Hlavní navigace

V Česku byla detekována kybernetická špionáž útočníků napojených na Severní Koreu

24. 2. 2023

Sdílet

APT Lazarus Autor: ESET

Slovenská kyberbezpečnostní společnost ESET v Česku detekovala aktivity severokorejské hackerské skupiny Lazarus, jenž má vazby na tamní režim. Jde o malware Wslink využívaný pro kybernetickou špionáž. Jména subjektů, které byly útokem postiženy, nejsou veřejná.

Lazarus lze zařadit mezi skupiny APT, které jsou sponzorovány státy. Často mají vlastní unikátní malware, pomocí něhož útočí na specifické cíle. Z nich se snaží získat data a provádět u nich kybernetickou špionáž. Lazarus je aktivní od roku 2009. Stojí za útokem na Sony Pictures nebo šířením ransomwaru WannaCry.

Vladislav Hrčka, který aktuální útok objevil, ho popisuje takto:

Útočníci pomocí škodlivého kódu mají možnost vniknout do vnitřní sítě napadené organizace skrze útočníkem vytvořená zadní vrátka – tuto roli hraje v námi popsaném útoku jeden z modulů programu Wslink – backdoor WinorDLL64.

Malware pak může získat v podstatě libovolné informace, které mohou útočníci následně zpeněžit, nebo využít takto získaná data pro špionáž. Objevený backdoor dokáže exfiltrovat, přepisovat a odstraňovat soubory, spouštět příkazy a získávat rozsáhlé informace o systému.

Technicky přesně lze detekovaný útok popsat následovně – Wslink, který obsahuje soubor s názvem WinorLoaderDLL64.dll, je loader binárních souborů systému Windows, který funguje jako server a spouští přijaté moduly v paměti.

Jedná se tak o univerzální jádro čekající na napadeném zařízení na dodání dalšího škodlivého kódu, který pak provede konkrétní, závadnou akci, tedy vpuštění vlastního malwaru do již napadeného systému. Díky své modularitě a schopnosti stáhnout a zavést další modul může být později využíván také k dalším krokům. Wslink naslouchá na portu uvedeném v konfiguraci a může obsluhovat další připojující se klienty a načítat další škodlivé kódy.

WinorDLL64 se svou podobou i chováním překrývá s několika vzorky skupiny Lazarus, což naznačuje, že by mohlo jít o nástroj z rozsáhlého arzenálu této severokorejské APT skupiny.

Původně neznámý DLL modul WinorDLL64 byl na bezpečnostní web VirusTotal nahrán z Jižní Koreje, krátce po zveřejnění příspěvku na blogu společnosti ESET, a tím odhalil, jaké moduly malware Wslink stahuje a spouští. Telemetrie společnosti ESET zaznamenala pouze několik detekcí loaderu Wslink v Severní Americe, na Blízkém východě a ve střední Evropě, a to včetně České republiky. Společnost AhnLab ve své telemetrii také potvrdila oběti z Jižní Koreje, což je relevantní ukazatel vzhledem k tradičním cílům skupiny Lazarus a k tomu, že společnost ESET zaznamenala pouze několik detekcí.

Podrobnější technické detaily jsou k dispozici zde.

Přelomový úspěch. Slováci a Češi budou s Microsoftem či Googlem chránit kyberprostor USA Přečtěte si také:

Přelomový úspěch. Slováci a Češi budou s Microsoftem či Googlem chránit kyberprostor USA

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.

Byl pro vás článek přínosný?

Autor aktuality

Reportér Lupa.cz a E15. O technologiích píše také do zahraničních médií.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).