ESET: ataki grupy Lazarus na kontrahentów zbrojeniowych oraz zmiana w krajobrazie zagrożeń w związku z wojną w Ukrainie

Następny artykuł
2022-06-02

Podczas tegorocznej konferencji ESET World badacze przedstawili wyniki nowego dochodzenia dotyczącego grupy APT Lazarus i jej ataków na kontrahentów z sektora obronnego na całym świecie. Do fałszywych kampanii rekrutacyjnych cyberprzestępcy wykorzystywali popularne serwisy i aplikacje, jak LinkedIn i WhatsApp. Według danych telemetrycznych firmy ESET cele ataku znajdowały się w Europie (Francja, Włochy, Hiszpania, Niemcy, Czechy, Holandia, Polska i Ukraina), na Bliskim Wschodzie (Turcja, Katar) oraz w Ameryce Łacińskiej (Brazylia).

Firma ESET opublikowała również najnowszy raport o zagrożeniach Threat Report T1 2022, obejmujący okres od stycznia do kwietnia br. W raporcie podsumowano kluczowe statystyki z systemów detekcji oraz wyniki badań nad cyberatakami związanymi z trwającą wojną w Ukrainie. Dotyczy to między innymi aktywności złośliwego oprogramowania Industroyer, które usiłowało zaatakować podstacje elektryczne wysokiego napięcia. Badacze przyjrzeli się również znacznemu wzrostowi kampanii phishingowych i scamowych wykorzystujących osoby próbujące wesprzeć Ukrainę.

Branża lotnicza i obronna na celowniku Lazarusa

Już w 2020 r. badacze ESET udokumentowali działania prowadzone przez podgrupę Lazarusa przeciwko europejskim kontrahentom z branży lotniczej i obronnej, nazwane operacją In(ter)ception. Kampania grupy cyberprzestępczej wykorzystywała media społecznościowe, zwłaszcza LinkedIn, w celu budowania zaufania między atakującym a niczego niepodejrzewającym pracownikiem. Następnym krokiem było wysłanie ofierze złośliwych komponentów podszywających się pod opisy stanowisk lub aplikacje. Mimo że głównym celem operacji Lazarusa jest szpiegostwo, grupa usiłowała również eksfiltrować pieniądze, czego jednak nie udało się jej zrealizować.

W ocenie badaczy firmy ESET akcja była skierowana głównie przeciwko firmom europejskim. Jednak śledząc kilka podgrup Lazarusa przeprowadzających podobne kampanie przeciwko kontrahentom z branży obronnej, szybko zdano sobie sprawę, że kampania miała znacznie szerszy zasięg. W wyniku ataku ucierpiały firmy m.in. w Brazylii, Czechach, Katarze, Turcji i Ukrainie.

Już od dłuższego czasu wyczulamy użytkowników serwisów społecznościowych i komunikatorów internetowych na ryzyko ataków poprzez te kanały. Jednym z przykładów takich zagrożeń są niedawno wykryte kampanie związane z fałszywymi rekrutacjami przez LinkedIn. Metody działań cyberprzestępców stale ewoluują, a zagrożenie rośnie, co obrazuje zarówno najnowszy Threat Report, jak i działalność grupy Lazarus - mówi Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa ESET - Co ważne, udokumentowaliśmy również wykorzystanie elementów legalnych kampanii rekrutacyjnych w celu nadania wiarygodności fałszywym rekruterom. Atakujący wykorzystywali wówczas takie aplikacje jak WhatsApp czy Slack - wyjaśnia.

Inwazja na Ukrainę zmieniła krajobraz cyberzagrożeń

Najnowsze wydanie raportu ESET o zagrożeniach opisuje różnego rodzaju cyberataki związane z trwającą wojną w Ukrainie, które eksperci firmy ESET przeanalizowali i pomogli ograniczyć. Jednym z zagrożeń było reaktywowanie złośliwego oprogramowania Industroyer, wycelowanego w strategiczne punkty energetyczne zlokalizowane na Ukrainie. Raport dotyczy również innych, ogólnych zmian w sferze cyberzagrożeń, które mogą mieć bezpośredni związek z sytuacją w Ukrainie.

Na krótko przed rosyjską inwazją, telemetria ESET odnotowała gwałtowny spadek liczby ataków z wykorzystaniem protokołu RDP (protokół pulpitu zdalnego). Spadek tego typu ataków nastąpił po dwóch latach stałego wzrostu. Jak wyjaśnia najnowszy raport ESET Threat Report T1 2022, ten punkt zwrotny może być związany z wojną w Ukrainie - tłumaczy Kamil Sadkowski z ESET. - Jednak nawet pomimo tego spadku, prawie 60% ataków RDP zaobserwowanych w pierwszych czterech miesiącach 2022 roku pochodziło z Rosji - dodaje.

Efekty uboczne wojny

Podczas gdy w przeszłości zagrożenia ransomware unikały celów zlokalizowanych w Rosji, to w okresie od stycznia do kwietnia br. Rosja była najczęściej atakowanym krajem. Badacze ESET wykryli nawet warianty ataków z ekranem blokady wykorzystującym ukraińskie pozdrowienie narodowe „Slava Ukraini!”. Od czasu rosyjskiej inwazji wzrosła liczba amatorskich programów ransomware i wiperów. Ich autorzy często deklarują poparcie dla jednej z walczących stron i przedstawiają ataki jako osobistą zemstę. Wojnę wykorzystywano również do licznych kampanii phishingowych.

Natychmiast po inwazji 24 lutego oszuści kierowali ataki w stronę osób próbujących wesprzeć Ukrainę i jej obywateli, wykorzystując fikcyjne organizacje charytatywne. W dniu rozpoczęcia wojny telemetria ESET zarejestrowała także duży wzrost wykryć spamu. Korzystnym czynnikiem dla cyberprzestępców była wówczas ogólna dezinformacja wywołana sytuacją w Ukrainie. To spowodowało, że przeprowadzenie ataków na nieświadomych darczyńców było bardziej skuteczne - mówi ekspert ESET.

Emotet – powrót złośliwego oprogramowania

Wyniki badań firmy ESET potwierdziły, że Emotet, złośliwe oprogramowanie rozprzestrzeniające się głównie za pośrednictwem wiadomości spamowych, powrócił po zeszłorocznych próbach unieszkodliwienia botnetu i ponownie pojawił się w telemetrii ESET. W marcu i kwietniu 2022 r. operatorzy Emoteta zintensyfikowali swoją aktywność, uruchamiając masowe kampanie spamowe z wykorzystaniem złośliwych dokumentów Microsoft Word, co doprowadziło do 113-krotnego wzrostu liczby wykryć Emoteta w pierwszym kwartale 2021. Jednak, jak zauważa raport o zagrożeniach, kampanie wykorzystujące złośliwe makra mogły być ostatnimi, biorąc pod uwagę niedawną decyzję Microsoftu o domyślnym wyłączeniu makr w dokumentach pochodzących z Internetu w programach pakietu Office. Po tej zmianie operatorzy Emotet zaczęli testować inne wektory ataków na znacznie mniejszych grupach ofiar. Kampanie Emotet znalazły się w kategorii zagrożeń e-mail, których liczba wzrosła w ciągu czterech pierwszych miesięcy 2022 roku o 37%.