Global hacking-kampagne mod kryptovaluta fra Nordkorea

F-Secure forbinder nu angreb på organisation, der arbejder i kryptovaluta-industrien, med en global Lazarus Group-kampagne, på trods af angriberens bestræbelser på at ødelægge beviser

I dag offentliggjorde cybersikkerhedsudbyderen F-Secure en rapport, der forbinder et angreb mod en organisation, der arbejder i kryptovaluta-industrien til Lazarus Group – en meget dygtig, økonomisk motiveret trusselsaktør, hvis interesser efter sigende sætter dem i forbindelsen med Nordkorea.

Ved at forbinde beviser, der er fundet i forbindelse med angrebet, med eksisterende forskning, konkluderer rapporten, at hændelsen var en del af en Lazarus Group-kampagne, der var rettet mod organisationer i kryptovaluta-industrien i USA, Storbritannien, Holland, Tyskland, Singapore, Japan og andre lande.

Den taktiske efterretningsrapport indeholder en analyse af samples, logfiler og andre tekniske elementer, der er fundet af F-Secure under en undersøgelse af en hændelse hos en organisation, der arbejder inden for kryptovaluta. Ifølge rapporten var de ondsindede værktøjer, der blev brugt i angrebet, næsten identiske med værktøjer, der tidligere blev brugt af Lazarus Group – også kendt som APT38.

Rapporten identificerer de taktikker, teknikker og procedurer (TTP’er), der blev brugt under angrebet, såsom spearphishing via en service (i dette tilfælde ved hjælp af LinkedIn, hvor man sendte et falsk jobtilbud, der er skræddersyet til modtagerens profil). Ifølge F-Secures Director for Detection and ResponseMatt Lawrence, giver forskningen et solidt fundament for rapportens sikkerhedsrådgivning.

Vores forskning, der inkluderer opdagelser fra vores indledende hændelsesrespons, vores managed detection & response og vores taktiske forsvarsenheder, fandt, at dette angreb på mange områder ligner kendt Lazarus Group-aktivitet, så vi er sikre på, at de stod bag hændelsen. Beviserne antyder også, at dette er en del af en løbende kampagne, der er målrettet organisationer i mere end tolv lande, hvilket gør rapporten virkelig vigtig. Virksomheder kan bruge rapporten til at gøre sig bekendt med denne hændelse, TTP’er og Lazarus Group generelt, for at hjælpe med at beskytte sig mod fremtidige angreb.

Matt lawrence, Director for detection and response, F-Secure

Baseret på phishing-elementer, der er udvundet fra forskellige Lazarus Group-angreb, var F-Secures forskere i stand til at knytte hændelsen til en bredere, igangværende kampagne, der har kørt siden i hvert fald januar 2018. Ifølge rapporten er lignende elementer blevet brugt i kampagner i mindst 14 lande: De Forenede Stater, Kina, Det Forenede Kongerige, Canada, Tyskland, Rusland, Sydkorea, Argentina, Singapore, Hong Kong, Holland, Estland, Japan og Filippinerne.

Lazarus Group lagde en betydelig mængde arbejde i at omgå organisationens forsvar under angrebet, f.eks. ved at deaktivere antivirus-software på de kompromitterede enheder. Og selvom rapporten beskriver angrebet som sofistikeret, viser den også, at Lazarus Groups bestræbelser på at skjule deres tilstedeværelse ikke var nok til at forhindre F-Secures efterforskning i at finde beviser for deres aktiviteter.

Del artiklen på

Om Lars Bennetzen (3468 Articles)
Lars Bennetzen har været it- og gadget-journalist siden 1992, og arbejdet som redaktør på PC World, Ingeniøren, Jern- og Maskinindustrien, Procesteknik og Ugens Erhverv. I 2006 blev Lars Chefredaktør på Alt om DATA, og bestyrede det gode gamle it-blad gennem de næste 6 år. I 2012 blev Lars selvstændig og stiftede firmaet Blackbelt Communications og i 2015 startede han Tech-Test. Lars fungerer også som kommunikationskonsulent, taler, moderator og gadgetekspert.
Kommentar til artiklen?