В консултативен документ от днес Федералната разузнавателна служба на Германия (BfV) и Националната разузнавателна служба на Южна Корея (NIS) предупреждават за продължаваща операция за кибершпионаж, насочена към световния отбранителен сектор от името на правителството на Северна Корея.

Целта на атаките е да се открадне информация за съвременни военни технологии и да се помогне на Северна Корея да модернизира конвенционалните оръжия, както и да развива нови военни способности.

В днешния съвместен съвет за киберсигурност (достъпен също на корейски и немски език) се обръща внимание на два случая, приписвани на севернокорейски банди, едната от които  –  „Лазарус“, за да се предоставят тактиките, техниките и процедурите (TTP), използвани от нападателите.

Атака по веригата за доставки

Според консултацията първият случай се отнася до инцидент, станал в края на 2022 г., когато „севернокорейски изпълнител е проникнал в системите на изследователски център за морски и корабни технологии“ и „е извършил атака по веригата на доставки“, като е компрометирал фирмата, която е управлявала операциите по поддръжка на уеб сървърите на целевата организация

Нарушителят е следвал верига от атаки, която е включвала кражба на SSH пълномощия, злоупотреба с легитимни инструменти, странично придвижване в мрежата и опит да остане скрит в инфраструктурата.

По-конкретно, в консултацията са изброени следните стъпки на атаката:

1. Проникнато е в компанията за поддръжка на уеб сървъри, откраднати са SSH пълномощията и е получен достъп до Linux уеб сървъра на изследователския център.
2. Изтеглил злонамерени файлове (инструмент за тунелиране, Base64 Python скрипт), като използвал легитимни инструменти като curl, изтеглени от сървърите за командване и контрол (C2).
3. Проведено е странично движение: установен е SSH достъп до други сървъри, използван е tcpdump за събиране на пакети и са откраднати идентификационни данни за акаунти на служители.
4. Представил се за мениджър по сигурността, като използвал открадната информация за акаунта, и се опитал да разпространи зловреден файл с кръпка чрез PMS, но бил блокиран от истинския мениджър.
5. Продължил да действа, като използвал уязвимостта на уебсайта за качване на файлове, качил уеб обвивка и изпратил имейли за копие-фишинг.

Преглед на атаките по веригата на доставки (verfassungsschutz.de)

Като е компрометирал първо доставчика на ИТ услуги, севернокорейската заплаха е застанала  между двете, за да извърши тайни атаки с малки, внимателни стъпки.

В бюлетина се предлагат няколко мерки за сигурност срещу тези атаки, включително ограничаване на достъпа на доставчиците на ИТ услуги до системите, необходими за отдалечена поддръжка, внимателно наблюдение на дневниците за достъп с цел откриване на събития с неоторизиран достъп, използване на многофакторна автентикация (MFA) за всички акаунти и приемане на строги политики за автентикация на потребителите за системата за управление на кръпките (PMS).

Социално инженерство

Вторият пример показва, че „Операция Dream Job“ на групата Lazarus – тактика, която севернокорейците използват срещу служители на фирми за криптовалути и разработчици на софтуер – е била използвана и срещу отбранителния сектор.

ESET подчерта подобен инцидент през септември 2023 г., когато Lazarus се насочва към служител на аерокосмическа компания в Испания, за да зарази системите със задната врата „LightlessCan“.

В бюлетина за сигурност се подчертава случай, при който Lazarus създава акаунт в онлайн портал за работа, като използва фалшиви или откраднати лични данни на съществуващо лице и го курира с течение на времето, така че да се свърже с правилните хора за целите на социалното инженерство в кампанията.

След това  заплахата използва този акаунт, за да се обърне към хора, работещи за отбранителни организации, и се свързва с тях, за да започне разговор на английски език, като бавно изгражда връзка в продължение на няколко дни, седмици или дори месеци.

След като спечели доверието на жертвата, заплахата ѝ предлага работа и предлага външен канал за комуникация, където може да сподели злонамерен PDF файл, който е описан като документ с подробности за офертата.

Този файл обикновено е пусково устройство на първия етап, което пуска зловреден софтуер на компютъра на мишената, който Lazarus след това използва като първоначална опорна точка за придвижване в корпоративната мрежа.

В някои случаи Lazarus изпраща ZIP файл, който съдържа злонамерен VPN клиент, който използват за достъп до мрежата на работодателя на жертвата.

Преглед на атаката на Lazarus за социално инженерство (verfassungsschutz.de)

Въпреки че това са известни тактики, те все още могат да бъдат успешни, ако организациите не обучават служителите си за най-новите тенденции в кибератаките.

Възприемането на принципа на най-малките привилегии и ограничаването на достъпа на служителите само до системите, от които се нуждаят, трябва да бъде началото на една добра позиция по отношение на сигурността.

Добавянето на силни механизми и процедури за удостоверяване на системата за управление на кръпките и поддържането на одитни дневници, които включват достъпа на потребителите, трябва да подобри позицията по отношение на сигурността.

За атаките на социалния инженеринг двете агенции препоръчват служителите да се обучават на обичайните тактики.