Ο κύριος στόχος των χάκερς της Βόρειας Κορέας! #TechWarGR
Από τις αρχές του 2020, η
hacking
ομάδα “Lazarus” που υποστηρίζεται από τη Βόρεια Κορέα στοχεύει την
αμυντική βιομηχανία
με custom backdoor
malware
που ονομάζεται
ThreatNeedle
, έχοντας ως τελικό στόχο την κλοπή ευαίσθητων κι εμπιστευτικών πληροφοριών. Πρόκειται για μία
hacking
ομάδα που ήταν ιδιαίτερα ενεργή το 2020, ενορχηστρώνοντας πολυάριθμες
επιθέσεις
σε όλο τον κόσμο, με αποτέλεσμα να αποτελεί μία από τις πιο επικίνδυνες συμμορίες κυβερνοεγκλήματος που υπάρχουν σήμερα στο τοπίο των απειλών. Οι
χάκερς
της Βόρειας Κορέας έχουν στοχεύσει πολλούς οργανισμούς, ενώ στη λίστα των θυμάτων τους προστέθηκε τώρα η
αμυντική βιομηχανία
και εταιρείες σε περισσότερες από δώδεκα χώρες.
Οι επιτιθέμενοι έχουν χρησιμοποιήσει
phishing
emails
με θέμα τον
COVID
-19 με κακόβουλα συνημμένα ή συνδέσμους, ως αρχικό φορέα πρόσβασης σε εταιρικά δίκτυα. Αφότου πετύχαιναν την αρχική
παραβίαση
, εγκαθιστούσαν το custom
malware
“ThreatNeedle”, το οποίο χρησιμοποιήθηκε για πρώτη φορά το 2018 σε
επιθέσεις
που είχαν ως στόχο επιχειρήσεις κρυπτονομισμάτων.
Οι ερευνητές
ασφαλείας
της
Kaspersky
ανέφεραν ότι το ThreatNeedle, αφότου εγκατασταθεί, μπορεί να αποκτήσει τον πλήρη έλεγχο της συσκευής ενός θύματος, πράγμα που σημαίνει ότι μπορεί να κάνει τα πάντα – από τον χειρισμό αρχείων έως την εκτέλεση εντολών που έχουν ληφθεί.
Το ThreatNeedle βοήθησε τους
χάκερς
της Βόρειας Κορέας να κινηθούν πλευρικά στα δίκτυα αμυντικών οργανισμών και να κλέψουν ευαίσθητες κι εμπιστευτικές πληροφορίες, τις οποίες μετέφεραν στη συνέχεια σε
servers
που ελέγχονται τους ίδιους. Επιπλέον, το backdoor επέτρεψε στους
χάκερς
να παρακάμψουν την τμηματοποίηση του δικτύου και να έχουν πρόσβαση σε περιορισμένα δίκτυα με
συσκευές
κρίσιμης αποστολής που δεν είχαν πρόσβαση στο Διαδίκτυο.
Σύμφωνα με την
Kaspersky
, οι επιτιθέμενοι, αφού «κέρδισαν ένα αρχικό βήμα», έκλεψαν
credentials
και κινήθηκαν πλευρικά, αναζητώντας κρίσιμα περιουσιακά στοιχεία στο περιβάλλον των θυμάτων.
Καθ’όλη τη διάρκεια των επιθέσεων τους, οι
χάκερς
της Βόρειας Κορέας έκλεψαν επίσης έγγραφα και δεδομένα από
συσκευές
που χρησιμοποιούνται για την αποθήκευση πληροφοριών σχετικά με επιχειρήσεις και πελάτες, καθώς και από περιορισμένα δίκτυα που χρησιμοποιούνται συνήθως για την αποθήκευση και τη διαχείριση εξαιρετικά ευαίσθητων δεδομένων.
Τα μέλη της Lazarus ανέλαβαν τον έλεγχο των workstations των διαχειριστών, γεγονός που τους επέτρεψε να δημιουργήσουν αργότερα κακόβουλα portals, τα οποία τους παρείχαν πρόσβαση στα περιορισμένα δίκτυα.
Ενώ η Lazarus ήταν γνωστή για την στόχευση κυρίως παγκόσμιων χρηματοπιστωτικών ιδρυμάτων, από τις αρχές του 2020 που ξεκίνησε αυτή η εκστρατεία, άλλαξε την εστίασή της και επικεντρώνεται πλέον στην
αμυντική βιομηχανία
.
Αξιοσημείωτο είναι το γεγονός ότι το
Threat Analysis Team της Google
ανέφερε πως οι
χάκερς
της Lazarus έχουν χρησιμοποιήσει το ίδιο
malware
για να στοχεύσουν ερευνητές
ασφαλείας
. Επιπλέον, αυτή η
hacking
ομάδα παρακολουθείται και με την ονομασία “HIDDEN COBRA” από την Κοινότητα Πληροφοριών των
ΗΠΑ
.
Πρόκειται για μια ομάδα κυβερνοεγκλήματος με οικονομικά κίνητρα, όπως φαίνεται από τις εκστρατείες της, στα πλαίσια των οποίων έχει στοχεύσει τη Sony
Films
(ως μέρος της επιχείρησης Blockbuster το 2014), ενώ βρισκόταν και πίσω από την παγκόσμια εκστρατεία του
WannaCry
ransomware
του 2017.
Η
Kaspersky
συνιστά στους οργανισμούς της αμυντικής βιομηχανίας να λάβουν τα ακόλουθα μέτρα για να μετριάσουν τον κίνδυνο αυτής της απειλής:
-
Εκπαίδευση προσωπικού σχετικά με την «υγιεινή» στον κυβερνοχώρο και ευαισθητοποίηση σχετικά με τις εσωτερικές πολιτικές
ασφαλείας
-
Πλήρης τμηματοποίηση OT
networks
από IT
networks
-
Ενημέρωση ομάδων
ασφαλείας
για απειλές - Εφαρμογή αποκλειστικής ασφάλειας OT network, συμπεριλαμβανομένης της παρακολούθησης της κυκλοφορίας, της ανάλυσης και της ανίχνευσης απειλών
Related Posts
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.