Istraživači u timu za globalna istraživanja i analize u kompaniji Kaspersky Lab (Global Research and Analysis Team – GReAT) otkrili su AppleJeus – novu zlonamernu operaciju koju je pokrenula ozloglašena Lazarus grupa. Napadači su prodrli u sistem za razmenu kripotvaluta u Aziji koristeći trojanizovan softver za trgovanje kriptovalutama. Cilj napada bio je da se žrtvama ukradu kriptovalute. Pored malicioznog softvera zasnovanog na Windows-u, istraživači su identifikovali i prethodno nepoznatu verziju koja je usmerena na MacOS platformu.
Ovo je prvi slučaj kada su istraživači kompanije Kaspersky Lab primetili da ozloglašena Lazarus grupa distribuira malver koji cilja korisnike MacOS-a, a predstavlja alarm svima koji koriste ovaj sistem za aktivnosti u vezi kriptovaluta.
Na osnovu analize GReAT tima, prodor na infrastrukturu sistema za razmenu kriptovaluta je započeo kada je jedan od zaposlenih u kompaniji preuzeo aplikaciju treće strane sa veb sajta kompanije koja se bavi razvojem softvera za trgovanje kriptovalutama, koji je naizgled delovao kao
Sam kod aplikacije nije sumnjiv, sa izuzetkom jedne komponente – updater-a. U legitimnom softveru takve komponente se koriste za preuzimanje novih verzija programa. U slučaju AppleJeus-a, on deluje kao “izviđački” modul: najpre prikuplja osnovne podatke o računaru na koji je instaliran, zatim ih šalje nazad komandnom i kontrolnom serveru i, ako napadači odluče da je računar vredan napada, zlonamerni kod se vraća u obliku softver update-a. Maliciozni update zatim instalira trojanac poznat kao “Fallchill” – već korišćen, stari alat koj Lazarus grupa odnedavno ponovo koristi. Ova činjenica je istraživačima obezbedila osnov za sumnju. Nakon instalacije, Fallchill Trojan pruža napadačima gotovo neograničen pristup napadnutom računaru, omogućavajući im krađu dragocenih finansijskih informacija ili upotrebu dodatnih alata u te svrhe.
Situaciju je pogoršala činjenica da su kriminalci razvili softver za Windows, kao i MacOS platformu, koja je generalno mnogo manje izložena sajber pretnjama od Windows-a. Funkcionalnost obe verzije malvera je potpuno ista.
Još jedna neobična stvar u vezi sa operacijom AppleJeus je da, iako napad izgleda kao napad na lanac snabdevanja, u stvarnosti to možda nije slučaj. Proizvođač softvera za trgovanje kriptovalutama koji je korišćen da isporuči zlonamerni teret na računare žrtava ima važeći digitalni sertifikat za potpisivanje svog softvera i registarske zapise za domen koji deluju legitimno. Međutim – bar na osnovu javno dostupnih informacija – istraživači kompanije Kaspersky Lab nisu uspeli da identifikuju nijednu legitimnu organizaciju koja se nalazi na adresi korišćenoj u informacijama na sertifikatu.
“Primetili smo sve veći interes Lazarus grupe za tržište kriptovaluta početkom 2017. godine, kada je Monero sofver za majning kriptovaluta bio instaliran na jednom od njihovih servera od strane Lazarus operatera. Od tada, nekoliko puta su uhvaćeni u ciljanim napadima na programe za razmenu kriptovaluta, pored redovnih napada na finansijske organizacije. Činjenica da su razvili zlonamerne programe kako bi zarazili korisnike MacOS platofrme pored korisnika Windows-a i, najverovatnije čak stvorili i potpuno lažnu softversku kompaniju i softverski proizvod kako bi mogli da isporuče ovaj malver neopaženo, znači da oni vide potencijalno velike profite u celoj operaciji, a trebalo bi očekivati više takvih slučajeva u bliskoj budućnosti. Za korisnike MacOS platforme, ovaj slučaj je alarm, pogotovo ako koriste svoje Mac računare za obavljanje operacija sa kriptovalutama”, napominje Vitali Kamluk (Vitaly Kamluk), šef GReAT APAC tima u kompaniji Kaspersky Lab.
Grupa Lazarus, poznata po svojim sofisticiranim operacijam i povezanosti sa Severnom Korejom, svoju reputaciju stekla je ne samo zbog sajberšpiunaže i sajbersabotaže, već i zbog finansijski motivisanih napada. Veliki broj istraživača, uključujući i one u kompaniji Kaspersky Lab, prethodno su prijavili ovu grupu koja je ciljala banke i druga velika finansijska preduzeća.
Da biste zaštitili sebe i vašu kompaniju od sofisticiranih sajber-napada i grupa poput Lazarusa, stručnjaci za bezbednost iz kompanije Kaspersky Lab savetuju sledeće:
- Nemojte automatski verovati kodu koji radi na vašim sistemima. Sajt koji deluje autentično, kao ni solidan profil kompanije ili digitalni certifikati nisu garancija za odsustvo bekdor virusa.
- Koristite robusno bezbednosno rešenje, opremljeno tehnologijama za otkrivanje zlonamernog ponašanja koje omogućavaju da se identifikuju i spreče čak i ranije nepoznate pretnje.
- Pretplatite bezbednosni tim vaše organizacije na visokokvalitetnu uslugu izveštavanja kako biste dobili pristup informacijama o najnovijim dešavanjima i taktici, tehnikama i procedurama sofisticiranih aktera pretnji.
- Koristite multi-faktorsku autentikaciju i hardverske novčanike ako se bavite značajnim finansijskim transakcijama. U tu svrhu, poželjno koristite samostalni, izolovani računar koji ne koristite za pretraživanje interneta ili čitanje e-pošte.