Přetrvávající a často prohlubovaná vládní opatření proti šíření koronaviru vedla v řadě zemí světa k urychlení vývoje vakcín proti Covid-19, a to všemi dostupnými prostředky. I když se tak děje v zájmu dobra, existuje i druhá strana mince, protože někteří aktéři pokročilých trvalých hrozeb (ATP) se snaží této situace zneužít ve svůj prospěch. Experti společnosti Kaspersky, kteří se věnují monitoringu trvajících škodlivých kampaní skupiny Lazarus zaměřených na průmyslové cíle, zjistili, že se tato skupina před několika měsíci zaměřila i na subjekty, které se zabývají bojem s Covid-19. V této souvislosti se podařilo identifikovat hned dva takové incidenty.
V jednom případě bylo cílem oddělení jednoho ministerstva zdravotnictví a v druhém farmaceutická společnost. Experti společnosti Kaspersky dospěli k názoru, že tyto incidenty lze s velkou pravděpodobností připsat právě nechvalně proslulé kyberzločinecké skupině Lazarus.
Prvním byl útok na oddělení ministerstva zdravotnictví (Kaspersky zná zemi, v níž skupina útočila, ale z bezpečnostních důvodů ji nebude jmenovat). 27. října 2020 napadl v tomto oddělení dva servery Windows sofistikovaný malware, který Kaspersky detekuje jako wAgent. Z bližší analýzy tohoto malwaru vyplynulo, že používá stejný vektor útoku jako dřívější incidenty skupiny Lazarus při snaze získat podvodně kryptoměny.
Druhý incident postihl farmaceutickou společnost. Podle telemetrie společnosti Kaspersky se tak stalo 25. září 2020. Napadená společnost vyvíjí vakcínu proti Covid-19 a je rovněž oprávněna ji vyrábět a distribuovat. Tentokrát útočník nasadil malware Bookcode, který v minulosti využila skupina Lazarus při útocích na dodavatelský řetězec prostřednictvím legitimního jihokorejského bezpečnostního softwaru. Analytici společnosti Kaspersky rovněž v minulosti zaznamenali phishingové kampaně skupiny Lazarus, jež cílily na konkrétní weby, a ty byly poté zneužity pro šíření malwaru Bookcode.
Malwary wAgent a Bookcode použité při útocích na ministerstvo zdravotnictví a farmaceutickou společnost mají podobné funkce, například obsahuj plnohodnotný backdoor. Ten se po infiltrování do napadeného zařízení stává špionem a umožňuje útočníkovi toto zařízení vzdáleně ovládat nebo z něj cokoli stahovat či do něj naopak nahrávat.
Vzhledem k zaznamenaným podobnostem odborníci společnosti Kaspersky potvrzují, že oba incidenty mají s vysokou pravděpodobností souvislost se skupinou Lazarus. Analýza těchto útoků nadále trvá.
"Tyto dva incidenty odhalují zájem skupiny Lazarus o aktivity související s Covid-19. Přestože je tato skupina známá především svými finančními aktivitami, je dobré vědět, že by se mohla věnovat i strategickému výzkumu. Věříme, že všechny subjekty, které jsou v současnosti zapojeny do výzkumu vakcín nebo řešení krizí v souvislosti s pandemií Covid-19, se dostatečně chrání před kybernetickými útoky," říká k situaci Seongsu Park, bezpečnostní expert společnosti Kaspersky.
Bezpečnostní produkty společnosti Kaspersky detekují malware wAgent jako HEUR: Trojan.Win32.Manuscrypt.gen a Trojan.Win64.Manuscrypt.bx.Malware Bookcode pak jako Trojan.Win64.Manuscrypt.ce.
Pokud se chcete zabezpečit před podobnými sofistikovanými hrozbami, společnost Kaspersky vám doporučuje přijmout následující bezpečnostní opatření: