Operacija AppleJeus: Čuvena grupa Lazarius ponovo u akciji, sada imaju i malver za MacOS

Vesti, 28.08.2018, 10:30 AM

Istraživači tima za globalna istraživanja i analize kompanije Kaspersky Lab otkrili su AppleJeus, novu operaciju koju je pokrenula ozloglašena Lazarus grupa.

Napadači su prodrli u sistem za razmenu kripotvaluta u Aziji koristeći trojanizovani softver za trgovanje kriptovalutama. Cilj napada bio je krađa kriptovaluta. Pored malicioznog softvera pisanog za Windows, istraživači su identifikovali i verziju malicioznog softvera namenjenu MacOS platformi.

Ovo je prvi slučaj za koji u kompaniji Kaspersky Lab znaju, da ozloglašena Lazarus grupa distribuira malver koji cilja korisnike MacOS.

Analiza istraživača je pokazala da je prodor u infrastrukturu sistema za razmenu kriptovaluta započeo kada je jedan od zaposlenih u kompaniji preuzeo aplikaciju sa web sajta kompanije koja se bavi razvojem softvera za trgovanje kriptovalutama.

Sam kod aplikacije ne izgleda sumnjivo, sa izuzetkom jedne komponente - updatera. U legitimnom softveru takve komponente se koriste za preuzimanje novih verzija programa. U slučaju AppleJeusa, on funkcioniše kao “izviđački” modul: najpre prikuplja osnovne podatke o računaru na kome je instaliran, zatim ih šalje komandno-kontrolnom (C&C) serveru. Ako napadači odluče da je računar vredan napada, zlonamerni kod se vraća u obliku softverskog ažuriranja. Maliciozno ažuriranje instalira trojanca poznatog kao Fallchill - već korišćeni, stari alat koji grupa Lazarus odnedavno ponovo koristi.

Nakon instalacije, Fallchill obezbeđuje napadačima gotovo neograničen pristup napadnutom računaru, omogućavajući im krađu dragocenih finansijskih informacija ili upotrebu dodatnih alata u te svrhe.

Situaciju je pogoršala činjenica da su kriminalci razvili softver za Windows, kao i MacOS platformu, koja je generalno mnogo manje izložena sajber pretnjama od Windowsa. Funkcionalnost obe verzije malvera je potpuno ista.

Još jedna neobična stvar u vezi sa operacijom AppleJeus je da, iako napad izgleda kao napad na lanac snabdevanja, u stvarnosti to možda nije slučaj. Proizvođač softvera za trgovanje kriptovalutama koji je korišćen da isporuči zlonamerni teret na računare žrtava ima važeći digitalni sertifikat za potpisivanje svog softvera i registarske zapise za domen koji deluju legitimno. Međutim - bar na osnovu javno dostupnih informacija - istraživači kompanije Kaspersky Lab nisu uspeli da identifikuju nijednu legitimnu organizaciju koja se nalazi na adresi korišćenoj u informacijama na sertifikatu.

"Primetili smo sve veći interes Lazarus grupe za tržište kriptovaluta početkom 2017. godine, kada su operateri grupe instalirali Monero sofver za majning kriptovaluta na jednom od njihovih servera. Od tada, nekoliko puta su uhvaćeni u ciljanim napadima na programe za razmenu kriptovaluta, pored redovnih napada na finansijske organizacije. Činjenica da su razvili zlonamerne programe kako bi zarazili korisnike MacOS platofrme pored korisnika Windowsa i, najverovatnije čak stvorili i potpuno lažnu softversku kompaniju i softverski proizvod kako bi mogli da isporuče ovaj malver neopaženo, znači da oni vide potencijalno veliku zaradu u ovoj operaciji, a trebalo bi očekivati više takvih slučajeva u bliskoj budućnosti. Za korisnike MacOS platforme ovaj slučaj je alarm, pogotovo ako koriste svoje Mac računare za obavljanje operacija sa kriptovalutama", napominje Vitali Kamluk, šef tima za globalna istraživanja i analize kompanije Kaspersky Lab.

Grupa Lazarus, poznata po svojim sofisticiranim operacijama i povezanosti sa Severnom Korejom, svoju reputaciju stekla je ne samo zbog sajber-špjunaže i sajber-sabotaže, već i zbog finansijski motivisanih napada. Veliki broj istraživača bavio se ovom grupom kadaje ona ciljala banke i druga velika finansijska preduzeća.

Da biste zaštitili sebe i vašu kompaniju od sofisticiranih sajber-napada i grupa kao što je ova, stručnjaci za bezbednost iz kompanije Kaspersky Lab savetuju sledeće:

• Nemojte automatski verovati kodu koji radi na vašim sistemima. Sajt koji deluje autentično, kao ni solidan profil kompanije ili digitalni certifikati nisu garancija da se negde ne krije backdoor malver.

• Koristite pouzdano bezbednosno rešenje, opremljeno tehnologijama za otkrivanje zlonamernog ponašanja koje omogućavaju da se identifikuju i spreče čak i ranije nepoznate pretnje.

• Pretplatite vašu firmu na uslugu koja će vam omogućiti pristup informacijama o najnovijim dešavanjima i tehnikama sofisticiranih aktera pretnji.

• Koristite multi-faktorsku autentikaciju i hardverske novčanike ako imate značajne finansijske transakcije. U tu svrhu, poželjno je da koristite izolovani računar koji ne koristite za pretraživanje interneta ili čitanje emailova.