To pierwszy przypadek, w którym badacze z Kaspersky Lab zaobserwowali znaną grupę Lazarus dystrybuującą szkodliwe oprogramowanie wymierzone w użytkowników platformy macOS, co powinno zaniepokoić jej wszystkich użytkowników, którzy mają do czynienia z kryptowalutami.

Jak wynika z analiz zespołu GReAT, do infekcji infrastruktury giełdy doszło, gdy niczego niepodejrzewający pracownik pobrał aplikację innej firmy z legalnie wyglądającej strony organizacji, która tworzy oprogramowanie umożliwiające handel kryptowalutami.

W kodzie aplikacji nie ma niczego podejrzanego poza jednym komponentem — modułem aktualizacji. W legalnych programach komponenty takie pobierają nowsze wersje programów; w przypadku oprogramowania AppleJeus działał on jak moduł służący do rekonesansu: najpierw gromadził podstawowe informacje o komputerze, na którym został zainstalowany, a następnie wysyłał je do serwera kontroli. Jeśli atakujący zdecydowali, że komputer jest warty ataku, szkodliwy kod powracał pod postacią aktualizacji oprogramowania. Fałszywa aktualizacja instalowała trojana o nazwie Fallchill; jest to stare narzędzie, do którego niedawno wróciło ugrupowanie Lazarus. Dzięki niemu badacze mogli zidentyfikować autora zagrożenia. Po instalacji trojan Fallchill umożliwiał atakującym niemal nielimitowany dostęp do komputera w celu kradzieży cennych informacji finansowych lub zainstalowania służących do tego dodatkowych narzędzi.

Sytuację pogarsza fakt, że cyberprzestępcy utworzyli program zarówno dla platformy Windows, jak i macOS, która ogólnie jest znacznie mniej podatna na cyberzagrożenia. Funkcjonalność obu wersji szkodliwego programu jest dokładnie taka sama.

Inną nietypową cechą operacji AppleJeus jest fakt, że pozornie wygląda ona jak atak na łańcuch dostaw. Dostawca oprogramowania służącego do wymiany kryptowalut, które zostało użyte do dostarczenia na komputer ofiary szkodliwego ładunku, ma aktualny certyfikat cyfrowy do podpisywania swojego programu i legalnie wyglądające rekordy rejestracyjne domeny. Jednak — przynajmniej tak wynika z publicznie dostępnych informacji — badacze z Kaspersky Lab nie mogli zidentyfikować żadnej legalnie działającej organizacji znajdującej się pod adresem wskazanym w informacji na certyfikacie.

Ugrupowanie Lazarus, znane ze swoich wyrafinowanych działań i powiązań z Koreą Północną, zasłynęło nie tylko atakami cyberszpiegowskimi i cybersabotażem, lecz również atakami motywowanymi kwestiami finansowymi. Wielu badaczy już wcześniej informowało, że ugrupowanie to atakuje banki i inne duże przedsiębiorstwa finansowe.

W celu zapewnienia ochrony sobie i firmie przed wyrafinowanymi cyberatakami przeprowadzanymi przez takie grupy jak Lazarus, eksperci zalecają stosowanie się do następujących wskazówek:

• Nie ufaj automatycznie kodowi, które działa w systemach. Ani legalnie wyglądająca strona, ani solidny profil firmy, ani cyfrowe certyfikaty nie gwarantują, że nie zawierają one backdoorów.
• Korzystaj z niezawodnego rozwiązania bezpieczeństwa wyposażonego w technologie wykrywania szkodliwego zachowania, które umożliwiają identyfikowanie nawet wcześniej nieznanych zagrożeń.
• Zadbaj o to, aby pracownicy działu bezpieczeństwa w Twojej firmie regularnie otrzymywali wartościowe raporty zawierające analizę zagrożeń, dzięki którym będą mieli szybki dostęp do informacji o najnowszych trendach w taktykach, technikach i procedurach stosowanych przez wyrafinowanych cyberprzestępców.
• Jeśli masz do czynienia z poważnymi transakcjami finansowymi, korzystaj z wieloetapowej autoryzacji i portfeli sprzętowych. W tym celu najlepiej jest używać oddzielnego, odizolowanego komputera, który nie służy do przeglądania internetu i czytania poczty e-mail.

Źródło: Kaspersky Lab Polska