Lazarus znowu atakuje

Przeczytaj także: Puchar Świata w Rugby testem cyberbezpieczeństwa

W minionym roku specjaliści Kaspersky wykryli ATMDtrack – szkodliwe oprogramowanie, które opracowano specjalnie z myślą o infiltracji indyjskich bankomatów oraz kradzieży danych z kart płatniczych. Dalsze śledztwo z wykorzystaniem m.in. systemu Kaspersky Attribution Engine doprowadziło do wykrycia przeszło 180 nowych próbek złośliwego oprogramowania z podobną sekwencją kodu co ATMDtrack. Te jednak nie miały służyć atakom na bankomaty - przez wzgląd na ich funkcje zakwalifikowano je do narzędzi szpiegujących, znanych dziś pod nazwą Dtrack. Obie odmiany są podobne nie tylko do siebie nawzajem, ale również do narzędzi stosowanych przez ugrupowanie cyberprzestępcze Lazarus, które zasłynęło m.in. operacjami cyberszpiegostwa i cybersabotażu, przeprowadzanymi również w polskim sektorze finansowym.

Dtrack może być z powodzeniem stosowany jako zdalne narzędzie administracji, dzięki któremu cyberprzestępcy zyskują pełnię kontroli nad zainfekowanymi urządzeniami. Mogą wykonywać różne operacje, takie jak wysyłanie i pobieranie plików oraz uruchamianie kluczowych procesów.

Cele ataków cyberprzestępców wykorzystujących szkodnika Dtrack często posiadają słabe zasady bezpieczeństwa sieciowego oraz standardy haseł, jak również nie monitorują ruchu w organizacji. W przypadku udanej instalacji szkodliwe narzędzie potrafi wyszczególnić wszystkie dostępne pliki oraz uruchomione procesy, historię przeglądanych stron oraz adresy IP urządzeń – w tym informacje dotyczące dostępnych sieci oraz aktywnych połączeń. Nowo wykryte szkodliwe narzędzia są aktywne i nadal wykorzystywane w cyberatakach.

Lazarus to dość nietypowe ugrupowanie sponsorowane przez struktury rządowe. Z jednej strony, podobnie jak wiele innych ugrupowań, koncentruje się na przeprowadzaniu operacji cyberszpiegostwa i sabotażu. Z drugiej strony posiada również udział w atakach, których celem jest kradzież pieniędzy. Jest to dość nietypowe w przypadku tak znanego cyberugrupowania, ponieważ operacje innych grup cyberprzestępczych nie wykazują motywów finansowych. Ogromna liczba wykrytych próbek szkodnika Dtrack pokazuje, że Lazarus stanowi jedno z najaktywniejszych zaawansowanych ugrupowań cyberprzestępczych, nieustannie rozwijając i usprawniając swoje mechanizmy. Przykład narzędzia zdalnego dostępu Dtrack pokazuje, że nawet jeśli wydaje się, że dane zagrożenie zniknęło, może odrodzić się w innym przebraniu w celu atakowania nowych celów. Nawet ośrodek badawczy lub organizacja finansowa działająca wyłącznie w sektorze handlowym i nieposiadająca powiązań rządowych powinna uwzględnić to, że może zostać zaatakowana przez zaawansowane cyberugrupowanie, i odpowiednio przygotować się na taką ewentualność – powiedział Konstantin Żykow, badacz ds. cyberbezpieczeństwa z firmy Kaspersky.

Porady bezpieczeństwa

Eksperci z firmy Kaspersky zalecają następujące działania pozwalające uchronić się przed szkodnikami takimi jak Dtrack:

• Korzystaj z oprogramowania monitorującego ruch – takiego jak Kaspersky Anti Targeted Attack Platform (KATA).
• Stosuj sprawdzone rozwiązania bezpieczeństwa wyposażone w oparte na zachowaniu technologie wykrywania, takie jak Kaspersky Endpoint Security for Business.
• Przeprowadzaj regularny audyt bezpieczeństwa infrastruktury IT organizacji.
• Organizuj regularne szkolenia w zakresie bezpieczeństwa dla personelu.