Visszatért a Lazarus csoport és pusztítóbb, mint valaha: a Kaspersky Lab GReAT (Global Research and Analysis Team – Nemzetközi Kutató és Elemző Csapat) részlegének kutatói nemrég egy AppleJeus nevű kártékony akciót azonosítottak, amelyet a hírhedt Lazarus csoporthoz kötnek. A támadók behatoltak egy ázsiai kriptovaluta váltó hálózatába a Trojanized kriptovaluta kereskedő szoftver segítségével.
Céljuk a kriptovaluták ellopása a gyanútlan felhasználóktól. A Windows-os programok mellett a kutatók azonosítottak egy korábbi változatot, amely a macOS rendszerű gépeket támadta.
Ez az első olyan alkalom, amikor a Kaspersky Lab kutatói olyan rosszindulatú tevékenységet észleltek, amely a Lazarus csoporthoz köthető és macOS felhasználókat céloztak vele. Úgyhogy ez üzenetértékű mindazok számára, akik kriptovalutával kapcsolatos tevékenységeket folytatnak és macOS alapú rendszereken teszik mindezt.
A GReAT elemzése alapján a hálózat feltörése akkor kezdődött, amikor egy ártalmatlan vállalati alkalmazott egy olyan harmadik féltől származó alkalmazást töltött le, amely egy legális kriptovaluta kereskedelemre alkalmas szoftvereket fejlesztő cég valós honlapján volt elérhető.
Az alkalmazás kódja alapvetően nem tartalmaz gyanús elemeket, egyetlen összetevő kivételével, amely egy updater. A legális szoftverekben az ilyen fájlok az adott programok új verzióinak letöltését végzik. Ámde az AppleJeus esetében ez valójában felderítőként működik: először összegyűjt minden információt a számítógépről, amire telepítették, majd ezeket továbbítja a C&C szerverre. Ha a kiberbűnözők úgy ítélik meg, hogy ez egy olyan számítógép, amelyet érdemes feltörni, akkor a kártékony kód a szoftver frissítésével kerül a kiválasztott számítógépre. A rosszindulatú szoftverfrissítés telepíti a Fallchill nevű trójait, amelyet a Lazarus csoport korábban már használt. A Fallchill trójai telepítésével a támadók szinte korlátlan hozzáférést kapnak a megtámadott számítógéphez, amely lehetővé teszi az értékes pénzügyi adatok vagy privát információk ellopását.
A helyzetet tovább súlyosbítja, hogy a bűnözők nemcsak a Windows operációs rendszerre fejlesztették ki a szoftvert, hanem a macOS rendszerre is, hiszen az utóbbi viszonylag ritkábban van kitéve a kibertámadásoknak.
Egy másik szokatlan dolog az AppleJeus támadásban, hogy úgy tűnik, mintha supply-chain támadás lenne, de ez valójában nem lehetséges. Hiszen a legális szoftvernek, amelyet a támadásban felhasználtak, érvényes digitális tanúsítványa van és valós regisztrációs adatai a domainhez. Ugyanakkor a Kaspersky Lab kutatói a nyilvánosan elérhető információk alapján nem tudtak azonosítani egyetlen legitim szervezetet sem, amely a tanúsítványhoz köthető.
Screenshot a gyanús kriptovaluta váltó szoftverről
„A Lazarus-csoport fokozott érdeklődését a kriptovaluta piac iránt már 2017. elején észleltük, amikor egy Monero bányász szoftvert telepítettek egy szerverükre. Azóta többször is támadtak kriptovaluta váltókat, valamint pénzügyi intézményeket. Az a tény, hogy most macOS rendszerre fejlesztettek rosszindulatú programokat, és létrehoztak egy teljesen hamis szoftver céget, valamint szoftvereket azt jelzi, hogy potenciálisan nagy nyereséget remélnek az ilyen rohamoktól, ezért további esetekre is számíthatunk.” – magyarázta Vitaly Kamluk, a Kaspersky Lab GReAT részlegének vezetője.
A Lazarus csoport, amely kifinomult akcióiról, valamint észak-koreai kapcsolatairól ismert, nemcsak kiberkémkedésben és kiberszabotázsban, hanem immár pénzügyi támadásokban is érdekelt. A Kaspersky Lab kutatói és számos más kutató már korábban is észlelt Lazarushoz kapcsolódó olyan támadásokat, amelyeket pénzintézetek ellen indítottak.
Annak érdekében, hogy gondoskodjon vállalata védelméről a Lazarus-csoporthoz hasonló kifinomult támadások ellen a Kaspersky Lab szakértői az alábbiakat javasolják:
· Ne bízzon automatikusan a rendszeren futó kódban. Egy honlap, egy meggyőző cégprofil, vagy egy digitális tanúsítvány sem garantálja azt, hogy nincs backdoor egy letöltött szoftverben.
· Használjon megbízható biztonsági megoldást, amely rendelkezik viselkedésalapú észlelő technológiával.
· Tájékozódjon a várható kibertámadásokról, például a vírusírtó cégek honlapján.
· Használjon többlépcsős hitelesítést, és hardveres pénztárcákat, ha jelentős pénzügyi tranzakciókat folytat. Továbbá, ha megoldható, akkor különítsen el egy számítógépet ezekre a folyamatokra, amelyet nem is használ internet böngészéséhez vagy a levelek olvasásához.