„Kaspersky Lab“ pasaulinės tyrimų ir analizės grupės (GReAT) ekspertai atrado „AppleJeus“ – naują piktavališką operaciją, kurią vykdo liūdnai pagarsėjusi „Lazarus“ grupė. Nusikaltėliai įsiskverbė į Azijos kriptovaliutos tinklą naudodami „Trojan“ virusu užkrėstą kriptovaliutos prekybai skirtą programinę įrangą. Užpuolimų tikslas buvo vienas – iš pasirinktų aukų pavogti kriptovaliutą. Be kenkėjiškos programos, skirtos „Windows“ operacinei sistemai, tyrėjai aptiko anksčiau dar nežinomą versiją, kuri skirta „macOS“ platformai.
Tai pirmasis atvejis, kai „Kaspersky Lab“ tyrėjai pastebėjo, kad „Lazarus“ grupė platina kenkėjišką programą, kuri skirta „macOS“ vartotojams, o tai reiškia, kad visi asmenys, kurie naudoja šią operacinę sistemą su kryptovaliuta susijusiai veiklai, turėtų sunerimti.
Remiantis „GReAT“ ekspertų analize, brovimasis į biržos infrastruktūrą prasidėjo, kai nieko neįtariantis įmonės darbuotojas atsiuntė trečiosios šalies programinę įrangą iš teisėtai atrodančio tinklalapio, kuris platina kriptovaliutos prekybai skirtą programinę įrangą.
Pats programos kodas nėra įtartinas, išskyrus vieną komponentą – atnaujinimą. Teisėtose programose tokie komponentai yra naudojami naujoms programų versijoms atsisiųsti. „AppleJeus“ atveju jis veikia kaip žvalgybos modulis: pirmiausia jis renka pagrindinę informaciją apie kompiuterį, kuriame buvo įdiegtas, vėliau ši informacija siunčiama atgal į komandų ir valdymo serverį ir, jei užpuolikai nusprendžia, kad kompiuterį verta atakuoti, tada kenksmingas kodas atsiunčiamas kaip programinės įrangos atnaujinimas. Piktybinis atnaujinimas įdiegia „Trojan“ tipo „Fallchill“ virusą - seną įrankį, kurį „Lazarus“ grupė pradėjo ir vėl naudoti. Įdiegus „Fallchill Trojan“, užpuolikams suteikiama beveik neribota prieiga prie aukos kompiuterio, o taip jie gali pavogti vertingą finansinę informaciją arba panaudoti kitas papildomas priemones šiam tikslui pasiekti.
Padėtis pasidarė itin rimta, kai nusikaltėliai sukūrė programinę įrangą ne tik „Windows“, bet „macOS“ operacinei sistemai. Pastaroji paprastai yra daug mažiau paveikiama kibernetinių grėsmių nei „Windows“ operacinė sistema. Kenkėjiška programa abiejose platformose veikia visiškai vienodai.
Kitas neįprastas dalykas, susijęs su „AppleJeus“ operacija, yra tai, kad nors tai atrodo kaip tiekimo grandinės ataka, iš tikrųjų realybė šiek tiek kitokia. Kriptovaliutos prekybai skirtos programos pardavėjas, per kurį buvo platinamas virusas, turi galiojantį skaitmenį sertifikatą ir yra užregistravęs iš pažiūros teisėtai atrodantį domeną. Tačiau, bent jau remiantis viešai prieinama informacija, „Kaspersky Lab“ tyrėjai pagal sertifikato informacijoje nurodytą adresą negalėjo nustatyti jokios teisėtos organizacijos.
„Mes pastebėjome didėjantį „Lazarus“ grupės susidomėjimą kriptovaliutos rinka dar 2017 m. pradžioje, kai „Lazarus“ operatorius viename iš savo serverių įdiegė „Monero“ programinę įrangą. Nuo to laiko jie buvo pastebėti keletą kartų. Atakuodavo kriptovaliutos rinkas bei įprastas finansines organizacijas. Tai, jog ši grupė sukūrė kenkėjišką programinę įrangą, kad be „Windows“ naudotojų galėtų užkrėsti ir „macOS“ naudotojus ir, greičiausiai, įsteigė suklastotą programinės įrangos kompaniją bei programinės įrangos produktą, kad galėtų platinti kenkėjišką programą, kurios nepastebėtų saugumo sprendimai, reiškia, kad jie potencialiai iš šios operacijos tikisi didelio pelno, o mes turėtume tikėtis, kad tokie atvejai artimiausioje ateityje tik dažnės. „MacOS“ naudotojams šis atvejis yra lyg „pabudimas“, ypač jei jie naudoja savo „Mac“ kompiuterius, kad atliktų operacijas, susijusias su kriptovaliuta“, – sakė Vitaly Kamluk, „Kaspersky Lab“ „GReAT“ APAC komandos vadovas.
„Lazarus“ grupė, žinoma dėl savo sudėtingų operacijų ir ryšių su Šiaurės Korėja, yra pagarsėjusi ne tik dėl kibernetinio šnipinėjimo ar kibernetinių atakų, bet ir dėl finansinių išpuolių. Daugelis tyrėjų, taip pat „Kaspersky Lab“, anksčiau jau pranešė apie šios grupės atakas, nukreiptas į bankus ir kitas dideles finansų įmones.
„Kaspersky Lab“ saugumo ekspertai, asmenims norintiems apsaugoti save ir savo įmonę nuo sudėtingų kibernetinių išpuolių iš tokių grupių kaip „Lazarus“, pataria:
- Negalima aklai pasitikėti jūsų sistemoje veikiančiu kodu. Nei autentiška atrodanti svetainė, nei solidus įmonės profilis, nei skaitmeniniai sertifikatai neužtikrina, kad nebūsite apgauti.
- Naudokite tvirtą saugumo sprendimą, kuris turi piktavališko elgesio aptikimo technologijas bei sugeba aptikti netgi anksčiau nežinomas grėsmes.
- Savo organizacijos saugumo komandai užprenumeruokite aukštos kokybės grėsmių žvalgybos paslaugas, kad galėtumėte greitai gauti informaciją apie naujausias sudėtingų grėsmių veikėjų taktikas, metodus ir procedūrų pokyčius.
Paieška archyve
