Компания ESET — лидер в области информационной безопасности — сообщает об обнаружении новых кибератак группы Lazarus, связанной с Северной Кореей, на европейские компании в оборонной промышленности, в частности в секторе беспилотных летательных аппаратов (БПЛА/дронов). Основной целью злоумышленников, вероятно, является кража конфиденциальной информации и производственных ноу-хау.
Атаки были направлены на три компании, работающие в оборонном секторе Центральной и Юго-Восточной Европы. Они производят различные виды военной техники (или ее части), многие из которых используются в Украине благодаря военной помощи европейских стран. Злоумышленники получили начальный доступ с помощью социальной инженерии, а троян удаленного доступа (RAT) позволил предоставить полный контроль над скомпрометированной машиной.
Какие методы при атаках использовали киберпреступники?
В ходе операции под названием DreamJob киберпреступники использовали фальшивое предложение работы для распространения вредоносного программного обеспечения. Жертва, как правило, получает документ-приманку с описанием вакансии и троян, замаскированный под программу для чтения PDF-файлов для его открытия. Исследователи ESET считают ответственными за эту деятельность группу киберпреступников Lazarus, в частности через ее действия, связанные с операцией DreamJob, а также выбор целей в Европе, совпадающих с целями предыдущих случаев (аэрокосмическая и оборонная отрасль, машиностроение).
Вероятно, злоумышленники были заинтересованы в сборе конфиденциальной информации о некоторых системах вооружения западного производства, которые используются в российско-украинской войне. В общем, эти организации участвуют в производстве материалов, которые также производит Северная Корея, и, возможно, надеется их усовершенствовать благодаря краже интеллектуальной собственности. Об этом также свидетельствуют сообщения СМИ об инвестициях Северной Кореи в собственные производственные мощности БПЛА.
«Мы считаем, что операция DreamJob, вероятно, была направлена – по крайней мере, частично – на кражу конфиденциальной информации и производственных ноу-хау о БПЛА. Мы нашли доказательства того, что одна из атакованных организаций принимает участие в производстве, по меньшей мере, двух моделей БПЛА, которые сейчас используются в Украине, и с которыми Северная Корея, возможно, столкнулась на линии фронта. Эта организация также принимает участие в цепочке поставок современных дронов, типа летательных аппаратов, которые Пхеньян активно разрабатывает», – комментирует Питер Калнае, исследователь ESET.
Основной компонент ScoringMathTea – это сложный троян удаленного доступа (RAT), поддерживающий около 40 команд. По данным VirusTotal, его первое обнаружение можно проследить из Португалии и Германии в октябре 2022 года, где его загрузчик был приманкой для предложений работы на тему Airbus. Согласно телеметрии ESET, ScoringMathTea был зафиксирован в атаках на индийскую технологическую компанию в январе 2023 года, на польскую оборонную компанию в марте 2023 года, на британскую компанию по промышленной автоматизации в октябре 2023 года и итальянскую аэрокосмическую компанию в сентябре 2023 года.
Стоит отметить, что Lazarus (также известная как HIDDEN COBRA) – это APT-группа, связанная с Северной Кореей, которая действует по меньшей мере с 2009 года. Она отвечает за громкие инциденты, а ее основной киберпреступной деятельностью является кибершпионаж, киберсаботаж и финансовая выгода. Операция DreamJob – это кодовое название кампаний Lazarus, которые используют преимущественно социальную инженерию, в частности фальшивые предложения работы на престижные или высокопоставленные должности. Целями преимущественно являются представители аэрокосмического и оборонного секторов, инженерные и технологические компании, а также медиа и развлекательный сектор.
Для защиты своих устройств специалисты ESET рекомендуют не переходить по неизвестным ссылкам и не открывать подозрительные файлы и заманчивые электронные письма, загружать только проверенные программы из официальных магазинов. Кроме того, в дополнение к паролям следует применять многофакторную аутентификацию для входа в учетные записи и использовать решения для защиты корпоративной сети от различных киберугроз.
В случае обнаружения вредоносной деятельности в собственных ИT-системах украинские пользователи продуктов ESET могут обратиться за помощью в круглосуточную службу технической поддержки по телефону +380 44 545 77 26 или по электронному адресу support@eset.ua.