Kaspersky Lab Starptautiskās pētniecības un analīzes grupas (GReAT) pētnieki ir atklājuši AppleJeus — pazīstamās grupas Lazarus jaunu ļaunprātīgo operāciju. Uzbrucēji iekļuva kriptovalūtu biržas tīklā Āzijā, izmantojot kriptonaudas tirdzniecības programmatūru ar Trojas zirgu. Uzbrukuma mērķis bija zagt upuru kriptonaudu. Līdztekus Windows videi paredzētai ļaunprogrammatūrai pētnieki konstatēja arī iepriekš nezināmu versiju, kas domāta macOS platformai.
Šis ir pirmais gadījums, kad pētnieki ir novērojuši bēdīgi slaveno grupu Lazarus izplatām pret macOS lietotājiem vērstu ļaunprogrammatūru, un tas ir brīdinājuma signāls visiem, kas izmanto šo operētājsistēmu, lai veiktu ar kriptovalūtām saistītas darbības.
GReAT analīze liecina, ka iekļūšana biržas infrastruktūrā sākās, kad no kriptovalūtu tirdzniecības programmatūru izstrādes uzņēmuma leģitīma izskata vietnes neko nenojautošs uzņēmuma darbinieks lejupielādēja trešas puses lietotni.
Lietotnes kods nešķiet aizdomīgs, izņemot vienu komponentu — atjauninātāju. Likumīgās programmatūrās šādi komponenti tiek izmantoti jaunu programmas versiju lejupielādei. Savukārt AppleJeus tas darbojas par izlūkošanas moduli: vispirms tas vāc pamatinformāciju par datoru, kurā ir instalēts, tad nosūta šo informāciju atpakaļ uz komandvadības serveri un, ja uzbrucēji nolemj, ka datoram ir vērts uzbrukt, ļaunprātīgais kods atgriežas programmatūras atjauninājuma formā. Ļaunprātīgais atjauninājums instalē Trojas zirgu, kas pazīstams ar nosaukumu Fallchill — tas ir vecs rīks, pie kura izmantošanas nesen ir atgriezusies grupa Lazarus. Šis fakts pētniekiem deva pamatu uzbrukuma autorības noteikšanai. Pēc instalēšanas Trojas zirgs Fallchill nodrošina uzbrucējiem gandrīz neierobežotu piekļuvi uzbrukumam pakļautajam datoram, tādējādi ļaujot viņiem zagt vērtīgu finansiālo informāciju vai izvietot šim nolūkam paredzētus papildu rīkus.
Situāciju pasliktina fakts, ka noziedznieki ir izstrādājuši programmatūru gan Windows, gan macOS platformai. Pēdējā parasti ir daudz mazāk pakļauta kiberdraudiem nekā Windows. Ļaunprogrammatūras abu platformu versiju funkcionalitāte ir pilnīgi vienāda.
Saistībā ar operāciju AppleJeus arī neparasti, ka, lai gan tas izskatās pēc uzbrukuma piegādes ķēdei, patiesībā tas tā var nebūt. Ļaunprātīgā vērtuma piegādei upuru datoros izmantotās kriptovalūtu tirdzniecības programmatūras pārdevējam ir derīgs ciparsertifikāts savas programmatūras parakstīšanai un likumīga izskata domēna reģistrācijas ieraksti, tomēr, vismaz pamatojoties uz publiski pieejamu informāciju, pētniekiem neizdevās identificēt nevienu likumīgu organizāciju, kas atrodas sertifikāta informācijā izmantotajā adresē.
«Mēs ievērojām grupas Lazarus augošo interesi par kriptovalūtu tirgiem 2017. gada sākumā, kad Lazarus operators vienā no saviem serveriem instalēja Monero izraces programmatūru. Kopš tā laika grupa ir vairākkārt pamanīta uzbrūkam kriptovalūtu biržām, kā arī parastām finanšu organizācijām. Fakts, ka grupa ir izstrādājusi ļaunprogrammatūru, lai līdztekus Windows lietotājiem inficētu macOS lietotājus, un, visticamāk, pat izveidojusi pilnīgi viltotu programmatūras izstrādes uzņēmumu un pašu programmatūru, lai varētu piegādāt šo ļaunprogrammatūru, drošības risinājumu neatklāta, nozīmē, ka grupa saskata potenciāli lielu peļņu no visas operācijas un katrā ziņā tuvākajā laikā ir gaidāms vairāk šādu gadījumu. Šis gadījums ir brīdinājuma signāls macOS lietotājiem, it īpaši, ja viņi izmanto Mac datorus, lai veiktu darbības ar kriptovalūtām,» norāda Kaspersky Lab GReAT Āzijas un Klusā okeāna reģiona grupas vadītājs Vitālijs Kamļuks.
Grupa Lazarus, kas ir pazīstama ar sarežģītiem mērķuzbrukumiem un saikni ar Ziemeļkoreju, ir bēdīgi slavena ne vien ar kiberspiegošanas un kibersabotāžas, bet arī finansiāli motivētiem uzbrukumiem. Vairāki pētnieki iepriekš ir informējuši par šīs grupas uzbrukumiem bankām un citiem lieliem finanšu uzņēmumiem.
Lai aizsargātu sevi un savu uzņēmumu no Lazarus un tamlīdzīgu grupu veiktiem sarežģītiem kiberuzbrukumiem, drošības eksperti iesaka rīkoties šādi.
Nevajag automātiski uzticēties kodam, kas darbojas jūsu sistēmās. Ne autentiska izskata vietne, ne solīds uzņēmuma profils, ne ciparsertifikāti negarantē sāndurvju neesību.
Izmantojiet spēcīgu drošības risinājumu, kas ietver ļaunprātīgu norišu noteikšanas tehnoloģijas, jo tās ļauj noķert pat iepriekš nepazīstamus apdraudējumus.
Abonējiet savas organizācijas drošības grupai augstas kvalitātes apdraudējumu izlūkošanas paziņojumu pakalpojumu, lai agri piekļūtu informācijai par visjaunākajām pārmaiņām sarežģītu apdraudējumu izpildītāju taktikā, paņēmienos un procedūrās.
Ja veicat nozīmīgus finansiālos darījumus, izmantojiet daudzfaktoru autentifikāciju un aparatūras makus. Šim nolūkam vēlams izmantot savrupu, izolētu datoru, ko jūs nelietojat interneta pārlūkošanai vai e-pasta vēstuļu lasīšanai.
