Atak hakerów na polską zbrojeniówkę. Kusili fałszywymi ofertami pracy

Atak hakerów na polską zbrojeniówkę. Kusili fałszywymi ofertami pracy

Laptop, zdjęcie ilustracyjne
Laptop, zdjęcie ilustracyjne Źródło: Shutterstock / Tero Vesalainen
Obcy hakerzy próbowali zdobyć tajne informacje o polskiej branży zbrojeniowej. Pracownicy mieli dostać zainfekowane maile udające oferty znakomitej pracy w znanej amerykańskiej firmie. Był to jednak haczyk.

Eksperci ds. cyberbezpieczeństwa z firmy ESET opublikowali raport podsumowujący ostatnie działania międzynarodowych cyberprzestępców. Skupiono się na hakerskich grupach APT (od Advanced Persistent Threat), czyli takich, które wykorzystują zaawansowane metody i cały czas nękają organizacje na całym świecie. Celem jednego z ataków mieli zaś być pracownicy polskiej firmy z branży zbrojeniowej.

Hakerzy z Lazarus Group zaatakowali polską branżę zbrojeniową

Za organizację akcji wycelowanej w Polaków odpowiadała grupa Lazarus. To jeden z najsławniejszych zespołów cyberprzestępców działających na zlecenie Korei Północnej. Ich specjalnością jest międzynarodowe szpiegostwo.

W ataku datowanym na I kw. 2023 roku zostały wykorzystane… oferty pracy. Koreańczycy rozpoczęli komunikację z pracownikami jednej z firm dostarczającej usługi w branży zbrojeniowej. Przestępcy mieli się dość zmyślnie podszyć pod pracowników amerykańskiego koncernu lotniczego Boeing.

Haker wysyłał ofierze wiadomość z załącznikiem – pozornie była to oferta pracy w formie pliku PDF. Plik zawierał jednak zainfekowaną wersję czytnika plików opartą na programie SumatraPDF. Zaszyte było tam też złośliwe oprogramowanie o nazwie ScoringMathTea. Jednocześnie w tle uruchamiany był program do pobierania plików ImprudentCook.

Jak ocenia ESET, niedawny atak na polską firmę wpisuje się w szerszą strategie Lazarusa. Jeszcze w 2020 roku Koreańczycy próbowali szczęścia w operacji In(ter)ception – dość podobnej akcji z ofertami pracy, wymierzonej w pracowników europejskich firm z branży lotniczej i obronnej.

Hakerzy z Rosji i Chin wciąż aktywni

Specjaliści ostrzegają też przed wciąż rosnącym zagrożeniem ze strony grup APT działających na zlecenie nieprzyjaznych reżimów. Szczególnie aktywni mają być Rosjanie, którzy raz za razem atakują cele na terytorium Europy, a zwłaszcza Ukrainy.

Sprzyjające Kremlowi grupy to m.in. Sandworm, Gamaredon, Sednit czy Dukes. Uporczywie atakowały one w ostatnim czasie ukraińskie instytucje rządowe i niejednokrotnie próbowały oszukać wysoko postawionych urzędników w wielu krajach UE.

W Azji swoje piętno odcisnęły zaś grupy wiązane z Chinami. Grupy Ke3chang i Mustang Panda opracowały i wykorzystały nowe autorskie trojany. Zespół MirrorFace zaatakował cele w Japonii, a kolektyw ChattyGoblin był aktywny wśród firm na Filipinach.

Czytaj też:
Hakerzy kuszą wymarzoną pracą. Tak działa wirus DreamJob
Czytaj też:
Z rynku kryptowalut zniknęło 100 mln dol. Trop FBI wiedzie do Korei Północnej

Opracował:
Źródło: Materiały prasowe / ESET