Peter Kálnai

Analytik společnosti ESET

V případě operace DreamJob je poznávacím prvkem využité metody sociálního inženýrství lukrativní, ale falešná pracovní nabídka doplněná škodlivým kódem. Oběť obvykle obdrží podvodný dokument s popisem pracovní pozice a trojanizovanou čtečku PDF souborů pro jeho otevření.

S vysokou mírou jistoty připisujeme tyto aktivity APT skupině Lazarus, zejména kvůli jejím kampaním známým jako operace DreamJob a také proto, že napadené sektory v Evropě - letectví, obrana či strojírenství - odpovídají cílům v předchozích případech této operace.

Na základě našich analýz je pravděpodobné, že operace DreamJob se přinejmenším částečně zaměřovala na krádež výrobního tajemství a know-how týkajícího se technologie bezpilotních leteckých prostředků. Zmínka o dronech, kterou jsme zaznamenali v jednom zachyceném škodlivém kódu, tuto hypotézu významně potvrzuje.

Našli jsme důkazy, že jedna z napadených společností se podílí na výrobě nejméně dvou modelů dronů, které jsou v současnosti nasazeny na Ukrajině a s nimiž se severokorejští vojáci mohli setkat na frontě.

Tato společnost je také součástí dodavatelského řetězce pro pokročilé drony s jedním rotorem. Jedná se o typ letounu, který Pchjongjang aktivně vyvíjí.

Skupina Lazarus, která je dlouhodobě spojována s Korejskou lidově demokratickou republikou, prokázala vynalézavost při nasazování některých skutečně velmi zajímavých nástrojů.

Jedním z příkladů je komponenta, která může zneužít zranitelnost v ovladači Dell k zápisu do paměti, která je normálně přístupná pouze jádru operačního systému. Tento pokročilý trik byl použit v reálném útoku poprvé, snahou bylo obejít bezpečnostní řešení.