Rengeteg kibertámadást tudhatnak maguk mögött, (köztük a 2023-ban ellopott 600 millió dollárnyi kriptovalutát) ám a digitális valuta még csak a kezdet volt az észak-koreai hackercsoportnak – a Lazarus csoport most megbízható szoftverekbe ágyazott kártevőkkel támad.
A SecurityScorecard kutatói szerint a csoport most hosszú távú stratégiára váltott egy „Phantom Circuit” nevű szoftverellátási lánc fertőzési művelettel. A támadássorozat ebben a hónapban kezdődött, és eddig 233 áldozata van, közülük 100 Indiában. A fő célpontok a kriptovaluta fejlesztők, technológiai cégek és nyílt forráskódú projekteken dolgozók. A változásból az következtethető, hogy a Lazarus csoport a gyors pénzszerzés helyett egy fenntarthatóbb, hosszú távú stratégiát kezdett követni. A hackerek olyan csoportokat vettek célba, mint a CionProperty és a Codementor, mégpedig úgy, hogy legitim nyílt forráskódú projekteket klónoztak, majd backdoor-t tartalmazó kártevőkkel fertőzték meg azokat. A lopott adatok között hitelesítő adatok, azonosítási tokenek és jelszavak is szerepeltek. A jelentés szerint az információkat valószínűleg hírszerzési célokra használják, hogy támogassák Észak-Korea geopolitikai törekvéseit.
A csoport a GitLab nevű felhőalapú platformot is kihasználta, amely a fejlesztők számára biztosít eszközöket a szoftverfejlesztési folyamatok menedzselésére. Mivel a fejlesztők gyakran megbíznak a nyílt forráskódú csomagokban, ezeket a rosszindulatú kódokat észrevétlenül telepíthették.
A STRIKE biztonsági nyomozócsoport a ScoreCard segítségével felfedezte azt a parancs-és vezérlőrendszert, amelyet a hackerek az ellopott adatok keresésére, szűrésére és kezelésére használnak. Az adatok Dropboxba kerültek feltöltésre, ahol könnyen elrejthetők. A Lazarus az Astrill VPN-t és orosz proxykat használ az adatforgalmuk elterelésére, így első ránézésre úgy tűnhet, hogy a támadások forrása Oroszország.
A hosszú távú stratégiai váltással a szóban forgó hacker csoport egyre rejtettebbé válik. Ez a módszer lehetővé teszi számukra, hogy hosszabb időn keresztül gyűjtsenek hírszerzési adatokat fenntartható módon.
Korábbi támadásaikhoz képest – amelyek során bankokat vettek célba Lengyelországban, Mexikóban és Bangladesben is, 2014-ben jelentős adatszivárgást idéztek elő a Sony Corporationnél, továbbá a WannaCry zsarolóvírusos támadással globális intézményeket, például az Egyesült Királyság Nemzeti Egészségügyi Szolgálatát (NHS) és kínai egyetemeket támadtak meg – ez az új támadási módszer különösen veszélyes, mivel egy teljesen rutin telepítésnek álcázza magát.
