Hackeri hackli ruskú zbrojovku. Za útokom stojí jeden zo spojencov krajiny. Dôjde k naštrbeniu ich vzťahov?!
Bezpečnostní experti odhalili aktivitu dvoch významných severokórejských hackerských skupín. Tie pri útoku na významný ruský cieľ konali ako jeden.
Bezpečnostní analytici spoločnosti Sentinel Labs už dlhšie sledovali severokórejských hackerov, ktorí posledný rok vykonali niekoľko rôznych útočných kampaní.
V najnovšom prípade si všimli zbierku e-mailov, ktoré unikli na internet. Hlbšie vyšetrovanie odhalilo oveľa väčší útok, ktorý v tom čase kompromitovaná organizácia nezachytila v plnej miere. Severokórejskí hackeri napadli organizáciu Mashinostroyeniya, vedúceho ruského výrobcu rakiet a armádnych vesmírnych zariadení. Táto spoločnosť je dcérskou spoločnosťou JSC Tactical Missiles Corporation.
Mashinostroyeniya je spoločnosť, ktorá prechováva mimoriadne citlivé informácie, týkajúce sa raketových technológií, ktoré sú momentálne vo vývoji pre ruskú armádu. Bezpečnostní experti veria že e-maily unikli z tejto napadnutej organizácie, no zároveň naznačujú že únik mailov bol náhodný. Napriek tomu však ponúka cenné informácie o dizajne internej siete spoločnosti, bezpečnostných medzier a aktivity iných hackerov.
V polovici mája 2022 Rusko vetovalo rozhodnutie Spojených národov o uvalení nových sankcií na Severnú Kóreu v prípade interkontinentálnych balistických rakiet, ktorá by mohli prenášať jadrové hlavice. Uniknuté e-maily ukazujú výmenu správ IT oddelenia, ktorá sa týka podozrivých komunikácií medzi špecifickými procesmi a neznámou externou infraštruktúrou. Zároveň sa IT pracovníkom podarilo identifikovať podozrivý DLL súbor v niekoľkých interných systémoch.
Severná Kórea chce posunúť vývoj raketových systémov
Podozrivý súbor o ktorom sa bavili pracovníci Mashinostroyeniya bezpečnostní experti identifikovali ako zadné dvierka OpenCarrot Windows OS backdoor. Tento softvér používala severokórejská hackerská skupina Lazarus a je mimoriadne bohatý na funkcionality, nastaviteľný a prispôsobivý. Malvér OpenCarrot umožňuje kompromitovanie celého zariadenia a niekoľko infekcií naprieč lokálnou sieťou. Jeho odhalenie so sebou nesie pravdepodobnosť kompromitácie celej siete spoločnosti.
Neprehliadnite
Čo sa týka podozrivej komunikácie, e-mailový server vysielal dáta do infraštruktúry spojenej s hackerskou skupinou ScarCruft. O tejto skupine sa predpokladá že je sponzorovaná Severnou Kóreou a bežne cieli na vysokopostavených jedincov takmer po celom svete.
Bezpečnostní experti poznamenávajú, že tento útok ponúka jedinečný pohľad na kyberšpionážne aktivity Severnej Kórei. Zároveň sa expertom ponúka šanca pochopiť vzťahy a ciele rôznych severokórejských hackerských skupín. Čo je však zaujímavejšie, tento útok by mohol znamenať výrazné naštrbenie vzťahov medzi Ruskom a Severnou Kóreou, ktoré donedávna rástli.
Bezpečnostní experti zároveň poukazujú na prepojenie dvoch severokórejských hackerských skupín. Nevylučuje sa ani možnosť, že tieto dve skupiny majú zdieľané zdroje, infraštruktúru či prístup k napadnutým sieťam. Spoločnosť Mashinostroyeniya je zároveň mimoriadne významným cieľom, čo si mohlo vyžadovať útok niekoľkých skupín súčasne.
Je pravdepodobné, že Severná Kórea si vybrala túto spoločnosť, aby získala mimoriadne cenné informácie, ktoré by pomohli krajine v ďalšom vývoji svojich raketových systémov. Zároveň sa ukazuje, že tieto hackerské skupiny treba považovať za hrozbu vyžadujúci si globálne monitorovanie. Hackerské skupiny Lazarus a ScarCruft pri útoku na jednu z vedúcich ruských vojenských organizácii ukázali, že vedia pracovať ako jeden tím. Tieto skupiny vykonávajú kampane rozličných druhov, pričom sú motivované rôznymi faktormi. Bezpečnostní experti by preto aktivitu týchto skupín mali monitorovať s najvyššou opatrnosťou.
Komentáre