Kaspersky ujawnia dwa incydenty cyberprzestępcze dotyczące badań nad szczepionką
Jesienią 2020 r. badacze z firmy Kaspersky zidentyfikowali dwa incydenty cyberprzestępcze, których celem były podmioty związane z badaniami nad wirusem powodującym COVID-19 – organ jednego z ministerstw zdrowia oraz firma farmaceutyczna. Eksperci stwierdzili z dużym stopniem pewności, że działania te można przypisać niesławnemu cybergangowi Lazarus.
Podczas gdy cały świat zmaga się z pandemią oraz wprowadzonymi w związku z nią restrykcjami, wiele podmiotów dokłada starań, by jak najszybciej zapewnić dostępność szczepionki. Chociaż większość działań prowadzonych jest w dobrej wierze, niektóre ugrupowania cyberprzestępcze próbują wykorzystać sytuację do osiągnięcia zysków finansowych. Monitorując kampanie prowadzone przez ugrupowanie Lazarus, znane z wielu zaawansowanych cyberataków, także na sektor finansowy w Polsce, eksperci z firmy Kaspersky odkryli, że kilka miesięcy temu gang ten wziął na celownik podmioty związane z COVID-19. Precyzyjniej, zidentyfikowane zostały dwa incydenty.
Pierwszy z nich stanowił atak na organ jednego z ministerstw zdrowia. 27 października 2020 r. dwa serwery z systemem Windows w tej organizacji zostały zainfekowane przy użyciu wyrafinowanego szkodliwego oprogramowania. Wykorzystany szkodnik znany jest firmie Kaspersky pod nazwą “wAgent”. Dokładniejsza analiza wykazała, że wykorzystany przeciwko ministerstwu szkodnik wykazywał ten sam schemat infekcji co szkodliwe oprogramowanie ugrupowania Lazarus zastosowane wcześniej w atakach na organizacje związane z kryptowalutą.
Drugi incydent dotyczył firmy farmaceutycznej. Według danych telemetrycznych firmy Kaspersky do naruszenia bezpieczeństwa tego podmiotu doszło 25 września 2020 r. Firma ta rozwija szczepionkę przeciwko COVID-19, a także jest uprawniona do jej produkcji i dystrybucji. W tym przypadku atakujący zastosowali szkodliwy program Bookcode – według wcześniejszych doniesień był on powiązany z ugrupowaniem Lazarus – w ramach ataku na łańcuch dostaw za pośrednictwem południowokoreańskiej firmy z branży oprogramowania. Eksperci z firmy Kaspersky już wcześniej zaobserwowali stosowanie przez ugrupowanie Lazarus spersonalizowanych wiadomości phishingowych lub strategiczne łamanie zabezpieczeń stron internetowych w celu dostarczenia szkodnika Bookcode.
Użyte w obu atakach szkodniki wAgent i Bookcode posiadają podobne funkcje, w tym w pełni funkcjonalnego backdoora, dającego atakującym możliwość uzyskiwania zdalnego dostępu do zainfekowanych urządzeń. Po dostarczeniu ostatecznej szkodliwej funkcji osoby sterujące szkodnikiem mogą w pełni kontrolować maszynę ofiary.
W oparciu o zidentyfikowane podobieństwa badacze z firmy Kaspersky potwierdzają z dużym stopniem pewności, że oba incydenty są powiązane z cybergangiem Lazarus. Badania w tym zakresie nadal trwają.
Opisywane incydenty pokazują, że ugrupowanie Lazarus jest zainteresowane informacjami dotyczącymi COVID-19. Chociaż jest ono znane głównie ze swoich działań finansowych, okazuje się, że jego celem mogą być także strategiczne badania. Uważamy, że wszystkie podmioty zaangażowane obecnie w działania związane z badaniami nad szczepionką czy zarządzaniem kryzysem powinny mieć się na baczności, jeśli chodzi o cyberataki – powiedział Seongsu Park, starszy ekspert w firmie Kaspersky.
Produkty firmy Kaspersky wykrywają szkodnika wAgent jako HEUR:Trojan.Win32.Manuscrypt.gen oraz Trojan.Win64.Manuscrypt.bx.
Szkodliwe oprogramowanie Bookcode jest wykrywane jako Trojan.Win64.Manuscrypt.ce.
Dalsze szczegóły dotyczące omawianych zagrożeń są dostępne na stronie https://r.kaspersky.pl/3Hy7h.