Lazaruse grupp tõuseb taas, et koguda teavet energia- ja tervishoiuettevõtete kohta

Julgeolekuteadlased teatasid 2. veebruaril, et nad on avastanud Põhja-Korea Lazarus Groupi küberrünnakukampaania, mis on suunatud spionaaži eesmärgil meditsiiniuuringutele ja energiaorganisatsioonidele. 

Omistamise tegid WithSecure'i ohuluure analüütikud, kes avastasid kampaania, kui korraldasid intsidendi kliendi vastu, keda kahtlustas lunavararünnak. Täiendav uurimine ja Lazaruse meeskonna operatiivjulgeoleku (OpSec) kõrvalekaldumine aitas neil avastada tõendeid selle kohta, et see oli tegelikult osa laiemast riiklikult toetatud luureandmete kogumise kampaaniast, mida juhib Põhja-Korea.

"Alguses kahtlustati, et see oli BianLiani lunavararünnaku katse," ütleb WithSecure'i ohuluure vanemteadur Sami Ruohonen. "Meie kogutud tõendid näitasid kiiresti teist suunda. Ja kui me rohkem kogusime, muutusime kindlamaks, et rünnaku korraldas Põhja-Korea valitsusega seotud rühmitus, mistõttu jõudsime lõpuks kindlalt järeldusele, et tegu oli Lazaruse grupiga.

Lunavarast küberspionaažini

Juhtum, mis viis nad selle tegevuseni, sai alguse esialgsest kompromissist ja privileegide eskalatsioonist, mis saavutati augusti lõpus paigata Zimbra meiliserveri teadaolevate turvaaukude ärakasutamisega. Nädala jooksul olid ohutegijad selle serveri postkastidest välja tõmmanud palju gigabaite andmeid. Oktoobriks liikus ründaja külgsuunas üle võrgu ja kasutas elu-off-the-land (LotL) tehnikad tee peal. Novembriks hakkasid ohustatud varad tulema Koobalti streik Käskluse ja juhtimise (C2) infrastruktuur ning selle aja jooksul väljutasid ründajad võrgust peaaegu 100 GB andmeid. 

Uurimisrühm nimetas intsidendi pahalaste kasutatud tagaukses ilmunud veateate tõttu "Ananass puudub", millele oli lisatud kui andmed ületasid segmenteeritud baidi suurust.

Teadlased väidavad, et neil on suur kindlustunne, et tegevus ühtib Lazaruse grupi tegevusega, mis põhineb pahavaral, TTP-del ja paaril avastusel, mis hõlmavad ühte võtmetoimingut andmete väljafiltreerimisel. Nad avastasid ründaja juhitud veebikesta, mis oli lühikest aega ühenduses Põhja-Koreale kuuluva IP-aadressiga. Riigil on vähem kui tuhat sellist aadressi ja alguses mõtlesid teadlased, kas see oli viga, enne kui kinnitasid, et see pole nii.

"Vaatamata OpSeci ebaõnnestumisele näitas näitleja head käsitööd ja suutis siiski hoolikalt valitud lõpp-punktides läbimõeldud toiminguid teha," ütleb WithSecure'i ohuluure juht Tim West.

Kuna teadlased süvenesid juhtumisse, suutsid nad tuvastada ka täiendavaid rünnaku ohvreid, tuginedes ühendusele ühe ohus osalejate kontrollitud C2 serveriga, mis viitab spionaažimotiividele palju laiemale pingutusele, kui algselt kahtlustati. Teiste ohvrite hulgas oli tervishoiuuuringute ettevõte; energia-, teadus-, kaitse- ja tervishoiuvaldkonnas kasutatava tehnoloogia tootja; ja juhtiva teadusülikooli keemiatehnika osakond. 

Teadlaste vaadeldud infrastruktuur on rajatud alates eelmise aasta maist ning enamik täheldatud rikkumistest leidis aset 2022. aasta kolmandas kvartalis. Kampaania viktimoloogia põhjal arvavad analüütikud, et ohutegija oli tahtlikult sihikule võtnud meditsiini tarneahela teadusuuringute ja energeetika vertikaalid.

Lazarus ei jää kunagi pikaks ajaks maha

Lazarus on pikaajaline ohurühmitus, mida laialdaselt arvatakse, et seda juhib Põhja-Korea välisluure ja luurebüroo. Ohuuurijad on seostanud rühmituse tegevust juba 2009. aastal ning sellest ajast alates on rünnakud tekkinud järjekindlalt ning vahepeal on toimunud vaid lühikesi rünnakuid. 

Mõlemad motiivid on rahalised – see on oluline režiimi tulude generaator - ja spiooniga seotud. 2022. aastal ilmus arvukalt teateid Lazaruse edasijõudnud rünnakute kohta, sealhulgas Apple'i M1 kiibi sihtimine, Samuti võltsitud töökuulutuste pettused. Sarnane rünnak mullu aprillis saatis keemiasektori ja IT sihtmärkidele pahatahtlikke faile, mis olid samuti maskeeritud tööpakkumisteks väga atraktiivsetele unistuste töökohtadele.

Samal ajal eelmisel nädalal kinnitas FBI et Lazarus Groupi ohus osalejad vastutasid eelmise aasta juunis 100 miljoni dollari virtuaalse valuuta varguse eest plokiahelatevahelisest kommunikatsioonisüsteemist Harmony nimega Horizon Bridge. FBI uurijad teatavad, et rühmitus kasutas varem jaanuaris Railguni privaatsusprotokolli, et pesta rohkem kui 60 miljoni dollari väärtuses Ethereumi, mis varastati Horizon Bridge'i varguses. Võimud väidavad, et neil õnnestus külmutada "osa nendest vahenditest".

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
• Allikas: https://www.darkreading.com/ics-ot/lazarus-group-rises-again-gather-intelligence-energy-healthcare-firms