Vakcinafejlesztőket ostromolnak a kiberbűnözők

​Kiberbűnözők egy csoportja vakcinafejlesztéssel foglalkozó vállalatok informatikai rendszereit támadta.
 

Miközben a világjárvány és a korlátozó intézkedések világszerte folytatódnak, sok cég minden rendelkezésre álló eszközzel igyekszik felgyorsítani a vakcinafejlesztést. Sajnos azonban egyes kiberbűnözők a saját javukra próbálják fordítani az eseményeket.
 
A Kaspersky szakemberei folyamatosan nyomon követik a Lazarus kibercsoport különféle ágazatokat célzó akcióit, és felfedezték, hogy a csoport néhány hónapja a COVID-19-cel foglalkozó szervezeteket állította célkeresztbe.
 
Az első ilyen incidens egy – meg nem nevezett – ország egészségügyi minisztériuma elleni támadás volt: 2020. október 27-én a szervezet két Windows-szerverét kifinomult malware-rel fertőzték meg. A támadásban használt, wAgent nevű károkozó már nem ismeretlen a víruskutatók előtt. A mélyreható elemzés kimutatta, hogy az érintett egészségügyi minisztérium ellen bevetett wAgent ugyanolyan fertőzési sémával rendelkezik, mint az a malware, amelyet a Lazarus csoport korábban kriptovalutákkal foglalkozó cégek elleni támadásokban használt.
 
A második incidens egy gyógyszerészeti vállalatot érintett, melyet a Kaspersky telemetria adatai szerint 2020. szeptember 25-én ért támadás. A cég egy COVID-19 vakcina fejlesztésén dolgozik, emellett engedélye van annak gyártására és forgalmazására is. A támadók akkor a Bookcode nevű trójait vetették be, amelyről korábban már megállapították a szakértők, hogy a Lazarushoz köthetően használták egy dél-koreai szoftvercégen keresztüli, ellátási lánc alapú támadásban. Ezt a szerzeményt a Lazarus célzott adathalászat módszerekkel és weboldalak hackelésével terjesztette.
 
A wAgent és a Bookcode hasonló funkciókkal rendelkezik, és alkalmasak hátsó kapu kiépítésére. Egy kód (payload) telepítését követően a malware terjesztői át tudják venni az irányítást az áldozat gépe felett.
 
Az említett átfedések fényében a Kaspersky szakemberei szerint nagy bizonyossággal kijelenthető, hogy mindkét incidens a Lazarus csoporthoz köthető, de a szakemberek tovább folytatják a vizsgálatot.
 

"Ebből a két incidensből kiderül, hogy a Lazarus érdeklődést mutat a COVID-19-cel kapcsolatos információk iránt. Bár a csoport leginkább a pénzügyi tevékenységeiről ismert, ez a két eset jó emlékeztető arra, hogy a stratégiai kutatások is érdekelhetik a tagjait. Úgy véljük, hogy jelenleg minden vakcinakutatással vagy kríziskezeléssel foglalkozó szervezetnek teljes riadókészültségben kell állnia a kibertámadásokra készülve"

- fejtette ki Seongsu Park, a Kaspersky biztonsági szakértője.
 
Néhány jó tanács a biztonsági cégtől:
 

• A biztonsági központok (SOC) szakembereinek adjanak hozzáférést a legújabb fenyegetéselemzési adatokhoz.
• Részesítsék a munkavállalókat kiberbiztonsági képzésben, hiszen számos célzott támadás indul adathalászattal vagy más manipulációs technikákkal.
• Az incidensek elleni végpontszintű védelemhez, a kivizsgálásukhoz és a megfelelő időben történő orvoslásukhoz használjanak EDR megoldásokat.
• Az alapvető végpontvédelem mellett alkalmazzanak olyan nagyvállalati biztonsági megoldást, amely korai szakaszban észleli a hálózati szintű, fejlett fenyegetéseket.