Cybergang Lazarus atakuje. Jego ofiarą padają branża obronna i łańcuch dostaw
Zaawansowane cybergangi nie ustają w swoich działaniach. Badacze z firmy Kaspersky zaobserwowali, że ugrupowanie Lazarus rozwinęło swoje możliwości przeprowadzania ataków nie tylko na branżę obronną, ale również na łańcuch dostaw.
W czerwcu 2021 r. badacze z firmy Kaspersky wykryli ataki na branżę obronną przeprowadzone przez ugrupowanie Lazarus z wykorzystaniem środowiska szkodliwego oprogramowania MATA, którego celem były trzy systemy operacyjne – Windows, Linux oraz macOS.
Atakujący zastosowali swoją typową taktykę, czyli posłużyli się zawierającą "tylne drzwi" aplikacją wykorzystywaną przez ofiary. Co istotne, nie był to pierwszy raz, gdy ugrupowanie to wzięło na celownik branżę obronną: wcześniejsza kampania ThreatNeedle została przeprowadzona w podobny sposób w połowie 2020 r.
Jednak tym razem badacze zauważyli, że cybergang posłużył się tą technologią w celach cyberszpiegowskich.
Co więcej, Lazarus rozwinął również swoje możliwości przeprowadzania ataków na łańcuch dostaw za pomocą uaktualnionego szkodliwego programu BLINDINGCAN zidentyfikowanego przez amerykańską agencję CISA (Cybersecurity and Infrastructure Security Agency). Eksperci wykryli kampanie wymierzone w południowokoreański think-tank oraz producenta rozwiązania do monitorowania zasobów IT.
Nasze odkrycia wskazują na dwie rzeczy: ugrupowanie Lazarus nadal interesuje się branżą obronności oraz próbuje rozszerzyć swoje możliwości o ataki na łańcuch dostaw. Nie jest to jedyny cybergang atakujący w ten sposób. W minionym kwartale podobne ataki zostały przeprowadzone również przez ugrupowania SmudgeX oraz BountyGlad.
Ariel Jungheit
starszy badacz ds. cyberbezpieczeństwa z Globalnego Zespołu ds. Badań i Analiz w firmie Kaspersky.
Lazarus jest jednym z najaktywniejszych cybergangów, działającym od co najmniej 2009 r. Ugrupowanie to stoi za przeprowadzonymi na szeroką skalę kampaniami cyberszpiegowskimi oraz ransomware, jak również za atakami na branżę obronności oraz rynek kryptowaluty. Teraz rozwinęli swoją działalność na kolejną branżę.
Skuteczne ataki na łańcuch dostaw mogą mieć druzgocące skutki dotykające więcej niż jedną organizację – o czym mogliśmy się przekonać w zeszłym roku na przykładzie ataku SolarWinds. Zważywszy na to, że ugrupowania cyberprzestępcze inwestują w możliwości przeprowadzania tego rodzaju ataków, należy zachować czujność oraz skoncentrować wysiłki na tym froncie – spuentował Jungheit.