Исследователи безопасности связывают новую кампанию кибершпионажа, направленную на американских, канадских и японских поставщиков энергии, с северокорейской хакерской группой Lazarus.
Компания Cisco Talos, занимающаяся анализом угроз, сообщила, что в период с февраля по июль этого года она наблюдала, как Lazarus - также известная как APT38 - атаковала неназванных поставщиков энергии в США, Канаде и Японии. Согласно исследованию Cisco, хакеры использовали уязвимость в Log4j годичной давности, известную как Log4Shell, для компрометации серверов VMware Horizon с выходом в Интернет, чтобы изначально закрепиться в корпоративной сети жертвы, а затем развернуть специальное вредоносное ПО, известное как «VSingle» и «YamaBot», чтобы установить долгосрочный постоянный доступ. YamaBot был недавно ассоциирован с Lazarus японской государственной группой реагирования на чрезвычайные ситуации в киберпространстве, известной как CERT.
Подробности этой кампании кибератак были впервые раскрыты компанией Symantec в апреле этого года, которая приписала операцию «Stonefly», другой северокорейской хакерской группе, которая имеет некоторые пересечения с Lazarus.
Однако Cisco Talos также обнаружила ранее неизвестный троян удаленного доступа - или RAT - под названием «MagicRAT», приписываемый Lazarus Group, который хакеры используют для разведки и кражи учетных данных.
«Основной целью этих атак, вероятно, было установление долгосрочного доступа в сети жертв для проведения операций шпионажа в поддержку целей правительства Северной Кореи» - пишут исследователи Talos Джунг Су Ан, Ашир Малхотра и Витор Вентура. «Эта деятельность совпадает с историческими вторжениями Lazarus, направленными на критически важные инфраструктурные и энергетические компании с целью установления долгосрочного доступа для извлечения интеллектуальной собственности».
Lazarus Group - это финансово мотивированная хакерская группа, предположительно поддерживаемая северокорейским государством, которая наиболее известна громким взломом Sony в 2016 году и атакой WannaCry в 2017 году. Lazarus также руководствуется стремлением поддержать государственные цели Северной Кореи, включая военные исследования и обход международных санкций.
Однако в последние месяцы группа обратила свое внимание на блокчейн и криптовалютные организации. Она была связана с недавней кражей криптоактивов на сумму 100 миллионов долларов из Horizon Bridge компании Harmony, а также с кражей криптовалюты на сумму 625 миллионов долларов из Ronin Network, блокчейна на базе Ethereum, созданного для популярной игры Axie Infinity.
По заявлениям СМИ Пхеньян уже давно использует украденную криптовалюту и кражу информации для финансирования своей программы создания ядерного оружия.
В июле правительство США предложило вознаграждение в размере 10 миллионов долларов за информацию о членах спонсируемых государством северокорейских хакерских групп, включая Lazarus, что вдвое превышает сумму, объявленную Госдепартаментом США в апреле.
Источник: https://techcrunch.com
