Оборонные предприятия по всему миру были атакованы хакерской группой Lazarus
Антивирусная компания «Лаборатория Касперского» сообщила об обнаружении в середине 2020 года новой вредоносной кампании APT-группы Lazarus: злоумышленники расширили своё портфолио атаками на оборонную промышленность, в которых они использовали вредоносное ПО ThreatNeedle, относящееся к кластеру Manuscrypt. В результате атакующим удалось преодолеть сегментацию сети и получить доступ к конфиденциальной информации. Среди жертв атак были предприятия из России. Также были зарегистрированы обращения к инфраструктуре злоумышленников из Европы, Северной Америки, Ближнего Востока и Азии, что может говорить о возможных жертвах и в этих регионах.
Напомним, что Lazarus ведёт свою деятельность как минимум с 2009 года, организуя широкомасштабные кампании кибершпионажа, операции с применением программ-шифровальщиков и даже атаки на криптовалютный рынок. В последние годы группа была сосредоточена на атаках на финансовые учреждения по всему миру. Однако с начала 2020 года среди целей злоумышленников оказались и предприятия оборонной промышленности.
«Лаборатория Касперского» отметила, что получила возможность более детально исследовать атаку, когда одна из пострадавших организаций обратилась за помощью. Эксперты компании обнаружили в сети бэкдор ThreatNeedle, ранее замеченный в атаках Lazarus на криптовалютные компании.
Начальное заражение происходило путём целевого фишинга: злоумышленники направляли письма с вредоносными документами Microsoft Word или ссылками на такие документы, размещённые на удаленном сервере. Злоумышленники сделали ставку на актуальную тему — профилактику и диагностику коронавирусной инфекции. Письма были написаны якобы от имени сотрудника медицинского центра, входящего в состав атакованной организации.
Если пользователь открывал вредоносный документ и разрешал выполнение макросов, зловред переходил к многоэтапной процедуре развёртывания. После установки ThreatNeedle злоумышленники получали практически полный контроль над устройством.
Одна из наиболее интересных деталей данной кампании связана с тем, как злоумышленники преодолели сегментацию сети. Сеть атакованного предприятия была разделена на два сегмента: корпоративный (сеть, компьютеры которой имеют доступ к интернету) и изолированный (сеть, компьютеры которой содержат конфиденциальные данные и не имеют доступа к интернету). При этом, согласно политикам безопасности, любая передача информации между этими сегментами запрещена, то есть они должны быть полностью разделены. Однако на деле администраторы имели возможность подключения к обоим сегментам для настройки и оказания технической поддержки пользователям в обеих зонах. Злоумышленникам удалось получить учётные данные от маршрутизатора, используемого администраторами для подключений к изолированной и корпоративной сетям. Изменив его настройки и установив на нём дополнительное ПО, они смогли превратить его в хостинг вредоносного ПО в сети предприятия. После этого маршрутизатор использовался для проникновения в изолированный сегмент, вывода данных из него и отправки их на командный сервер.