Eksperci ds. cyberbezpieczeństwa z firmy ESET opublikowali raport podsumowujący ostatnie działania międzynarodowych cyberprzestępców. Skupiono się na hakerskich grupach APT (od Advanced Persistent Threat), czyli takich, które wykorzystują zaawansowane metody i cały czas nękają organizacje na całym świecie. Celem jednego z ataków mieli zaś być pracownicy polskiej firmy z branży zbrojeniowej.
Hakerzy z Lazarus Group zaatakowali polską branżę zbrojeniową
Za organizację akcji wycelowanej w Polaków odpowiadała grupa Lazarus. To jeden z najsławniejszych zespołów cyberprzestępców działających na zlecenie Korei Północnej. Ich specjalnością jest międzynarodowe szpiegostwo.
W ataku datowanym na I kw. 2023 roku zostały wykorzystane… oferty pracy. Koreańczycy rozpoczęli komunikację z pracownikami jednej z firm dostarczającej usługi w branży zbrojeniowej. Przestępcy mieli się dość zmyślnie podszyć pod pracowników amerykańskiego koncernu lotniczego Boeing.
Haker wysyłał ofierze wiadomość z załącznikiem – pozornie była to oferta pracy w formie pliku PDF. Plik zawierał jednak zainfekowaną wersję czytnika plików opartą na programie SumatraPDF. Zaszyte było tam też złośliwe oprogramowanie o nazwie ScoringMathTea. Jednocześnie w tle uruchamiany był program do pobierania plików ImprudentCook.
Jak ocenia ESET, niedawny atak na polską firmę wpisuje się w szerszą strategie Lazarusa. Jeszcze w 2020 roku Koreańczycy próbowali szczęścia w operacji In(ter)ception – dość podobnej akcji z ofertami pracy, wymierzonej w pracowników europejskich firm z branży lotniczej i obronnej.
Hakerzy z Rosji i Chin wciąż aktywni
Specjaliści ostrzegają też przed wciąż rosnącym zagrożeniem ze strony grup APT działających na zlecenie nieprzyjaznych reżimów. Szczególnie aktywni mają być Rosjanie, którzy raz za razem atakują cele na terytorium Europy, a zwłaszcza Ukrainy.
Sprzyjające Kremlowi grupy to m.in. Sandworm, Gamaredon, Sednit czy Dukes. Uporczywie atakowały one w ostatnim czasie ukraińskie instytucje rządowe i niejednokrotnie próbowały oszukać wysoko postawionych urzędników w wielu krajach UE.
W Azji swoje piętno odcisnęły zaś grupy wiązane z Chinami. Grupy Ke3chang i Mustang Panda opracowały i wykorzystały nowe autorskie trojany. Zespół MirrorFace zaatakował cele w Japonii, a kolektyw ChattyGoblin był aktywny wśród firm na Filipinach.
Czytaj też:
Hakerzy kuszą wymarzoną pracą. Tak działa wirus DreamJobCzytaj też:
Z rynku kryptowalut zniknęło 100 mln dol. Trop FBI wiedzie do Korei Północnej