Дослідники компанії Check Point вперше в історії зафіксували кібератаку, здійснену північнокорейським кіберзлочинним угрупованням Lazarus на цілі в РФ.
На думку дослідників, атака була здійснена підрозділом Lazarus під назвою Bluenoroff. Завданням підрозділу є отримання фінансової вигоди, тоді як завданням іншого підрозділу під назвою Andariel є здійснення кібератак на Південну Корею. Саме Bluenoroff експерти приписують гучний злам серверів Sony Pictures Entertainment в 2014 році і викрадення $81 млн у Центробанку Бангладеш.
На те, що за кібератаками на цілі в Росії стоїть Lazarus, вказує використовується кіберзлочинцями шкідливого програмного забезпечення, а саме – багатофункціонального бекдору KEYMARBLE. Міністерство внутрішньої безпеки США описує його як трояна для одержання віддаленого доступу (RAT), який використовує для захисту переданих даних і зв’язку з C&C-сервером криптографічний алгоритм XOR. KEYMARBLE і отримує інструкції від віддаленого сервера.
Зараження атакованих систем у процесі нової кампанії відбувалося в три етапи. Спочатку жертва отримувала електронною поштою лист з ZIP-архівом з шкідливими документами PDF і Word. Після активації макросів з Dropbox на комп’ютер жертви завантажувався скрипт VBS. Після виконання скрипт завантажував зі зламаного сервера файл CAB і виконував його корисне навантаження. У якийсь момент в ході кампанії зловмисники відмовилися від другого кроку і модифікували макроси в документі Word таким чином, щоб вони завантажували безпосередньо сам бекдор.
До речі, у компанії Microsoft заявили, що на європейські організації здійснено кібератаки. Хакери хотіли отримати доступ до даних європейських організації, які займаються питаннями демократії і прозорості виборів, та знаходяться в контакті з урядовими чиновниками.
Нагадаємо, Міністерство внутрішньої безпеки і Федеральне бюро розслідувань США опублікували спільний звіт щодо російських кібератак.
Також нові модифікації шкідливого програмного забезпечення типу Pterodo на комп’ютерах державних органів України виявили фахівці команди CERT-UA спільно зі Службою зовнішньої розвідки України.
