26. února 2021 – Analytici společnosti Kaspersky identifikovali novou, dosud neznámou škodlivou kampaň skupiny Lazarus, velmi aktivních kyberzločinců, kteří používají pokročilé trvalé hrozby a přičítá se jim celá řada sofistikovaných útoků. Od začátku roku 2020 se Lazarus zaměřuje na obranný průmysl a využívá k tomu vlastní backdoor zvaný ThreatNeedle. Tato zadní vrátka se důmyslným způsobem dostávají do kritické části síťové infrasktruktury a shromažďují citlivé informace. Napadená zařízení přitom ani nemusejí být připojena k internetu.
Lazarus je jednou z nejaktivnějších kyberzločineckých skupin současnosti. Přinejmenším od roku 2009 se podílí na rozsáhlých kampaních v oblasti kybernetické špionáže, ransomware útocích, a dokonce i útocích namířených proti obchodování s kryptoměnami. Zatímco v posledních letech se Lazarus zaměřoval především na finanční instituce, zdá se, že začátkem roku 2020 svoje „portfolio“ rozšířil o společnosti a instituce v obranném průmyslu.
Na začátku je promyšlený phishingový útok
Bezpečnostní experti společnosti Kaspersky se o této kampani dozvěděli poté, co byli vyzváni, aby pomohli vyřešit bezpečnostní incidenty a zjistili, že se daná organizace stala cílem nového backdooru (jde o typ malwaru, který umožňuje vzdáleně zcela ovládat napadené zařízení). Zadní vrátka ThreatNeedle se skrytě pohybují infikovanými sítěmi a sbírají důvěrné informace. Doposud tento backdoor napadl organizace více než v tuctu zemích světa.
Do společnosti se infilturje prostřednictvím phishingu: oběti dostávají e-maily, které obsahují škodlivou přílohu ve Wordu nebo odkaz, který vypadá, že vede na server dané společnosti. E-maily se často tváří jako zprávy s naléhavou informací o pandemii Covid-19 a údajně pocházely od respektovaného zdravotnického centra.
Jakmile oběť otevře škodlivý dokument, malware se stáhne do jejího zařízení a zahájí proces infiltrace společnosti. Backdoor ThreatNeedle použitý v této kampani patří do rodiny malwaru známého jako Manuscrypt, který vyvinula skupina Lazarus a dříve byl zachycen při útocích na kryptoměny. Po instalaci je ThreatNeedle schopen získat naprostou kontrolu nad zařízením oběti, což znamená, že může provádět vše od manipulace se soubory až po provádění příkazů zaslaných od vzdáleného řídícího serveru.
Malware se dostane i do odpojených sítí
Jednou z nejzajímavějších technik v této kampani je schopnost skupiny Lazarus získávat data jak z firemních IT sítí (tedy sítí, na kterých jsou připojeny firemní počítače s přístupem k internetu), tak ze sítí s omezeným provozem (jde například o síť, na kterou jsou napojena kriticky důležitá zařízení a počítače s velmi citlivými daty, a tudíž nejsou zároveň připojena k internetu). Podle přísných pravidel jedné z napadených společností nesmí existovat mezi těmito dvěma typy sítí žádné propojení a nesmějí si navzájem předávat informace. Správci IT, kteří mají na starosti bezproblémový chod všech sítí v dané firmě, se však mohou připojovat k oběma sítím. Skupině Lazarus tak stačilo získat kontrolu nad počítačem administrátora a poté přenastavit firewall, aby se mohla dostat do sítě s omezeným provozem a odtud ukrást citlivá data.
„Lazarus byl asi nejaktivnějším tvůrcem kyberbezpečnostních hrozeb v roce 2020 a nezdá se, že by se na tom mělo v dohledné době cokoli změnit. Už v lednu letošního roku tým pro analýzu bezpečnostních hrozeb společnosti Google oznámil, že odhalil backdoorové útoky skupiny Lazarus na analytiky bezpečnosti. Očekáváme tedy, že se v budoucnu objeví víc případů, při kterých se bude používat backdoor ThreatNeedle, a dáme si na ně pozor,“ říká Seongsu Park, vedoucí analytik týmu pro globální výzkum a analýzu (GReAT) společnosti Kaspersky.
„Lazarus není jen velmi aktivní, ale také hodně sofistikovaný. Nejen že dokázal překonat segmentaci sítě, ale také provedl rozsáhlou analýzu, aby mohl vytvořit velmi dobře personalizované a efektivní phishingové e-maily (tzv. spear phishing) a připravil vlastní nástroje k stahování a ukládání ukradených dat na vzdálený server. Protože se různé organizace nejen v obranném průmyslu stále více zabývají možností práce na dálku, a jsou tím pádem i zranitelnější, je důležité, aby přijaly zásadnější bezpečnostní opatření na ochranu před těmito typy pokročilých útoků,“ dodává Vyacheslav Kopeytsev, bezpečnostní expert společnosti Kaspersky ICS CERT.
Podrobnosti o škodlivé kampani ThreatNeedle si můžete přečíst na webu Kaspersky ICS CERT. Podrobný popis útoku obsahuje i článek na webu Securelist.com.
Bezpečnostní experti společnosti Kaspersky připravili několik doporučení, jak se ochránit před útoky podobnými backdooru ThreatNeedle:
- Zajistěte svým zaměstnancům základní školení v oblasti kybernetické bezpečnosti, protože mnoho cílených útoků začíná phishingem nebo jinými technikami sociálního inženýrství.
- Pokud má vaše společnost provozní technologii (OT) nebo kritickou infrastrukturu, ujistěte se, že je oddělena od firemní sítě nebo že neexistují žádná neoprávněná připojení k této infrastruktuře.
- Zajistěte, aby si zaměstnanci byli vědomi zásad kybernetické bezpečnosti a dodržovali je.
- Zajistěte, aby měl váš SOC tým (Security Operations Center) k dispozici přístup k aktuálním informacím o známých hrozbách (Threat Intelligence, TI). Portál společnosti Kaspersky o aktuálních kybernetických hrozbách Kaspersky Threat Intelligence Portal poskytuje firmám potřebné informace o TI, údaje o kybernetických útocích a zkušenosti, jež společnost Kaspersky získala během víc než 20 let své existence.
- Implementujte firemní bezpečnostní řešení, které dokáže už v rané fázi detekovat pokročilé trvalé hrozby na síťové úrovni, jako například platforma Kaspersky Anti Targeted Attack Platform.
- Rovněž se doporučuje použít samostatné bezpečnostní řešení pro průmyslové uzly a sítě, které umožňuje monitorování, analýzu a detekci síťového provozu OT – například Kaspersky Industrial CyberSecurity.
O Kaspersky ICS CERT
Tým Kaspersky Industrial Control Systems Cyber Emergency Response Team (Kaspersky ICS CERT) je globální projekt společnosti Kaspersky, který odstartoval v roce 2016 a jehož cílem je koordinovat snahu dodavatelů automatizovaných systémů, vlastníků a provozovatelů průmyslových zařízení a analytiků v oblasti IT bezpečnosti o co nejlepší ochranu průmyslových podniků před kybernetickými útoky. Společnost Kaspersky ICS CERT se zaměřuje především na identifikaci potenciálních a stávajících hrozeb, které cílí na systémy průmyslové automatizace a průmyslový internet věcí. Kaspersky ICS CERT je aktivním členem a partnerem předních mezinárodních organizací, jež vydávají doporučení k ochraně průmyslových podniků před kybernetickými hrozbami. Více na ics-cert.kaspersky.com.
O společnosti Kaspersky
Kaspersky je globální společnost zaměřená na kybernetickou bezpečnost, která byla založena v roce 1997. Odborné znalosti společnosti Kaspersky v oblasti bezpečnostních hrozeb a zabezpečení se neustále transformují do inovativních bezpečnostních řešení a služeb na ochranu firem, kritické infrastruktury, vlád a uživatelů po celém světě. Komplexní portfolio zabezpečení, jež tato společnost nabízí, zahrnuje špičkovou ochranu koncových bodů a řadu specializovaných bezpečnostních řešení a služeb, jež pomáhají čelit sofistikovaným digitálním hrozbám, jakkoli se neustále proměňují. Technologie společnosti Kaspersky chrání více než 400 milionů uživatelů a pro 250 000 firemních klientů přinášíme ochranu všeho, co je pro ně v digitální oblasti nejcennější. Další informace jsou k dispozici na adrese www.kaspersky.com.