SAMSUNG_102020 SAMSUNG_102020 SAMSUNG_102020 Advertisement

Vírusový radar: Stojí za tým Lazarus? Na infiltráciu do vojenských a leteckých firiem zneužili LinkedIn

Bezpečnosť
0

Cez LinkedIn útočili na ľudí z vojenských a leteckých firiem. Núkali im prácu (a malvér)

Výskumníci ESETu zmapovali doposiaľ neodhalené útoky na letecké a vojenské firmy pôsobiace v Európe a na Blízkom východe. Zaujímavé pritom je, že útočníci na cielenú spearphishingovú kampaň zneužili známy pracovný portál LinkedIn, kde „lovili“ obete a snažili sa im nanútiť škodlivý kód šitý na mieru. Útok prebiehal od septembra do decembra 2019. Experti ESETu ho nazvali Operácia In(ter)ception.

Analyzovaný útok sa začal lákavou správou zaslanou z falošného profilu LinkedIn. Išlo o pomerne uveriteľnú pracovnú ponuku prichádzajúcu zo známej firmy, ktorá pôsobí v relevantnom sektore. Útočník sa cez čet snažil obeť presvedčiť, aby si stiahla škodlivý kód.  

Ako vysvetľuje výskumník spoločnosti ESET Dominik Breitenbacher, ktorý útok analyzoval, správy so škodlivým odkazom boli buď zaslané priamo cez pracovnú sociálnu sieť, alebo odkaz na OneDrive obeť dostala e-mailom.

Na potreby druhého scenára útočníci vytvorili e-mailové účty korešpondujúce s ich falošnými profilmi LinkedIn. Keď adresát otvoril súbor, zobrazil sa zdanlivo nevinný dokument PDF s informáciami o finančnom ohodnotení ponúkanej falošnej pracovnej pozície. Zároveň sa však do počítača obete stiahol škodlivý kód.  

Overovacie mechanizmy LinkedIn nemohli pri takto posielanom súbore zasiahnuť, keďže bol útočníkmi zašifrovaný a zaheslovaný. Obeť dostala heslo v rámci četu.

Ďalší nástroj, ktorý útočníci za Operation In(ter)ception využili, bol aj viacstupňový škodlivý kód vytvorený na mieru, ktorý sa vydával za legitímny softvér a upravené verzie open source nástrojov. Útočníci takisto zneužívali predinštalované nástroje Windows na počítači obete.

Analyzované útoky vykazujú všetky znaky špionáže a Breitenbacherov tím našiel aj stopy, ktoré by mohli naznačovať prepojenie s neslávne známou skupinou Lazarus. Práve jej členom sa pripisuje veľký útok na spoločnosť Sony v roku 2014, ako aj šírenie ransomvéu WannaCry, ktorý v roku 2017 spôsobil niekoľkomiliardové škody po celom svete.

Pracovné pozície vybraných obetí naznačujú, že útočníci sa snažili získať technické a obchodné informácie. Ukradnuté dáta zasielali z infikovaného systému do svojho Dropboxu. Analýza malvéru však nedokázala presne určiť, o ktoré typy súborov mali útočníci záujem. Rekonštrukciu prípadu komplikoval aj fakt, že útočníci za sebou zamietli stopy. Z infikovaných zariadení odstránili súbory, ako aj škodlivý kód. Zmazali takisto falošné profily LinkedIn, ktoré stáli na začiatku ich kampane.

V jednom prípade však výskumníci ESETu objavili dôkaz, že útočníci sa po získaní prístupu k firemným e-mailom obete snažili vytiahnuť peniaze od inej spoločnosti. Zneužili na to nedokončenú konverzáciu ohľadom nezaplatenej faktúry, ktorú našli v kompromitovanom zariadení. Druhej spoločnosti, ktorá mala faktúru uhradiť, sa ozvali z podobnej e-mailovej adresy a žiadali zaslanie sumy na nové číslo účtu. Firma však na podvod neskočila a pre istotu kontaktovala obeť priamo. Na základe tohto upozornenia bol celý pokus o podvod odhalený a nahlásený ako bezpečnostný incident.

Ide o veľmi dobrý príklad toho, ako vhodné obranné mechanizmy a efektívny tréning zamestnancov zabránili finančným škodám a výrazne skomplikovali útočníkom prácu. Zamestnanci sa na podobných príkladoch môžu naučiť, ako vyzerajú aj menej známe techniky sociálneho inžinierstva.

Ak si chcete prečítať o tomto útoku viac, celá výskumná správa je dostupná na WeLiveSecurity.com.

Ondrej Kubovič, ESET

Pridať komentár

Mohlo by vás zaujímať

Mohlo by vás zaujímať