Globální výzkumně-analytický tým expertů společnosti Kaspersky Lab (známý pod zkratkou „Great“) objevil hrozbu AppleJeus. Novou škodlivou aktivitu nechvalně známé skupiny Lazarus. Útočníci pronikli do sítě burzy s kryptoměnami v Asii s využitím softwaru pro obchodování s kryptoměnami nakaženého trojským koněm. Cílem útoku byla krádež kryptoměn od jejich obětí. Kromě malwaru zaměřeného na operační systém Windows dokázali experti Kaspersky Lab identifikovat dosud neznámou verzi zaměřenou na platformu MacOS.
Jedná se o zcela první případ, kdy analytici ze společnosti Kaspersky Lab zaznamenali distribuci malwaru z dílny kyberzločinecké skupiny Lazarus zaměřené na uživatele MacOS. Na pozoru by se měl mít každý, kdo používá tento operační systém při transakcích s kryptoměnami.
Analýza týmu Great ukázala, že malware pronikl do infrastruktury burzy, když nic netušící zaměstnanec společnosti stáhl aplikaci třetí strany z legitimně vypadající webové stránky firmy, která vyvíjí software pro obchodování s kryptoměnami.
Kód aplikace není podezřelý, s výjimkou jednoho prvku – tzv. aktualizace. V legitimním softwaru takové prvky využívají ke stahování nových verzí programů – jejich aktualizací. AppleJeus funguje jako výzvědný modul. Nejprve shromažďuje základní informace o počítači, na kterém byl nainstalován. Pak odešle tyto informace zpět na řídicí a kontrolní server. Pokud se útočníci rozhodnou, že je počítač hodný útoku, škodlivý kód se instaluje formou aktualizace softwaru. Analytici identifikovali trojského koně jako Fallchill. Jde o starý nástroj, ke kterému se skupina Lazarus nedávno vrátila. Tato skutečnost poskytla expertům základ pro toto spojení. Po instalaci poskytuje trojan Fallchill útočníkům téměř neomezený přístup k napadenému počítači, což jim umožňuje ukrást cenné finanční informace nebo nasadit dodatečné nástroje určené k tomuto účelu.
Situaci zhoršila skutečnost, že zločinci vyvinuli software nejen pro platformu Windows, ale nově i pro MacOS. Ten je obecně mnohem méně vystavován kybernetickým hrozbám jako Windows. Funkčnost obou verzí malwaru je úplně stejná.
Dalším neobvyklým znakem operace AppleJeus je, že prvotně sice vypadá jako útok na dodavatelský řetězec, ve skutečnosti to však nemusí být pravda. Prodejce softwaru pro obchodování s kryptoměnami, který byl použit na doručení škodlivého kódu směrem k uživatelům, má platný digitální certifikát. Dokonce má i legitimně vypadající registrační záznamy pro doménu. Avšak – alespoň na základě veřejně dostupných informací – analytici Kaspersky Lab nedokázali identifikovat žádnou legitimní organizaci nacházející se na adrese, která byla uvedena v rámci informací o certifikátu.
“Rostoucího zájmu skupiny Lazarus o trhy s kryptoměnami jsme si všimli už začátkem roku 2017. V té době byl Monera, software na těžbu kryptoměn, instalovaný na jednom z jejich serverů operativcem skupiny Lazarus. Od té doby byly několikrát zaznamenány jejich útoky zaměřené na burzy s kryptoměnami, jakož i na tradiční finanční organizace. Skupina Lazarus vyvinula malware na infikování nejen systému Windows, ale i MacOS. S největší pravděpodobností si také dala námahu i s vytvořením falešné softwarové společnosti a softwarového produktu, které jim pomáhají při šíření malwaru bez odhalení bezpečnostními řešeními. Tato skutečnost jen potvrzuje, že členové skupiny Lazarus vidí v celé operací potenciálně velké zisky. V blízké budoucnosti bychom určitě mohli očekávat více takových případů. Pro uživatele MacOS je tento případ varováním. Zejména pokud používají na transakce s kryptoměnami počítače Mac,“ poznamenává Vitaly Kamluk, vedoucí týmu Great pro Asii a Pacifik ve společnosti Kaspersky Lab.
Skupina Lazarus, která je známá svými sofistikovanými aktivitami a propojením se Severní Koreou, je také spojována nejen s kyberšpionážními útoky, ale i s finančně motivovanými útoky. Mnozí experti, včetně Kaspersky Lab, již vícekrát o této skupině informovali v souvislosti s útoky na banky a jiné velké finanční instituce.
Odborníci na bezpečnost ze společnosti Kaspersky Lab doporučují uživatelům a společnostem chránit se před sofistikovanými kyberútoky skupin jako je například Lazarus následovně:
- Nedůvěřovat automaticky kódu, který běží ve vašich systémech. Ani autenticky vypadající stránka, ani seriózní firemní profil nebo digitální certifikáty nezaručují, že je software bez zadních vrátek.
- Používat robustní bezpečnostní řešení, které je vybaveno technologiemi detekce škodlivého chování, které umožňují zachytit i předtím neznámé hrozby.
- Zajistit kvalitní systém reportování o hrozbách pro oddělení bezpečnosti vaší organizace. Cílem je získat včasný přístup k informacím o nejnovějším vývoji v taktice, technice a postupech sofistikovaných útočníků.
- V případě důležitých finančních transakcí používat několikastupňovou autentizaci a hardwarové peněženky. Pro tento účel je vhodné používat přednostně izolovaný počítač, který se současně nepoužívá na surfování po internetu nebo čtení e-mailů.
Celou verzi zprávy si můžete přečíst na Securelist.com.
O společnosti Kaspersky Lab
Kaspersky Lab patří mezi přední světové společnosti zabývající se kybernetickou bezpečností. Na trhu působí již přes 20 let (od roku 1997). Dlouhodobou analýzu hrozeb, jakož i dlouholeté zkušenosti v oblasti internetové bezpečnosti využívá společnost Kaspersky Lab při vývoji bezpečnostních řešení a služeb zaměřených na ochranu podniků, kritických infrastruktur, státních či vládních institucí. Zaměřuje se ale i běžné spotřebitele po celém světě. Portfolio společnosti Kaspersky Lab zahrnuje komplexní řešení v oblasti ochrany koncových bodů, jakož i množství specializovaných bezpečnostních řešení a služeb poskytujících účinnou ochranu proti sofistikovaným a neustále se vyvíjejícím digitálním hrozbám. Více než 400 milionů uživatelů a 270 tisíc korporátních klientů po celém světě využívá na svou ochranu technologie a řešení vyvinuté společností Kaspersky Lab.
Více informací najdete na www.kaspersky.sk nebo www.kaspersky.com.