Η διαβόητη APT hacking ομάδα “Lazarus” βρίσκεται πίσω από δύο πρόσφατες κυβερνοεπιθέσεις που με στόχο δύο ξεχωριστές οντότητες που ερευνούν τον COVID-19. Στη μία επίθεση, μία οντότητα Υπουργείου Υγείας «μολύνθηκε» με malware. Στην άλλη επίθεση, χρησιμοποιήθηκε ένα διαφορετικό είδος malware εναντίον μιας φαρμακευτικής εταιρείας που εργάζεται πάνω στην ανάπτυξη εμβολίου για τον COVID-19.
Οι επιθέσεις, που σημειώθηκαν το φθινόπωρο του τρέχοντος έτους, εντοπίστηκαν από ερευνητές της Kaspersky. Παρά τη χρήση διαφορετικών τακτικών, τεχνικών και διαδικασιών (TTP) σε κάθε επίθεση, οι ερευνητές έχουν αξιολογήσει με σιγουριά ότι και οι δύο κακόβουλες δραστηριότητες αποδίδονται στην hacking ομάδα “Lazarus”, η οποία λέγεται ότι συνδέεται με τη Νότια Κορέα.
Οι ερευνητές διαπίστωσαν ότι στις 27 Οκτωβρίου, δύο Windows servers που ανήκαν σε οντότητα Υπουργείου Υγείας μολύνθηκαν με εξελιγμένο malware, που είναι γνωστό με την ονομασία “wAgent”. Ύστερα από περαιτέρω ανάλυση, διαπιστώθηκε ότι το malware που χρησιμοποιήθηκε κατά του γραφείου δημόσιας υγείας είχε το ίδιο σχήμα μόλυνσης με προηγούμενες επιθέσεις της Lazarus σε επιχειρήσεις κρυπτονομισμάτων.
Η επίθεση στη φαρμακευτική εταιρεία έλαβε χώρα στις 25 Σεπτεμβρίου. Οι ερευνητές διαπίστωσαν ότι οι χάκερς χρησιμοποίησαν το Bookcode malware, σε μια supply chain επίθεση, μέσω μιας εταιρείας software της Νότιας Κορέας. Αυτός ο τύπος malware έχει αναφερθεί στο παρελθόν από την εταιρεία ασφαλείας “ESET”, η οποία το συνέδεσε με την hacking ομάδα “Lazarus”.
Τα Bookcode και wAgent malware έχουν παρόμοιες λειτουργίες – και τα δύο διαθέτουν full-featured backdoor. Μετά την ανάπτυξη του τελικού payload, ο χειριστής του malware μπορεί να αναλάβει τον έλεγχο του μηχανήματος ενός θύματος.
Ο Seongsu Park, εμπειρογνώμονας ασφαλείας στην Kaspersky, δήλωσε ότι αυτές οι δύο κυβερνοεπιθέσεις αποκαλύπτουν το ενδιαφέρον της Lazarus για πληροφορίες που σχετίζονται με τον COVID-19. Πρόσθεσε ακόμη πως ενώ η hacking ομάδα είναι γνωστή κυρίως για τις οικονομικές της δραστηριότητες, αποδεικνύεται τώρα ότι μπορεί να «χτυπήσει» και τη στρατηγική έρευνα.
Έτσι, ο Park εξέδωσε προειδοποίηση προς όλους τους οργανισμούς που εργάζονται πάνω στην έρευνα και την καταπολέμηση της πανδημίας, επισημαίνοντας τα εξής: «Πιστεύουμε ότι όλες οι οντότητες που συμμετέχουν επί του παρόντος σε δραστηριότητες, όπως η ανάπτυξη εμβολίων ή ο χειρισμός της κρίσης, πρέπει να βρίσκονται σε εγρήγορση για τυχόν κυβερνοεπιθέσεις».