Компания ESET — лидер в области информационной безопасности — обнаружила попытки развертывания вредоносного программного обеспечения Lazarus с помощью атаки на цепь поставок в Южной Корее. Для распространения угрозы злоумышленники несанкционированно использовали легитимную программу по безопасности и цифровые сертификаты, похищенные в двух разных компаний. Осуществить атаку относительно несложно, поскольку Интернет-пользователям Южной Корее часто необходимо установить дополнительную программу по безопасности для посещения государственных сайтов или использования Интернет-банкинга.
«Стоит отметить, что WIZVERA VeraPort является южнокорейским приложением, которое помогает управлять дополнительным программным обеспечением по безопасности. После инсталляции WIZVERA VeraPort пользователи получают и устанавливают необходимое программное обеспечение для работы определенного сайта. Для начала работы с такой программой нужны минимальные действия пользователя, — объясняют исследователи ESET. — Как правило, такое программное обеспечение используется правительственными и банковскими сайтами Южной Кореи. Для некоторых из них обязательное наличие WIZVERA VeraPort».
Также злоумышленники использовали незаконно полученные сертификаты для подписи образцов вредоносного ПО. Стоит отметить, что один из этих сертификатов было выдано американскому филиалу южнокорейской охранной компании.
«Злоумышленники замаскировали образцы вредоносного программного обеспечения Lazarus под легитимные программы. Эти образцы имеют такие же имена файлов, иконки и ресурсы, как и легитимное южнокорейское программное обеспечение, — комментирует Питер Калнаи, исследователь ESET. — Комбинация сломанных веб-сайтов с поддержкой WIZVERA VeraPort и определенных параметров конфигурации VeraPort позволяют злоумышленникам выполнить эту атаку».
У исследователей ESET есть несколько весомых причин, которые свидетельствуют о причастности группы киберпреступников Lazarus к этой атаке, в частности:
- атака является продолжением операции BookCodes, которую некоторые исследователи по кибербезопасности связывают с Lazarus;
- типичные характеристики инструментария;
- проведение атаки в Южной Корее, где как известно работает Lazarus;
- необычный и нестандартный характер методов вторжения и шифрования, которые использовались;
- настройка сетевой инфраструктуры.
Набор инструментов Lazarus достаточно большой, поэтому исследователи ESET считают, что существует еще множество подгрупп. В отличие от инструментов других групп киберпреступников, ни один из исходных кодов Lazarus еще никогда не был обнаружен в публичном доступе.
Более подробную информацию об атаке на цепь поставок Lazarus читайте по ссылке.