Компанія ESET — лідер у галузі інформаційної безпеки — виявила спроби розгортання шкідливого програмного забезпечення Lazarus за допомогою атаки на ланцюг постачання в Південній Кореї. Для поширення загрози зловмисники несанкціоновано використовували легітимну програму з безпеки та цифрові сертифікати, викрадені у двох різних компаній. Здійснити атаку відносно нескладно, оскільки Інтернет-користувачам Південної Кореї часто необхідно встановити додаткову програму з безпеки для відвідування державних сайтів або використання Інтернет-банкінгу.
«Варто зазначити, що WIZVERA VeraPort є південнокорейським додатком, який допомагає управляти додатковим програмним забезпеченням з безпеки. Після інсталяції WIZVERA VeraPort користувачі отримують та встановлюють необхідне програмне забезпечення для роботи певного веб-сайту. Для початку роботи з такою програмою потрібні мінімальні дії користувача, — пояснюють дослідники ESET. — Як правило, таке програмне забезпечення використовується урядовими та банківськими сайтами Південної Кореї. Для деяких з них обов'язкова наявність WIZVERA VeraPort».
Також зловмисники використовували незаконно отримані сертифікати для підпису зразків шкідливого ПЗ. Варто зазначити, що один з цих сертифікатів було видано американській філії південнокорейської охоронної компанії.
«Зловмисники замаскували зразки шкідливого програмного забезпечення Lazarus під легітимні програми. Ці зразки мають такі ж імена файлів, іконки та ресурси, як і легітимне південнокорейське програмне забезпечення, — коментує Пітер Калнаі, дослідник ESET. — Комбінація зламаних веб-сайтів з підтримкою WIZVERA VeraPort та певних параметрів конфігурації VeraPort дозволяють зловмисникам виконати цю атаку».
У дослідників ESET є декілька вагомих причин, які свідчать про причетність групи кіберзлочинців Lazarus до цієї атаки, зокрема:
- атака є продовженням операції BookCodes, яку деякі дослідники з кібербезпеки пов'язують з Lazarus;
- типові характеристики інструментарію;
- проведення атаки в Південній Кореї, де як відомо працює Lazarus;
- незвичайний та нестандартний характер методів вторгнення та шифрування, які використовувались;
- налаштування мережевої інфраструктури.
Набір інструментів Lazarus досить великий, тому дослідники ESET вважають, що існує ще безліч підгруп. На відміну від інструментів інших груп кіберзлочинців, жоден з вихідних кодів Lazarus ще ніколи не було виявлено в публічному доступі.
Більш детальну інформацію про атаку на ланцюг постачання Lazarus читайте за посиланням.