Výzkumníci z pražské pobočky společnosti ESET odhalili nebezpečnou vlnu kyberútoků namířených na evropské výrobce vojenské techniky. Cílem se staly firmy zabývající se vývojem bezpilotních dronů. Některé napadené společnosti působí ve střední a jihovýchodní Evropě, což vyvolává otázku: Mohlo jít i o české firmy?

Za útoky stojí notoricky známá severokorejská hackerská skupina Lazarus. Ta si už v minulosti vysloužila pověst jedné z nejnebezpečnějších APT (Advanced Persistent Threat) skupin na světě. Tentokrát se zaměřila na know-how týkající se výroby dronů, což je technologie, kterou Pchjongjang aktivně rozvíjí a kterou můžeme spatřit i na frontě na Ukrajině.

Foto: Freepik

Operace DreamJob: Pracovní nabídka jako past

Útočníci použili osvědčenou taktiku sociálního inženýrství známou jako operace DreamJob. Oběti dostaly falešnou nabídku práce, zdánlivě lukrativní pozici doplněnou dokumentem s popisem role. K otevření tohoto souboru dostaly i „speciální“ čtečku PDF. Ta však obsahovala škodlivý kód.

„V případě operace DreamJob je poznávacím prvkem využité metody sociálního inženýrství lukrativní, ale falešná pracovní nabídka doplněná škodlivým kódem,“ vysvětluje Peter Kálnai, výzkumný analytik z pražské pobočky ESETu, který tyto útoky analyzoval.

Foto: Pixabay

Jakmile oběť otevřela dokument, do jejího počítače se nainstaloval trojský kůň ScoringMathTea. Ten poskytl útočníkům kompletní kontrolu nad napadeným zařízením. Mohli procházet soubory, sledovat aktivitu, stahovat další malware a v podstatě ovládat celý systém.

Proč zrovna drony?

Severní Korea v posledních letech výrazně investuje do vývoje dronů. Její ambice jsou zřejmé, chce posílit vlastní vojenské kapacity a zároveň se může snažit dodávat tyto technologie svým spojencům, například Rusku.

Právě proto mají hackeři zájem o výrobní tajemství evropských firem. Ty vyrábějí pokročilé drony, které jsou nyní nasazeny na Ukrajině. Některé napadené společnosti se přímo podílejí na dodávkách technologií pro ukrajinskou armádu.

Vývoj dronů na ukrajině je bleskový a nejsnadnější cestou, jak dohnat konkurenci, je krádež dat. Foto: Pixabay

„Našli jsme důkazy, že jedna z napadených společností se podílí na výrobě nejméně dvou modelů bezpilotních leteckých prostředků, které jsou v současnosti nasazeny na Ukrajině,“ říká Kálnai. Přidává ještě zajímavý detail: „Tato společnost je také součástí dodavatelského řetězce pro pokročilé drony s jedním rotorem, typ letounu, který Pchjongjang aktivně vyvíjí.“

Je tedy docela možné, že severokorejští vojáci, kteří byli nedávno rozmístěni v Rusku na pomoc Moskvě, se mohli na frontě setkat s drony vyvinutými právě těmi firmami, které teď Lazarus hackuje.

Lazarus: Stará liška s novými triky

Skupina Lazarus není žádný nováček. Na scéně působí minimálně od roku 2009 a má za sebou řadu hlasitých útoků. Pamatujete si hack Sony Pictures Entertainment? To byli oni. Ransomware WannaCry z roku 2017? Taky jejich dílo. A k tomu desítky loupeží v řádu milionů dolarů.

Teď si ale dali nový cíl: krást nejen peníze, ale i know-how. A dělají to sofistikovaně. Škodlivý kód ScoringMathTea má bohaté funkce, manipulace se soubory, sběr informací o systému, stahování dalšího malwaru a mnoho dalšího.

Severokorejští hackeři patří ke světové špičce. Zdroj: Freepik

ESET zaznamenal ScoringMathTea už v říjnu 2022 při útocích vydávajících se za pracovní nabídky od společnosti Airbus. Od té doby se tento malware objevil v Portugalsku, Německu, Indii, Polsku, Británii a Itálii. Teď tedy přišla řada na střední a jihovýchodní Evropu.

Co s tím?

Pro firmy působící v citlivých sektorech, jako je obranný průmysl nebo letectví, je klíčová ostražitost. Falešné pracovní nabídky vypadají stále věrohodněji a útočníci mají čas i prostředky na jejich dokonalé napodobení.

Základní pravidla kybernetické bezpečnosti zůstávají stejná: neotevírejte podezřelé přílohy, neklikejte na odkazy od neznámých odesílatelů a používejte aktualizovaný antivirový software. Společnosti by navíc měly pravidelně školit zaměstnance a mít nastavené postupy pro incident response.

Severokorejští hackeři nepolevují. A jak ukazuje případ operace DreamJob, jejich cíle jsou stále ambicióznější. Evropské firmy zabývající se vývojem vojenské techniky by měly být ve střehu. Protože když Lazarus zaklepe na dveře, obvykle už má klíče od celého domu.

Zdroj: TZ ESET