Эксперты «Лаборатории Касперского», российской компании в сфере информационной безопасности, обнаружили новую вредоносную операцию известной группировки Lazarus. Атака получила название AppleJeus, и ее целью стала криптовалютная биржа в Азии.
Напомним, что группировку Lazarus, также известную под названиями Hidden Cobra и Guradians of the Peace, связывают с правительством Северной Кореи (КНДР). На Западе считают, что она связана с киберподразделением северокорейской разведки, известным как Bureau 121. В 2015 году перебежчик из КНДР, профессор информатики Ким Хен Кван в беседе с информационным агентством BBC рассказал о Bureau 121. По его словам, в подразделении служат около 6,000 «военных хакеров», в их задачи входят атаки на инфраструктурные объекты — линии связи и коммуникационные спутники.
В данном случае, в сеть жертвы злоумышленники проникли с помощью зараженной программы для торговли криптовалютами. Аналитики «Лаборатории Касперского» выяснили, что успеху атаки сопутствовал человеческий фактор. Ничего не подозревающий сотрудник компании-жертвы скачал стороннее приложение с сайта разработчика ПО для торговли криптовалютами. Сайт при этом выглядел вполне легитимно.
Код приложения, оказавшегося вредоносным, в целом не вызывает подозрений, за исключением одного компонента, отвечающего за обновления. В легитимном ПО подобные модули используются для загрузки новых версий программы. Однако в случае AppleJeus этот компонент применялся для «разведки» и сбора информации: программа собирала базовые данные о компьютере, отправляла их злоумышленникам, и если те решали, что жертва им интересна, загружала вредоносный код под видом обновления. Зловред, попадавший на заражённые компьютеры, оказался хорошо известен исследователям: это троянец Fallchill – старый инструмент Lazarus, к которому группировка недавно решила вернуться. Именно этот факт и позволил аналитикам сделать предположение, кто стоит за атакой AppleJeus.
После установки Fallchill предоставляет атакующим практически неограниченный доступ к компьютеру жертвы, позволяя им красть ценную финансовую информацию или развертывать дополнительные инструменты в зависимости от цели и обстоятельств. Ситуация осложняется еще и тем, что в новой атаке злоумышленники решили не ограничиваться только привычной платформой Windows и создали идентичную версию троянца для операционной системы macOS, которая традиционно считалась менее подверженной кибератакам по сравнению с Windows.
Юрий Наместников, руководитель российского исследовательского центра «Лаборатории Касперского», прокомментировал: «Мы заметили растущий интерес Lazarus к рынкам криптовалют в начале 2017 года, когда группировка установила на одном из своих серверов ПО для майнинга Monero. С тех пор их неоднократно замечали в атаках на криптовалютные биржи и другие финансовые организации. На этот раз они разработали отдельное ПО для заражения пользователей macOS, расширив таким образом круг потенциальных жертв, и, скорее всего, создали целую поддельную софтверную компанию и поддельное ПО, чтобы обойти радары защитных решений. Все это говорит о том, что они видят в операции AppleJeus потенциально большую выгоду, и в ближайшем будущем подобных атак может стать больше. А для пользователей macOS это должно стать своего рода сигналом тревоги, особенно если они используют свои Mac-компьютеры для операций с криптовалютами».