Cercetătorii companiei de soluții în securitate cibernetică Kaspersky au identificat în toamna acestui an două incidente APT care vizau entități implicate în cercetarea COVID-19, un organism al unui Minister al Sănătății și o companie farmaceutică.
”În toamna anului 2020, cercetătorii Kaspersky au identificat două incidente APT care vizau entități implicate în cercetarea COVID-19 - un organism al Ministerului Sănătății și o companie farmaceutică. Experții Kaspersky au determinat cu grad mare de certitudine, în urma cercetărilor, că activitățile pot fi atribuite grupului Lazarus”, arată compania.
În vreme ce restricțiile implementate ca urmare pandemiei rămân în continuare în vigoare la nivel global, multe părți implicate încearcă să accelereze dezvoltarea vaccinului prin orice mijloace disponibile. Majoritatea eforturilor sunt bine intenționate, dar există și o altă fațetă a acestei situații, deoarece unii atacatori cibernetici încearcă să profite de cercetările pentru vaccin, scrie News.ro.
CITEȘTE ȘI O divizie a Gazprom va lansa o versiune rusească de Tik Tok”Urmărind continuu campaniile grupului Lazarus care vizează diferite industrii, experții Kaspersky au descoperit că cei din spatele acestui grup au atacat entitățile legate de COVID-19 în urmă cu doar câteva luni. Și anume, au fost identificate două incidente de acest fel”, arată compania.
Primul incident a fost un atac împotriva unui organism al unui Minister al Sănătății. Două servere Windows din organizație au fost compromise cu programe malware sofisticate pe data de 27 octombrie 2020. Programele malware utilizate sunt cunoscute de Kaspersky sub numele de „wAgent”. O analiză mai detaliată a arătat că malware-ul wAgent utilizat împotriva respectivului Minister al Sănătății are aceeași schemă de infecție ca și grupul malware Lazarus, folosit anterior în atacurile asupra companiilor care emit criptomonede.
Al doilea incident a implicat o companie farmaceutică. Potrivit telemetriei Kaspersky, compania a trecut printr-o breșă de securitate pe data de 25 septembrie 2020. Această companie dezvoltă un vaccin COVID-19 și este, de asemenea, autorizată să îl producă și să îl distribuie. De data aceasta, atacatorul a folosit programul malware Bookcode, identificat anterior de furnizorul de servicii de securitate ca fiind legat de grupul Lazarus, într-un atac asupra lanțului de aprovizionare, printr-o companie de software sud-coreeană. Cercetătorii Kaspersky au asistat, de asemenea, la situații în care grupul Lazarus efectua spear-phishing sau compromitea strategic site-uri web pentru a livra malware-ul Bookcode.
Atât malware-ul wAgent, cât și Bookcode, utilizate în cele două atacuri, au funcționalități similare, cum ar fi un backdoor cu funcții similare. După implementarea malware-ului, operatorul poate controla terminalul unei victime în aproape orice mod dorește.
Având în vedere suprapunerile observate, cercetătorii Kaspersky confirmă cu mare încredere că ambele incidente sunt legate de grupul Lazarus. Cercetarea este încă în desfășurare.
„Aceste două incidente dezvăluie interesul grupului Lazarus pentru informațiile legate de COVID-19. Deși grupul este cunoscut mai ales pentru activitățile în domeniul financiar, este un bun reminder că acesta poate viza și cercetarea strategică. Credem că toate entitățile implicate în prezent în activități precum cercetarea vaccinurilor sau gestionarea crizelor ar trebui să fie în alertă maximă în ceea ce privește atacurile cibernetice”, comentează Seongsu Park, expert în securitate la Kaspersky.
Kaspersky este o companie globală de securitate cibernetică fondată în 1997. Portofoliul companiei include protecție endpoint de top și mai multe soluții specializate de securitate și servicii, pentru a combate amenințările digitale tot mai complexe. Peste 400 de milioane de utilizatori individuali sunt protejați de tehnologiile Kaspersky, precum și 250.000 de companii client.