Подписаться
Читать в телеграм
Атакующим удалось преодолеть сегментацию сети и получить доступ к конфиденциальной информации. Среди жертв атак были предприятия из России. Также были зарегистрированы обращения к инфраструктуре злоумышленников из Европы, Северной Америки, Ближнего Востока и Азии, что может говорить о возможных жертвах и в этих регионах.
Lazarus ведёт свою деятельность как минимум с 2009 года, организуя широкомасштабные кампании кибершпионажа, операции с применением программ-шифровальщиков и даже атаки на криптовалютный рынок. В последние годы группа была сосредоточена на атаках на финансовые учреждения по всему миру. Однако с начала 2020 года среди целей злоумышленников оказались и предприятия оборонной промышленности.
«Лаборатория Касперского» получила возможность более детально исследовать атаку, когда одна из пострадавших организаций обратилась за помощью. Эксперты компании обнаружили в сети бэкдор ThreatNeedle, ранее замеченный в атаках Lazarus на криптовалютные компании.
Начальное заражение происходило путём целевого фишинга: злоумышленники направляли письма с вредоносными документами Microsoft Word или ссылками на такие документы, размещённые на удаленном сервере. Злоумышленники сделали ставку на актуальную тему — профилактику и диагностику коронавирусной инфекции. Письма были написаны якобы от имени сотрудника медицинского центра, входящего в состав атакованной организации.
Если пользователь открывал вредоносный документ и разрешал выполнение макросов, зловред переходил к многоэтапной процедуре развёртывания. После установки ThreatNeedle злоумышленники получали практически полный контроль над устройством.
Одна из наиболее интересных деталей данной кампании связана с тем, как злоумышленники преодолели сегментацию сети. Сеть атакованного предприятия была разделена на два сегмента: корпоративный (сеть, компьютеры которой имеют доступ к интернету) и изолированный (сеть, компьютеры которой содержат конфиденциальные данные и не имеют доступа к интернету). При этом, согласно политикам безопасности, любая передача информации между этими сегментами запрещена, то есть они должны быть полностью разделены. Однако на деле администраторы имели возможность подключения к обоим сегментам для настройки и оказания технической поддержки пользователям в обеих зонах. Злоумышленникам удалось получить учётные данные от маршрутизатора, используемого администраторами для подключений к изолированной и корпоративной сетям. Изменив его настройки и установив на нём дополнительное ПО, они смогли превратить его в хостинг вредоносного ПО в сети предприятия. После этого маршрутизатор использовался для проникновения в изолированный сегмент, вывода данных из него и отправки их на командный сервер.
«Lazarus — не только сверхактивная группа, но и весьма продвинутая. Злоумышленники не только преодолели сегментацию сети, но и провели тщательное исследование, чтобы создать персонализированную и эффективную фишинговую рассылку и кастомизированные инструменты для передачи украденной информации на удалённый сервер. Предприятиям необходимо принимать дополнительные меры безопасности для защиты от такого рода кампаний кибершпионажа».
Вячеслав Копейцев,
старший эксперт Kaspersky ICS CERT.
Чтобы защитить организацию от подобных кибератак, «Лаборатория Касперского» рекомендует компаниям регулярно проводить для сотрудников тренинги по кибербезопасности, поскольку целевые атаки часто начинаются с фишинга или других техник социальной инженерии; если на предприятии есть сегменты сети, которые должны быть изолированы от прочих сетей и интернета, регулярно проверять, так ли это на самом деле, например при помощи периодическиханализов защищённости и тестов на проникновение; дополнительно рекомендуем установить и использовать средства мониторинга сетевой активности внутри и на границе периметра изолированной сети; удостовериться, что сотрудники ознакомлены с политиками кибербезопасности и следуют им; предоставить специалистам SOC-центра доступ к самым свежим данным об угрозах, например к порталу Kaspersky Threat Intelligence Portal, на котором собраны данные о кибератаках, накопленные за более 20 лет работы «Лаборатории Касперского», включая информацию об угрозах промышленным организациям и системам промышленной автоматизации.
