Atakujący przedostają się do sieci giełdy wymiany kryptowalut w Azji przy użyciu zainfekowanego trojanem oprogramowania służącego do handlu kryptowalutami. Celem ataku jest kradzież kryptowaluty. Oprócz oprogramowania przeznaczonego dla systemu Windows badacze zidentyfikowali wcześniej nieznaną wersję atakującą platformę macOS.
To pierwszy przypadek, w którym badacze z Kaspersky Lab zaobserwowali znaną grupę Lazarus dystrybuującą szkodliwe oprogramowanie wymierzone w użytkowników platformy macOS, co powinno zaniepokoić jej wszystkich użytkowników, którzy mają do czynienia z kryptowalutami.
Jak wynika z analiz zespołu GReAT, do infekcji infrastruktury giełdy doszło, gdy niczego niepodejrzewający pracownik pobrał aplikację innej firmy z legalnie wyglądającej strony organizacji, która tworzy oprogramowanie umożliwiające handel kryptowalutami.
W kodzie aplikacji nie ma niczego podejrzanego poza jednym komponentem — modułem aktualizacji. W legalnych programach komponenty takie pobierają nowsze wersje programów; w przypadku oprogramowania AppleJeus działał on jak moduł służący do rekonesansu: najpierw gromadził podstawowe informacje o komputerze, na którym został zainstalowany, a następnie wysyłał je do serwera kontroli. Jeśli atakujący zdecydowali, że komputer jest warty ataku, szkodliwy kod powracał pod postacią aktualizacji oprogramowania. Fałszywa aktualizacja instalowała trojana o nazwie Fallchill; jest to stare narzędzie, do którego niedawno powróciło ugrupowanie Lazarus. Dzięki niemu badacze mogli zidentyfikować autora zagrożenia. Po instalacji trojan Fallchill umożliwiał atakującym niemal nielimitowany dostęp do komputera w celu kradzieży cennych informacji finansowych lub zainstalowania służących do tego dodatkowych narzędzi.
Sytuację pogarsza fakt, że cyberprzestępcy utworzyli program zarówno dla platformy Windows, jak i macOS, która ogólnie jest znacznie mniej podatna na cyberzagrożenia. Funkcjonalność obu wersji szkodliwego programu jest dokładnie taka sama.
Inną nietypową cechą operacji AppleJeus jest fakt, że pozornie wygląda ona jak atak na łańcuch dostaw. Dostawca oprogramowania służącego do wymiany kryptowalut, które zostało użyte do dostarczenia na komputer ofiary szkodliwego ładunku, ma aktualny certyfikat cyfrowy do podpisywania swojego programu i legalnie wyglądające rekordy rejestracyjne domeny. Jednak — przynajmniej tak wynika z publicznie dostępnych informacji — badacze z Kaspersky Lab nie mogli zidentyfikować żadnej legalnie działającej organizacji znajdującej się pod adresem wskazanym w informacji na certyfikacie.
Coraz większe zainteresowanie ugrupowania Lazarus rynkiem kryptowalut zauważyliśmy na początku 2017 r., gdy na jednym z jego serwerów zostało zainstalowane oprogramowanie służące do wykopywania waluty Monero. Od tamtej pory cyberprzestępcy kilkukrotnie zostali złapani na atakowaniu rynku wymiany kryptowalut, jak również zwykłych organizacji finansowych. Fakt, że przygotowali szkodliwy program do infekowania użytkowników platformy macOS i najprawdopodobniej utworzyli całkowicie fałszywą firmę z oprogramowaniem i produkty w celu zapewnienia sobie możliwości dystrybucji tego szkodliwego programu tak, aby nie został wykryty przez rozwiązania zabezpieczające, oznacza, że widzą potencjalnie duże zyski z całej operacji, a my z pewnością powinniśmy spodziewać się większej liczby takich przypadków w niedalekiej przyszłości. Jeśli chodzi o użytkowników systemu macOS, ten przypadek powinien być dla nich alarmem, zwłaszcza jeśli korzystają ze swoich urządzeń do przeprowadzania działań obejmujących kryptowaluty — ostrzega Witalij Kamliuk, dyrektor Globalnego Zespołu ds. Badań i Analiz (GReAT) firmy Kaspersky Lab w regionie Azji i Pacyfiku, Kaspersky Lab.
Ugrupowanie Lazarus, znane ze swoich wyrafinowanych działań i powiązań z Koreą Północną, zasłynęło nie tylko atakami cyberszpiegowskimi i cybersabotażem, lecz również atakami motywowanymi kwestiami finansowymi. Wielu badaczy, w tym z firmy Kaspersky Lab, już wcześniej informowało, że ugrupowanie to atakuje banki i inne duże przedsiębiorstwa finansowe.
W celu zapewnienia ochrony sobie i firmie przed wyrafinowanymi cyberatakami przeprowadzanymi przez takie grupy jak Lazarus, eksperci bezpieczeństwa firmy Kaspersky Lab zalecają stosowanie się do następujących wskazówek:
- Nie ufaj automatycznie kodowi, które działa w systemach. Ani legalnie wyglądająca strona, ani solidny profil firmy, ani cyfrowe certyfikaty nie gwarantują, że nie zawierają one backdoorów.
- Korzystaj z niezawodnego rozwiązania bezpieczeństwa wyposażonego w technologie wykrywania szkodliwego zachowania, które umożliwiają identyfikowanie nawet wcześniej nieznanych zagrożeń.
- Zadbaj o to, aby pracownicy działu bezpieczeństwa w Twojej firmie regularnie otrzymywali wartościowe raporty zawierające analizę zagrożeń, dzięki którym będą mieli szybki dostęp do informacji o najnowszych trendach w taktykach, technikach i procedurach stosowanych przez wyrafinowanych cyberprzestępców.
- Jeśli masz do czynienia z poważnymi transakcjami finansowymi, korzystaj z wieloetapowej autoryzacji i portfeli sprzętowych. W tym celu najlepiej jest używać oddzielnego, odizolowanego komputera, który nie służy do przeglądania internetu i czytania poczty e-mail.
Pełna wersja raportu poświęconego cyberkampanii AppleJeus https://securelist.com/operation-applejeus/87553.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.
Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie http://www.kaspersky.pl/nowosci.