Vírusový radar / Severokórejský Lazarus lákal na ponuku práce v banke, zaútočil aj na telekomunikačnú spoločnosť
Minulý mesiac som oslávil 42 rokov. Pre tento stĺpček v zásade nič zaujímavé, akurát fakt, že presne okolo toho dátumu sme zverejnili dve nové zásadné zistenia, takže veľa času na oslavy nezostalo. Správa o útokoch na dodávateľský reťazec spoločnosti poskytujúcej telekomunikačné služby cez internet 3CX pohla IT komunitou, a to sa ešte nevedelo o prepojení na neslávne známu severokórejskú skupinu Lazarus. A takisto sme sa pozreli na routery predávané na online trhoviskách.
No pekne po poriadku. Nová kampaň Lazarusu patriaca pod operáciu DreamJob bola prekvapivo zameraná na používateľov Linuxu. Prekvapivo preto, lebo vôbec prvýkrát sa Lazarus v obdobnej kampani zameral práve na tento operačný systém. Našim výskumníkom sa podarilo zrekonštruovať celý reťazec útoku – od súboru ZIP, ktorý ako návnadu obsahoval falošnú pracovnú ponuku od banky HSBC, až po konečný malvér: backdoor SimplexTea pre Linux. Ten bol distribuovaný prostredníctvom cloudovej služby OpenDrive. No a podobnosť s týmto novoobjaveným linuxovým malvérom potvrdil teóriu, že za nedávnym útokom na dodávateľský reťazec 3CX stojí práve táto neslávne známa hackerská skupina z KĽDR.
3CX je vývojár a distribútor softvéru VoIP, ktorý poskytuje telekomunikačné služby mnohým organizáciám a podľa svojej webovej stránky má viac ako 600 000 zákazníkov a 12 miliónov používateľov v rôznych odvetviach vrátane letectva či zdravotníctva. No a koncom marca tohto roka presiakli na verejnosť informácie, že desktopová aplikácia pre Windows aj Mac OS obsahuje škodlivý kód, ktorý skupine Lazarus umožnil stiahnuť a spustiť ľubovoľný kód na všetkých počítačoch, kde bola aplikácia nainštalovaná. Samotný 3CX teda bol napadnutý a jeho softvér bol použitý pri útoku na dodávateľský reťazec.
Hackeri však plánovali útoky už dávnejšie, konkrétne od decembra 2022. Niekoľko dní predtým, ako sa o útoku dozvedela verejnosť, bol do databázy VirusTotal uploadovaný downloader pre platformu Linux. No a ten sťahuje úplne nový backdoor Lazarusu pre Linux s názvom SimplexTea. Ten sa pripája k rovnakému riadiacemu a kontrolnému serveru ako malvér šírený v útoku na 3CX.
Tento kompromitovaný softvér, nasadený na rôznych IT infraštruktúrach, umožňuje sťahovanie a spúšťanie akéhokoľvek druhu kybernetických hrozieb, čo môže mať devastujúce dôsledky. Tento spôsob distribúcie malvéru je z pohľadu útočníka veľmi efektívny a Lazarus už túto techniku v minulosti použil.
V inom výskume, o ktorom sme hovorili aj na prestížnej kybernetickej konferencii RSA a veľký článok o ňom publikoval aj časopis Wired, sme sa zamerali na firemné sieťové zariadenia, ktoré boli odpísané a predávané na webových stránkach typu „Bazoš“ alebo „Bezos“, teda tzv. sekundárnom trhu. Po preskúmaní konfiguračných údajov zo 16 rôznych sieťových zariadení sme v ESETe zistil, že viac ako 56 % – deväť routerov – obsahuje citlivé firemné údaje.
Z deviatich sieťových zariadení, ktoré mali k dispozícii kompletné konfiguračné údaje: 22 % obsahovalo zákaznícke údaje, 33 % údajov umožňovalo pripojenie tretích strán k sieti, 44 % malo povolenie na pripojenie k iným sieťam ako dôveryhodná strana, 89 % obsahovalo podrobné informácie o pripojení pre špecifické aplikácie, 89 % obsahovalo autentifikačné kľúče k routerom. Všetky obsahovali detaily o pripojení na VPN a údaje, podľa ktorých sa dal identifikovať bývalý majiteľ.
Organizácie často recyklujú, resp. vyraďujú starnúce zariadenia prostredníctvom iných spoločností. Tie sú poverené overovaním bezpečného zničenia alebo recyklácie digitálnych zariadení a likvidácie údajov v nich obsiahnutých. Či už ide o chybu zo strany spoločnosti zaoberajúcej sa elektronickým odpadom, alebo vlastných procesov likvidácie v rámci spoločnosti, na routeroch sa našlo celé priehrštie citlivých údajov, a to vrátane údajov o zákazníkoch (niekedy routery smerujú na interné alebo externé úložiská).
Výskumník ESETu Cameron Camp v našej americkej pobočke v nich objavil aj kompletné mapy hlavných aplikačných platforiem používaných konkrétnymi organizáciami, či už lokálne, alebo v cloude. Išlo o detaily o aplikáciách od firemného e-mailu po klientske tunely pre zákazníkov, fyzické zabezpečenie budov, topológie pre bezdotykové prístupové karty, špecifické siete kamier a mnohé ďalšie.
Routery získané v tomto výskume pochádzali od stredne veľkých firiem až po globálne korporácie v rôznych odvetviach (dátové centrá, právnické firmy, poskytovatelia technológií tretích strán, výrobné a technologické spoločnosti, kreatívne firmy či vývojári softvéru). Ak to bolo možné, tieto spoločnosti sme o našich zisteniach informovali.
Tento výskum opäť iba potvrdil, že laxné vnímanie kybernetickej bezpečnosti nie je iba doménou bežných používateľov, ale aj veľkých firiem. Ale verím, že nie je doménou čitateľov tohto pravidelného stĺpčeka. Aj tento mesiac vám želám hlavne bezpečné surfovanie virtuálnym svetom.
