Badacze z Globalnego Zespo?u ds. Bada? i Analiz (GReAT), Kaspersky Lab, odkryli now? szkodliw? operacj? AppleJeus przeprowadzan? przez nies?awn? grup? Lazarus. Atakuj?cy przedostaj? si? do sieci gie?dy wymiany kryptowalut w Azji przy u?yciu zainfekowanego trojanem oprogramowania s?u??cego do handlu kryptowalutami. Celem ataku jest kradzie? kryptowaluty. Oprócz oprogramowania przeznaczonego dla systemu Windows badacze zidentyfikowali wcze?niej nieznan? wersj? atakuj?c? platform? macOS.
To pierwszy przypadek, w którym badacze z Kaspersky Lab zaobserwowali znan? grup? Lazarus dystrybuuj?c? szkodliwe oprogramowanie wymierzone w u?ytkowników platformy macOS, co powinno zaniepokoi? jej wszystkich u?ytkowników, którzy maj? do czynienia z kryptowalutami.
Jak wynika z analiz zespo?u GReAT, do infekcji infrastruktury gie?dy dosz?o, gdy niczego niepodejrzewaj?cy pracownik pobra? aplikacj? innej firmy z legalnie wygl?daj?cej strony organizacji, która tworzy oprogramowanie umo?liwiaj?ce handel kryptowalutami.
W kodzie aplikacji nie ma niczego podejrzanego poza jednym komponentem — modu?em aktualizacji. W legalnych programach komponenty takie pobieraj? nowsze wersje programów; w przypadku oprogramowania AppleJeus dzia?a? on jak modu? s?u??cy do rekonesansu: najpierw gromadzi? podstawowe informacje o komputerze, na którym zosta? zainstalowany, a nast?pnie wysy?a? je do serwera kontroli. Je?li atakuj?cy zdecydowali, ?e komputer jest warty ataku, szkodliwy kod powraca? pod postaci? aktualizacji oprogramowania. Fa?szywa aktualizacja instalowa?a trojana o nazwie Fallchill; jest to stare narz?dzie, do którego niedawno powróci?o ugrupowanie Lazarus. Dzi?ki niemu badacze mogli zidentyfikowa? autora zagro?enia. Po instalacji trojan Fallchill umo?liwia? atakuj?cym niemal nielimitowany dost?p do komputera w celu kradzie?y cennych informacji finansowych lub zainstalowania s?u??cych do tego dodatkowych narz?dzi.
Sytuacj? pogarsza fakt, ?e cyberprzest?pcy utworzyli program zarówno dla platformy Windows, jak i macOS, która ogólnie jest znacznie mniej podatna na cyberzagro?enia. Funkcjonalno?? obu wersji szkodliwego programu jest dok?adnie taka sama.
Inn? nietypow? cech? operacji AppleJeus jest fakt, ?e pozornie wygl?da ona jak atak na ?a?cuch dostaw. Dostawca oprogramowania s?u??cego do wymiany kryptowalut, które zosta?o u?yte do dostarczenia na komputer ofiary szkodliwego ?adunku, ma aktualny certyfikat cyfrowy do podpisywania swojego programu i legalnie wygl?daj?ce rekordy rejestracyjne domeny. Jednak — przynajmniej tak wynika z publicznie dost?pnych informacji — badacze nie mogli zidentyfikowa? ?adnej legalnie dzia?aj?cej organizacji znajduj?cej si? pod adresem wskazanym w informacji na certyfikacie.
Ugrupowanie Lazarus, znane ze swoich wyrafinowanych dzia?a? i powi?za? z Kore? Pó?nocn?, zas?yn??o nie tylko atakami cyberszpiegowskimi i cybersabota?em, lecz równie? atakami motywowanymi kwestiami finansowymi. Wielu badaczy ju? wcze?niej informowa?o, ?e ugrupowanie to atakuje banki i inne du?e przedsi?biorstwa finansowe.
W celu zapewnienia ochrony sobie i firmie przed wyrafinowanymi cyberatakami przeprowadzanymi przez takie grupy jak Lazarus, eksperci bezpiecze?stwa zalecaj? stosowanie si? do nast?puj?cych wskazówek:
- Nie ufaj automatycznie kodowi, który dzia?a w systemach. Ani legalnie wygl?daj?ca strona, ani solidny profil firmy, ani cyfrowe certyfikaty nie gwarantuj?, ?e nie zawieraj? one backdoorów.
- Korzystaj z niezawodnego rozwi?zania bezpiecze?stwa wyposa?onego w technologie wykrywania szkodliwego zachowania, które umo?liwiaj? identyfikowanie nawet wcze?niej nieznanych zagro?e?.
- Zadbaj o to, aby pracownicy dzia?u bezpiecze?stwa w Twojej firmie regularnie otrzymywali warto?ciowe raporty zawieraj?ce analiz? zagro?e?, dzi?ki którym b?d? mieli szybki dost?p do informacji o najnowszych trendach w taktykach, technikach i procedurach stosowanych przez wyrafinowanych cyberprzest?pców.
- Je?li masz do czynienia z powa?nymi transakcjami finansowymi, korzystaj z wieloetapowej autoryzacji i portfeli sprz?towych. W tym celu najlepiej jest u?ywa? oddzielnego, odizolowanego komputera, który nie s?u?y do przegl?dania internetu i czytania poczty e-mail.
