhají lidem na cestě z osamění

Jak zlepšit zaměstnancům podmínky práce na dálku

Bezpečnostní pravidla pro ochranu nemocnic před útoky ransomware

Spojitosti o malwaru Kazuar a původu backdooru Sunburst

Falešná mobilní verze hry Cyberpunk 2077 šíří ransomware

Dekodér pro pomoc obětem backdooru Sunburst

Michal Lukáš - nový Head of Presales pro střední a východní Evropu

Jak minimalizovat riziko krádeže osobních dat

Finanční kriminalita na internetu v roce 2021

Jaká bude bezpečnost v kyberprostoru roku 2021?

Web skimming - nová technika hackerů zneužívá Google Analytics

B2B řešení ochrany koncových zařízení pro zdravotnické organizace zdarma

Proč je dobré řešit bezpečnostní pravidla ochrany dat v dodavatelském řetězci

Antidrone ochrání vaše soukromí před dotěrnými civilními drony

Sdílené úložiště OneDrive s ochranou Kaspersky Security for Microsoft Office 365

Jak na základní uživatelské úkony v IT oblasti

Jak řeší starší ročníky uživatelů problémy v IT

Ochrana pro dvě mobilní zařízení zdarma ke každé licenci Kaspersky Endpoint Security Cloud

Miroslav Kořen řídí aktivity Kaspersky Lab ve východní Evropě