Jean-Ian Boutin, direttore della ricerca sulle minacce di ESET, ha esaminato le nuove campagne perpetrate dal gruppo Lazarus contro gli appaltatori della difesa in tutto il mondo tra la fine del 2021 e marzo 2022.
Secondo il rapporto di ESET, Lazarus ha preso di mira aziende in Europa (Francia, Italia, Germania, Paesi Bassi, Polonia e Ucraina) e in America Latina (Brasile) nel periodo 2021-2022. Nonostante l’obiettivo principale di questa operazione di Lazarus sia lo spionaggio informatico, il gruppo ha anche cercato di estorcere denaro alle prede, ma senza successo.
Secondo le parole di Jean-Ian Boutin: “Il gruppo di minacce Lazarus ha dimostrato la propria ingegnosità implementando un interessante set di strumenti, tra cui, ad esempio, un componente in modalità utente in grado di sfruttare un driver Dell vulnerabile per scrivere nella memoria del kernel. Questo hack avanzato è stato utilizzato nel tentativo di aggirare il monitoraggio da parte delle soluzioni di sicurezza“.
Nel corso del 2020, gli specialisti di ESET hanno documentato una campagna condotta da un sottogruppo di Lazarus contro le aziende europee del settore aerospaziale e della difesa, che ESET ha chiamato Operation In(ter)ception.
Questa campagna si distingueva per il fatto che utilizzava i social media, in particolare LinkedIn, per creare un rapporto di fiducia tra l’aggressore e un dipendente ignaro, prima di inviargli componenti dannosi camuffati da descrizioni di lavoro o candidature.
All’epoca erano già state attaccate aziende di Brasile, Repubblica Ceca, Qatar, Turchia e Ucraina.
Il team di ricerca di ESET riteneva che l’azione fosse rivolta principalmente alle aziende europee, ma seguendo i vari sottogruppi di Lazarus che conducevano campagne simili contro gli appaltatori della difesa, si è presto reso conto che la campagna andava ben oltre.
Sebbene i tipi di malware utilizzati nelle varie campagne fossero diversi, il modus operandi iniziale era sempre lo stesso:
un falso reclutatore contattava un dipendente tramite LinkedIn e alla fine inviava componenti dannosi.
In questo senso, il gruppo ha continuato con la stessa metodologia del passato. Tuttavia, ESET ha documentato il riutilizzo di elementi legittimi delle campagne di reclutamento per aggiungere legittimità alle campagne dei falsi reclutatori. Inoltre, gli aggressori hanno utilizzato servizi come WhatsApp o Slack nelle loro campagne malevole.
Nel 2021, il Dipartimento di Giustizia degli Stati Uniti ha accusato tre programmatori informatici di aver compiuto attacchi informatici mentre lavoravano per l’esercito nordcoreano.
Secondo il governo statunitense, i tre appartenevano all’unità di hacker militari nordcoreani nota nella comunità della sicurezza informatica come Lazarus Group.
Commentando l’argomento, Olufemi Ake, direttore generale di ESET West Africa (anglofona), ha dichiarato che: “Il gruppo Lazarus è una minacciosa minaccia avanzata (Advanced Persistent Threat, APT) che non deve essere presa con leggerezza. Le sue impronte in Africa stanno diventando sempre più evidenti e le sue tattiche sempre più intelligenti. È giunto il momento che le organizzazioni e gli enti governativi aderiscano rigorosamente alle politiche di sicurezza e formino i dipendenti su pratiche sicure nel cyberspazio“.
Oltre alla nuova ricerca su Lazarus, durante la conferenza annuale ESET ha presentato il rapporto “Cyber warfare past and present in Ukraine“.
Inoltre, Robert Lipovský, ricercatore ESET, ha dato uno sguardo approfondito alla guerra informatica durante la guerra della Russia contro l’Ucraina, compreso l’ultimo tentativo di interrompere la rete elettrica del Paese utilizzando Industroyer2 e vari attacchi wiper.
Eset, Sandworm ed Industroyer: storia di un wiper imperfetto, dannoso e attuale
