Hackeři ze skupiny Lazarus nově útočí na obranný průmysl
Analytici společnosti Kaspersky identifikovali novou, dosud neznámou škodlivou kampaň skupiny Lazarus, velmi aktivních kyberzločinců, kterým se přičítá celá řada sofistikovaných útoků. Od začátku roku 2020 se zaměřují na obranný průmysl a využívají k tomu vlastní backdoor zvaný ThreatNeedle. Tato zadní vrátka se důmyslným způsobem dostávají do kritické části síťové infrasktruktury a shromažďují citlivé informace. Napadená zařízení přitom ani nemusejí být připojena k internetu.
Bezpečnostní
experti společnosti Kaspersky se o této kampani dozvěděli poté, co byli
vyzváni, aby pomohli vyřešit bezpečnostní incidenty a zjistili, že se daná
organizace stala cílem nového backdooru (jde o typ malwaru, který umožňuje
vzdáleně zcela ovládat napadené zařízení). Zadní vrátka ThreatNeedle se skrytě
pohybují infikovanými sítěmi a sbírají důvěrné informace. Doposud tento
backdoor napadl organizace více než v tuctu zemích světa.
Do společnosti se
infilturje prostřednictvím phishingu: oběti dostávají e-maily, které obsahují
škodlivou přílohu ve Wordu nebo odkaz, který vypadá, že vede na server dané
společnosti. E-maily se často tváří jako zprávy s naléhavou informací o
pandemii Covid-19 a údajně pocházely od respektovaného zdravotnického centra.
Jakmile oběť
otevře škodlivý dokument, malware se stáhne do jejího zařízení a zahájí proces
infiltrace společnosti. Backdoor ThreatNeedle použitý v této kampani patří do
rodiny malwaru známého jako Manuscrypt, který vyvinula skupina Lazarus a dříve
byl zachycen při útocích na kryptoměny. Po instalaci je ThreatNeedle schopen
získat naprostou kontrolu nad zařízením oběti, což znamená, že může provádět
vše od manipulace se soubory až po provádění příkazů zaslaných od vzdáleného
řídícího serveru.
Malware se dostane i do odpojených sítí
Jednou z
nejzajímavějších technik v této kampani je schopnost skupiny Lazarus získávat
data jak z firemních IT sítí (tedy sítí, na kterých jsou připojeny firemní
počítače s přístupem k internetu), tak ze sítí s omezeným provozem (jde
například o síť, na kterou jsou napojena kriticky důležitá zařízení a počítače
s velmi citlivými daty, a tudíž nejsou zároveň připojena k internetu). Podle
přísných pravidel jedné z napadených společností nesmí existovat mezi těmito
dvěma typy sítí žádné propojení a nesmějí si navzájem předávat informace.
Správci IT, kteří mají na starosti bezproblémový chod všech sítí v dané firmě,
se však mohou připojovat k oběma sítím. Skupině Lazarus tak stačilo získat
kontrolu nad počítačem administrátora a poté přenastavit firewall, aby se mohla
dostat do sítě s omezeným provozem a odtud ukrást citlivá data.
Bezpečnostní
experti společnosti Kaspersky připravili několik doporučení, jak se ochránit
před útoky podobnými backdooru ThreatNeedle:
·
Zajistěte svým zaměstnancům základní školení v oblasti
kybernetické bezpečnosti, protože mnoho
cílených útoků začíná phishingem nebo jinými technikami sociálního inženýrství.
·
Pokud má vaše společnost provozní technologii
(OT) nebo kritickou infrastrukturu, ujistěte se, že je oddělena od firemní sítě
nebo že neexistují žádná neoprávněná připojení k této infrastruktuře.
·
Zajistěte, aby si zaměstnanci byli vědomi zásad
kybernetické bezpečnosti a dodržovali je.
·
Zajistěte, aby měl váš SOC tým (Security
Operations Center) k dispozici přístup k aktuálním informacím o známých
hrozbách (Threat Intelligence, TI).
·
Implementujte firemní bezpečnostní řešení, které
dokáže už v rané fázi detekovat pokročilé trvalé hrozby na síťové úrovni.
·
Rovněž se doporučuje použít samostatné
bezpečnostní řešení pro průmyslové uzly a sítě, které umožňuje monitorování,
analýzu a detekci síťového provozu OT.
Zveřejněno: 26. 02. 2021