Vírusový radar / Ako Severokórejci zaútočili na európskych výrobcov dronov
Vianoce už klopú na dvere a posledné, čo by som chcel, je znepríjemniť ich čitateľom posledným tohtoročným stĺpčekom. Na to nám predsa úplne stačia politické elity. Tie, ktoré vás frustrujú najviac, si môžete vybrať podľa vlastnej politickej preferencie v našej polarizovanej spoločnosti. Účelom tohto textu nikdy nie je frustrovať ani vyvolávať strach. Ako povedal Franklin D. Roosevelt pred druhou svetovou vojnou: „Jediné, čoho by sme sa mali báť, je strach samotný.“ Tak sa pohodlne usaďte a prevediem vás najnovšími úlovkami zo sveta nášho Labu. Nie preto, aby ste sa báli ako Scrooge vo Vianočnej kolede od Charlesa Dickensa, ale naopak – aby ste sa nebáli. Pretože základom je byť informovaný a pripravený.
Jedným z najzaujímavejších našich objavov bolo, ako severokórejská hackerská skupina Lazarus zaútočila na výrobcov v obrannom priemysle v strednej a juhovýchodnej Európe. Niektorí z nich sú významne angažovaní v odvetví dronov. To naznačuje, že operácia môže súvisieť so súčasnými snahami KĽDR o rozšírenie svojho programu dronov. Počiatočný prístup do sietí bol s takmer istotou dosiahnutý prostredníctvom sociálneho inžinierstva. Hlavným škodlivým kódom nasadeným na ciele bol ScoringMathTea, trójsky kôň na diaľkový prístup, ktorý útočníkom poskytuje úplnú kontrolu nad kompromitovaným počítačom. Predpokladaným hlavným cieľom útočníkov bolo odcudzenie dôverných informácií a výrobného know-how.
V tejto neslávnej operácii skupiny Lazarus nazvanej DreamJob je dominantnou témou sociálneho inžinierstva lukratívna, ale falošná pracovná ponuka, ktorá je sprevádzaná malvérom. Obeť zvyčajne dostane návnadu v podobe dokumentu s opisom práce a trojanizovaného nástroja PDF na jeho otvorenie.
Tri organizácie, na ktoré útočníci zacielili, vyrábajú rôzne typy vojenského vybavenia (alebo jeho súčasti), z ktorých mnohé sú v súčasnosti nasadené na Ukrajine v dôsledku vojenskej pomoci európskych krajín. V čase pozorovanej činnosti operácie DreamJob boli severokórejskí vojaci nasadení v Rusku, údajne s cieľom pomôcť Moskve odraziť ukrajinskú ofenzívu v Kurskej oblasti. Je teda možné, že operácia DreamJob mala záujem o zhromažďovanie citlivých informácií o niektorých zbraňových systémoch západnej výroby, ktoré sa v súčasnosti používajú v rusko-ukrajinskej vojne. Zasiahnuté subjekty sa podieľajú na výrobe arzenálu, ktorý Severná Kórea vyrába a pri ktorom by mohla chcieť zdokonaliť svoje vlastné návrhy a procesy. Záujem o know-how súvisiace s bezpilotnými lietadlami odráža nedávne správy, ktoré naznačujú, že Pchjongjang významne investuje do domácich výrobných kapacít dronov. KĽDR sa pri rozvoji svojich kapacít v oblasti bezpilotných lietadiel vo veľkej miere spolieha na reverzné inžinierstvo a krádež technológií.
ESET zároveň našiel dôkazy, že jedna z cieľových organizácií sa podieľa na výrobe najmenej dvoch modelov bezpilotných lietadiel, ktoré sa v súčasnosti používajú na Ukrajine a s ktorými sa Severná Kórea mohla stretnúť na fronte. Táto organizácia je takisto súčasťou dodávateľského reťazca pokročilých jednorotorových dronov – lietadiel, ktoré Pchjongjang aktívne vyvíja.
Lazarus je skupina aktívna minimálne od roku 2009 a je zodpovedná za viacero významných incidentov. Vyznačuje sa rozmanitosťou, počtom aj excentricitou pri realizácii kampaní, ako aj tým, že vykonáva všetky tri piliere kybernetických kriminálnych činností: kyberšpionáž, kybersabotáž a snahu o finančný zisk.
Zároveň iba nedávno naši výskumníci zverejnili svoju najnovšiu správu APT Activity Report o aktivitách vybraných APT skupín (Advanced Persistent Threat – pokročilé pretrvávajúce hrozby), ktorá poukazuje na ich činnosť v období od apríla do septembra 2025. V celej Európe zostali hlavným cieľom kyberšpionáže APT skupín spriaznených s Ruskom vládne inštitúcie. Skupiny napojené na Rusko zintenzívnili svoje operácie proti Ukrajine a viacerým členským štátom EÚ. Počas sledovaného obdobia APT skupiny spriaznené s Čínou naďalej presadzovali geopolitické ciele Pekingu. ESET zaznamenal čoraz častejšie využívanie techniky adversary-in-the-middle na získanie počiatočného prístupu aj na laterálny pohyb. Ide pravdepodobne o reakciu na strategický záujem Trumpovej administratívy o Latinskú Ameriku, pričom sa prejavuje aj vplyv prebiehajúceho mocenského boja medzi USA a Čínou. Skupina FamousSparrow zaútočila na Latinskú Ameriku, pričom sa zamerala na viaceré vládne inštitúcie v regióne.
Je zaujímavé, že aj neukrajinské ciele skupín spriaznených s Ruskom a Bieloruskom vykazovali prepojenia s Ukrajinou, čo posilňuje predpoklad, že táto krajina zostáva kľúčovou pre ruské spravodajské aktivity. Napríklad poľské a litovské spoločnosti sa stali terčom spearphishingových e-mailov, ktoré sa vydávali za poľské firmy. E-maily obsahovali charakteristické použitie a kombináciu odsekov a emodži, štruktúru pripomínajúcu obsah generovaný umelou inteligenciou, čo naznačuje možné použitie AI v kampani. Dodané payloady obsahovali nástroj na krádež prihlasovacích údajov a nástroj na krádež e-mailových správ. Jedna ruská skupina s názvom InedibleOchotense napríklad uskutočnila spearphishingovú kampaň, ktorá sa vydávala za našu spoločnosť. Táto kampaň zahŕňala e-maily a správy zo služby Signal, ktoré doručovali trojanizovaný inštalačný program ESET, ktorý viedol k stiahnutiu legitímneho produktu ESET spolu s backdoorom Kalambur.
V každom prípade, ak vás tieto správy zaujali, podrobnejšie si o nich môžete prečítať v celom reporte na našom spravodajskom webe WeLiveSecurity.com, pretože tento mesiac sa mi už do stĺpčeka viac nezmestí. S nádejou, že pod stromčekom nájdete ešte viac, vám želáme z výskumu ESETu krásne a pokojné vianočné sviatky. A či budete na cestách, alebo doma v kruhu rodiny, hlavne bezpečné surfovanie kybernetickým svetom.
