Zaawansowane cybergangi nieustannie doskonalą swoje technologie, jednak mogą działać w różnych modelach. Podczas gdy jedne konsekwentnie trzymają się przyjętej strategii, inne stosują nowe techniki, taktyki oraz procedury. W trzecim kwartale bieżącego roku badacze z firmy Kaspersky zaobserwowali, że Lazarus – zaawansowane i niezwykle produktywne ugrupowanie – rozwinęło swoje możliwości przeprowadzania ataków na łańcuch dostaw oraz wykorzystywało swoje wieloplatformowe środowisko MATA do celów cyberszpiegowskich.
Ten i inne światowe trendy dotyczące ataków APT zostały zaprezentowane przez firmę Kaspersky w najnowszym podsumowaniu kwartalnej analizy zagrożeń.
Lazarus jest jednym z najaktywniejszych cybergangów, działającym od co najmniej 2009 r. Ugrupowanie to stoi za przeprowadzonymi na szeroką skalę kampaniami cyberszpiegowskimi oraz ransomware, jak również za atakami na branżę obronności oraz rynek kryptowaluty. Wydaje się, że ugrupowanie to postanowiło wykorzystać swoje zróżnicowane, zaawansowane narzędzia w nowych atakach.
W czerwcu 2021 r. badacze z firmy Kaspersky wykryli ataki na branżę obronną przeprowadzone przez ugrupowanie Lazarus z wykorzystaniem środowiska szkodliwego oprogramowania MATA, którego celem były trzy systemy operacyjne – Windows, Linux oraz macOS. Wcześniej Lazarus stosował platformę MATA do atakowania różnych branż w celu kradzieży baz danych dot. klientów oraz rozprzestrzeniania oprogramowania ransomware. Jednak tym razem badacze zauważyli, że cybergang posłużył się tą technologią w celach cyberszpiegowskich. Atakujący zastosowali swoją typową taktykę, czyli posłużyli się zawierającą „tylne drzwi” aplikacją wykorzystywaną przez ofiary. Co istotne, nie był to pierwszy raz, gdy ugrupowanie to wzięło na celownik branżę obronną: wcześniejsza kampania ThreatNeedle została przeprowadzona w podobny sposób w połowie 2020 r.
Lazarus rozwijał również swoje możliwości przeprowadzania ataków na łańcuch dostaw za pomocą uaktualnionego szkodliwego programu BLINDINGCAN zidentyfikowanego przez amerykańską agencję CISA (Cybersecurity and Infrastructure Security Agency). Badacze z firmy Kaspersky wykryli kampanie wymierzone w południowokoreański think-tank oraz producenta rozwiązania do monitorowania zasobów IT. W pierwszym przypadku Lazarus opracował łańcuch infekcji, który opierał się na legalnym południowokoreańskim oprogramowaniu bezpieczeństwa, które instalowało szkodliwą funkcję. W drugim przypadku cel stanowiła firma z Łotwy rozwijająca technologię do monitorowania zasobów – nietypowa ofiara jak na to ugrupowanie. W ramach łańcucha infekcji Lazarus wykorzystał narzędzie pobierające o nazwie Racket, które zostało podpisane przy użyciu skradzionego certyfikatu cyfrowego. Ugrupowanie złamało zabezpieczenia podatnych na ataki serwerów webowych i umieściło na nich kilka skryptów w celu filtrowania oraz kontrolowania szkodliwych modułów na zainfekowanych urządzeniach.
Nasze odkrycia wskazują na dwie rzeczy: ugrupowanie Lazarus nadal interesuje się branżą obronności oraz próbuje rozszerzyć swoje możliwości o ataki na łańcuch dostaw. Nie jest to jedyny cybergang atakujący w ten sposób. W minionym kwartale podobne ataki zostały przeprowadzone również przez ugrupowania SmudgeX oraz BountyGlad. Skuteczne ataki na łańcuch dostaw mogą mieć druzgocące skutki dotykające więcej niż jedną organizację – o czym mogliśmy się przekonać w zeszłym roku na przykładzie ataku SolarWinds. Zważywszy na to, że ugrupowania cyberprzestępcze inwestują w możliwości przeprowadzania tego rodzaju ataków, należy zachować czujność oraz skoncentrować wysiłki na tym froncie – powiedział Ariel Jungheit, starszy badacz ds. cyberbezpieczeństwa z Globalnego Zespołu ds. Badań i Analiz w firmie Kaspersky.