Firma ESET, specjalizująca się w rozwiązaniach z zakresu cyberbezpieczeństwa, opublikowała wyniki badań wskazujące na kampanię szpiegowską prowadzoną przez północnokoreańską grupę Advanced Persistent Threat (APT) o kryptonimie Lazarus. Celem ataków były przedsiębiorstwa z europejskiego sektora obronnego.
Według ustaleń analityków, zaatakowane podmioty to producenci sprzętu wojskowego, którzy dostarczają swoje technologie, w tym bezzałogowe statki powietrzne (drony) i ich komponenty, na rzecz Ukrainy w ramach międzynarodowej pomocy wojskowej.
Cel: Kradzież technologii i poufnych danych
Badacze ESET potwierdzają, że grupa Lazarus kontynuuje operacje skierowane przeciwko europejskim sojusznikom Ukrainy. Ostatnia fala ataków objęła co najmniej trzy przedsiębiorstwa zlokalizowane w Europie Środkowej i Południowo-Wschodniej. Ze względów bezpieczeństwa firma ESET nie ujawniła publicznie nazw poszkodowanych organizacji.
Głównym motywem operacji jest kradzież poufnych informacji i know-how. Działania te, jak wskazują analitycy, „są zbieżne z niedawnymi doniesieniami o rozwoju północnokoreańskiego programu dronów”.
„Znaleźliśmy dowody na to, że jeden z zaatakowanych podmiotów jest zaangażowany w łańcuch dostaw zaawansowanych dronów jednowirnikowych, czyli bezzałogowych śmigłowców” – komentuje Peter Kálnai, badacz ESET, który analizował ataki. „Jest to typ statku powietrznego, który Pjongjang aktywnie rozwija, ale jak dotąd nie był w stanie go zmilitaryzować” – dodaje Kálnai.
Metodologia ataku: „Operacja Praca Marzeń”
Kampania, nazwana przez badaczy „Operacją Praca Marzeń” (Operation Dream Job), wykorzystuje zaawansowane techniki inżynierii społecznej. Beniamin Szczepankiewicz, ekspert ds. cyberbezpieczeństwa ESET, wyjaśnia, że wektorem ataku są fałszywe, lukratywne oferty pracy.
„Potencjalna ofiara zazwyczaj otrzymuje zwodniczy dokument z opisem stanowiska oraz rzekomo niezbędne narzędzia do otworzenia pliku z ofertą” – precyzuje Szczepankiewicz. „W plikach narzędzia najczęściej zaimplementowany jest trojan umożliwiający zdalny dostęp (RAT), dzięki któremu atakujący mogą uzyskać pełną kontrolę nad zainfekowanym urządzeniem”.
Kontekst strategiczny i rola grupy Lazarus
ESET podkreśla, że ataki na przemysł obronny w Europie mają charakter systematyczny i są realizowane przez wyspecjalizowane grupy APT, które koncentrują swoje działania na podmiotach rządowych, sektorze obronnym oraz innych branżach strategicznych. Działania te ukierunkowane są na szpiegostwo gospodarcze i polityczne, a także mogą służyć celom dezinformacyjnym.
Grupa Lazarus jest identyfikowana jako czołowy północnokoreański aktor zagrożeń i jedna z trzech najaktywniejszych globalnie sił w tej domenie, po grupach powiązanych z Rosją i Chinami.
Ugrupowanie jest aktywne co najmniej od 2009 roku. Jest odpowiedzialne za szereg głośnych incydentów, w tym za atak na Sony Pictures Entertainment (2014) oraz globalną kampanię ransomware WannaCryptor (WannaCry) w 2017 roku, która zainfekowała ponad 200 tysięcy systemów komputerowych w ponad 100 krajach.
