Globálny výskumno-analytický tím expertov spoločnosti Kaspersky Lab (známy pod skratkou „GReAT“) objavil hrozbu AppleJeus – novú škodlivú aktivitu neslávne známej skupiny Lazarus. Útočníci prenikli do siete burzy s kryptomenami v Ázii s využitím softvéru na obchodovanie s kryptomenami nakazeného trójskym koňom. Cieľom útoku bola krádež kryptomien od ich obetí. Okrem malvéru zameraného na operačný systém Windows, dokázali experti Kaspersky Lab identifikovať doteraz neznámu verziu zameranú na platformu macOS.
Ide o úplne prvý prípad, kedy analytici zo spoločnosti Kaspersky Lab zaznamenali distribúciu malvéru z dielne kyberzločineckej skupiny Lazarus zameranú na používateľov macOS. Na pozore by sa mal mať každý, kto používa tento operačný systém pri transakciách s kryptomenami.
Analýza tímu GReAT ukázala, že malvér prenikol do infraštruktúry burzy, keď nič netušiaci zamestnanec spoločnosti stiahol aplikáciu tretej strany z legitímne vyzerajúcej webovej stránky firmy, ktorá vyvíja softvér na obchodovanie s kryptomenami.
Kód aplikácie nie je podozrivý, s výnimkou jedného prvku – tzv. aktualizátora. V legitímnom softvéri sa takéto prvky využívajú na sťahovanie nových verzií programov – ich aktualizácií. AppleJeus funguje ako výzvedný modul: najprv zhromažďuje základné informácie o počítači, na ktorom bol nainštalovaný, potom odošle tieto informácie späť na riadiaci a kontrolný server a ak sa útočníci rozhodnú, že je počítač hodný útoku, škodlivý kód sa inštaluje formou aktualizácie softvéru. Analytici identifikovali trójskeho koňa ako Fallchill – ide o starý nástroj, ku ktorému sa skupina Lazarus nedávno vrátila. Táto skutočnosť poskytla expertom základ pre toto spojenie. Po inštalácii poskytuje trojan Fallchill útočníkom takmer neobmedzený prístup k napadnutému počítaču, čo im umožňuje ukradnúť cenné finančné informácie alebo nasadiť dodatočné nástroje určené na tento účel.
Situáciu zhoršila skutočnosť, že zločinci vyvinuli softvér nielen pre platformu Windows, ale najnovšie aj pre macOS. Ten je vo všeobecnosti oveľa menej vystavovaný kybernetickým hrozbám ako Windows. Funkčnosť oboch verzií malvéru je úplne rovnaká.
Ďalším neobvyklým znakom operácie AppleJeus je, že prvotne síce vyzerá ako útok na dodávateľský reťazec, v skutočnosti to však nemusí byť pravda. Predajca softvéru na obchodovanie s kryptomenami, ktorý bol použitý na doručenie škodlivého kódu smerom k používateľom, má platný digitálny certifikát a legitímne vyzerajúce registračné záznamy pre doménu. Avšak – aspoň na základe verejne dostupných informácií – analytici Kaspersky Lab nedokázali identifikovať žiadnu legitímnu organizáciu nachádzajúcu sa na adrese, ktorá bola uvedená v rámci informácií o certifikáte.
„Rastúci záujem skupiny Lazarus o trhy s kryptomenami sme si všimli ešte začiatkom roka 2017, kedy bol Monero, softvér na ťažbu kryptomien, inštalovaný na jednom z ich serverov operatívcom skupiny Lazarus. Odvtedy boli niekoľkokrát zaznamenané ich útoky zamerané na burzy s kryptomenami, ako aj na tradičné finančné organizácie. Skupina Lazarus vyvinula malvér na infikovanie nielen systému Windows, ale aj macOS a s najväčšou pravdepodobnosťou si dala námahu aj s vytvorením falošnej softvérovej spoločnosti a softvérového produktu, ktoré im pomáhajú pri šírení malvéru bez odhalenia bezpečnostnými riešeniami. Táto skutočnosť len potvrdzuje, že členovia skupiny Lazarus vidia v celej operácií potenciálne veľké zisky. V blízkej budúcnosti by sme určite mohli očakávať viac takýchto prípadov. Pre používateľov macOS je tento prípad varovaním, najmä ak používajú na transakcie s kryptomenami počítače Mac,“ poznamenáva Vitaly Kamluk, vedúci tímu GReAT pre Áziu a Pacifik v spoločnosti Kaspersky Lab.
Skupina Lazarus, ktorá je známa svojimi sofistikovanými aktivitami a prepojením na Severnú Kóreu, je známa nielen pre kyberšpionážne útoky, ale aj pre finančne motivované útoky. Viacerí experti, vrátane Kaspersky Lab, už viackrát o tejto skupine informovali v súvislosti s útokmi na banky a iné veľké finančné inštitúcie.
Odborníci na bezpečnosť zo spoločnosti Kaspersky Lab odporúčajú používateľom a spoločnostiam chrániť sa pred sofistikovanými kyberútokmi skupín ako je napríklad Lazarus nasledovne:
- Nedôverovať automaticky kódu, ktorý beží vo vašich systémoch. Ani autenticky vyzerajúca stránka, ani seriózny firemný profil alebo digitálne certifikáty nezaručujú, že je softvér bez zadných vrátok.
- Používať robustné bezpečnostné riešenie, ktoré je vybavené technológiami detekcie škodlivého správania, ktoré umožňujú zachytiť aj predtým neznáme hrozby.
- Zabezpečiť kvalitný systém reportovania o hrozbách pre oddelenie bezpečnosti vašej organizácie s cieľom získať včasný prístup k informáciám o najnovšom vývoji v taktike, technike a postupoch sofistikovaných útočníkov.
- V prípade dôležitých finančných transakcií používať niekoľko-stupňovú autentifikáciu a hardvérové peňaženky. Na tento účel je vhodné používať prednostne izolovaný počítač, ktorý sa súčasne nepoužíva na surfovanie po internete alebo čítanie e-mailov.
Celú verziu správy si môžete prečítať na Securelist.com.
