Cercetătorii din echipa globală de cercetare și analiză a Kaspersky Lab (GReAT) au descoperit AppleJeus – o nouă operațiune a grupului Lazarus. Atacatorii au pătruns în rețeaua unei case de schimb de criptomonede folosind un program infectat cu un troian. Scopul atacului era să fure criptomonede de la victime. În afară de malware-ul pentru Windows, cercetătorii au reușit să identifice o versiune necunoscută până acum, care vizează platforma macOS.
Acesta este primul caz în care cercetătorii Kaspersky Lab au observat că celebrul grup Lazarus a distribuit malware pentru utilizatorii de macOS și este un semnal de alarmă pentru toți cei care folosesc acest sistem de operare pentru activități legate de criptomonede.
Pe baza analizei realizate de echipa GReAT, pătrunderea în infrastructura casei de schimb a început în momentul în care un angajat a descărcat o aplicație de pe un site care părea legitim, al unei companii care dezvoltă software pentru schimbul de criptomonede.
Codul aplicației nu pare suspect, cu excepția unei singure componente, cea de actualizare. În software-ul legitim, astfel de componente sunt folosite pentru a descărca noi versiuni ale programelor. În cazul AppleJeus, se comportă ca un modul aflat în recunoaștere: mai întâi colectează informații generale despre computerul pe care a fost instalat, apoi trimite aceste informații la serverul de comandă și control. Dacă atacatorii decid că merită să fie atacat acel computer, codul infectat revine sub forma unei actualizări. Aceasta instalează un troian cunoscut ca Fallchill, un instrument vechi pe care grupul Lazarus a început recent să-l refolosească. Pe baza indiciului respectiv, cercetătorii au avut un punct de plecare în atribuire. În momentul instalării, troianul Fallchill le oferă atacatorilor acces aproape nelimitat la computer, permițându-le să fure informații financiare valoroase sau să lanseze alte instrumente în acest scop.
Infractorii au dezvoltat software atât pentru Windows, cât și pentru platforma macOS. Ultima este, în general, mult mai puțin expusă la amenințări cibernetice, comparativ cu Windows. Funcționalitatea versiunilor pentru ambele platforme este exact aceeași.
Un alt lucru neobișnuit în legătură cu operațiunea AppleJeus este acela că, deși pare un atac asupra lanțului de furnizori, în realitate s-ar putea să nu fie așa. Producătorul schimbului de criptomonede care a fost folosit pentru a ataca victimele are un certificat digital valid și un domeniu care pare legitim. Însă – cel puțin pe baza informațiilor publice – cercetătorii Kaspersky Lab nu au putut să identifice o organizație reală la adresa menționată în informațiile din certificat.
„Am observat un interes tot mai mare al grupului Lazarus pentru piețele de criptomonede, la începutul anului 2017, atunci când soft-ul de mining de criptomonede Monero a fost instalat pe serverele unui operator Lazarus”, notează Vitaly Kamluk, Head of GReAT APAC la Kaspersky Lab. „De atunci, au fost descoperiți de mai multe ori vizând schimburile de criptomonede, alături de organizații financiare obișnuite. Faptul că au dezvoltat malware pentru a infecta utilizatorii de macOS, pe lângă cei de Windows și – cel mai probabil – au creat o companie de software falsă și un produs pentru a reuși să livreze acest malware, fără a fi detectat de soluțiile de securitate, înseamnă că văd un potențial de a realiza câștiguri mari și trebuie să ne așteptăm la alte cazuri similare pe viitor. Pentru utilizatorii de macOS, este un semnal de alarmă, mai ales dacă își folosesc Mac-urile pentru operațiuni cu criptomonede.”
Grupul Lazarus, cunoscut pentru atacurile sale complexe și legăturile cu Coreea de Nord s-a remarcat nu doar prin activitățile de spionaj și sabotaj cibernetic, ci și prin atacuri motivate de câștigul financiar. Mai mulți cercetători, inclusiv cei de la Kaspersky Lab, au raportat despre acest grup care a vizat bănci și alte organizații financiare mari.
Pentru protecția utilizatorilor individuali și a companiilor de atacuri cibernetice complexe din partea unor grupuri precum Lazarus, experții recomandă următoarele:
- Nu acordați automat încredere codului care rulează în sistemele pe care le dețineți. Nici un site care pare autentic, nici un profil serios al companiei, nici certificatele digitale nu garantează absența unor backdoor-uri.
- Folosiți o soluție de securitate eficientă, cu tehnologii de detecție a comportamentului periculos, care permit detectarea inclusiv a amenințărilor necunoscute anterior.
- Înscrieți-vă echipa de securitate a organizației la un serviciu de informații de calitate despre amenințări pentru a avea acces rapid la date despre cele mai recente mișcări în materie de tactici, tehnici și proceduri ale atacatorilor complecși.
- Folosiți autentificare multi-factor și portofele hardware dacă faceți tranzacții financiare semnificative. În acest scop, folosiți, de preferință, un computer izolat pe care nu navigați pe Internet și nu citiți e-mail-uri.
