Pohjoiskorealaiset hyökkääjät paljastuivat huolimattomuusvirheen takia

LEHDISTÖTIEDOTE  |  2.2.2023

WithSecuren™ tutkijat jäljittivät lääketieteellisiin tutkimuslaitoksiin ja energiaorganisaatioihin kohdistuneen tiedonkeruuhyökkäyksen Pohjois-Korean Lazarus Groupiin.

Helsinki – 2.2.2023: WithSecuren™ (aiemmin F-Secure yritystietoturva) turvallisuustutkijat onnistuivat osittain hyökkääjän tekemän huolimattomuusvirheen ansiosta jäljittämään kyberhyökkäyskampanjan Pohjois-Korean pahamaineiseen Lazarus Groupiin.

Lazarus Group on edistynyt jatkuva uhka (advanced persistent threat, APT), jonka uskotaan yleisesti olevan osa Pohjois-Korean ulkomaantiedusteluvirastoa. Tutkijat paljastivat ryhmän tuoreimman kampanjan sen jälkeen, kun organisaatiossa, jolla oli suojanaan WithSecure™ Elements -tietoturva-alusta, havaittiin epäilty kiristysohjelmahyökkäys.

Hyökkäystä tutkiessaan WithSecuren™ tutkijat löysivät lisätodisteita, jotka osoittivat, että hyökkäys oli kiristysohjelmatapauksen sijaan osa laajempaa tiedonkeruukampanjaa.

Keräämiensä todisteiden avulla tutkijat pystyivät yhdistämään kampanjan Lazarus Groupiin, jonka tavoitteena oli vakoilla lääketieteellistä tutkimusta tekeviä ja energia-alan organisaatioita.

Tutkijoiden tunnistamiin kohteisiin lukeutuivat terveydenhuollon tutkimusorganisaatio, energia-, tutkimus-, puolustus- ja terveydenhuoltoalan käyttämää teknologiaa valmistava yhtiö sekä johtavan tutkimusyliopiston kemian tekniikan laitos.

"Tämän epäiltiin aluksi olevan BianLian-kiristysohjelmahyökkäysyritys, mutta keräämämme todisteet osoittivat varsin pian toiseen suuntaan. Lisätodisteiden kertyessä olimme entistä varmempia, että hyökkäyksen takana oli Pohjois-Korean hallitukseen kytkeytyvä ryhmä. Lopulta vakuutuimme, että kyseessä oli Lazarus Group", kertoi WithSecuren™ vanhempi tutkija Sami Ruohonen.

"Tutkimustemme aikana havaitsimme, että kyseessä oli osa suurempaa kampanjaa, jolla oli useampia kohteita, eikä vain yksittäinen tapaus. On erittäin harvinaista pystyä yhdistämään kampanja näin vahvasti hyökkääjään kuin me olemme nyt pystyneet", lisäsi WithSecuren™ vanhempi analyytikko Stephen Robinson.

WithSecuren™ tutkijat pystyivät yhdistämään kampanjan Lazarus Groupiin analysoimalla hyökkäyksessä käytettyä taktiikkaa, tekniikkoja ja toimintatapoja, joita ryhmä ja muut Pohjois-Koreaan liittyvät hyökkääjät olivat käyttäneet myös aiemmissa hyökkäyksissään.

Tutkijat löysivat kampanjasta useita merkittäviä kehitysaskelia verrattuna Lazarus Groupin aiempaan toimintaan, kuten:

  • Uuden infrastruktuurin käyttö, mukaan lukien pelkkien IP-osoitteiden käyttö ilman domain-nimiä (toisin kuin aiemmissa hyökkäyksissä).
  • Muokattu versio tietoja varastavasta haittaohjelma Dtrackista, jota Lazarus Group ja Kimsuky (toinen Pohjois-Koreaan linkittyvä ryhmä) ovat käyttäneet aiemmissa hyökkäyksissään.
  • Uusi versio GREASE-haittaohjelmasta, joka antaa hyökkääjän luoda uusia pääkäyttäjätilejä etätyöpöytäprotokollan käyttöoikeuksilla, jotka ohittavat palomuurit.

Yksi merkittävä tutkijoiden löytämä todiste oli se, että hyökkääjät käyttivät lyhyen aikaa yhtä alle tuhannesta Pohjois-Korealle kuuluvasta IP-osoitteesta. Tämän IP-osoitteen havaittiin olevan lyhytaikaisesti yhteydessä hyökkääjän hallitsemaan webshell-takaporttiin, mikä antoi tutkijoille aihetta epäillä, että kyseessä oli ryhmän jäsenen tekemä käytännön virhe.

WithSecuren™ Head of Threat Intelligence Tim Westin mukaan puolustajien ei kuitenkaan pitäisi tulkita tämänkaltaisten virheiden perusteella, että valmiustasoa voisi laskea.

"Salaamisvirheistä huolimatta toimija osoitti korkeaa osaamistasoa ja onnistui kuitenkin toteuttamaan harkittuja toimia huolellisesti valituissa kohteissa. Tarkkoja päätelaitteiden valvontateknologioita käyttävien organisaatioidenkin on pohdittava jatkuvasti miten reagoida hälytyksiin. Niiden on myös yhdistettävä kohdennettu uhkatieto säännöllisiin tarkastuksiin, jos ne haluavat vahvistaa suojauksiaan perusteellisesti erityisesti taitavia vastustajia vastaan", hän totesi.  

Koko tutkimus on luettavissa osoitteessa https://labs.withsecure.com/publications/no-pineapple-dprk-targeting-of-medical-research-and-technology-sector.

Median yhteyshenkilö
Inari Anttila
+358438240090

WithSecure™ lyhyesti

WithSecure™ on kyberturvallisuuden luotettava kumppani. Yritykset, IT-palveluntarjoajat, suurimmat rahoituslaitokset, teollisuusvalmistajat ja tuhannet viestintä- ja teknologiayritykset luottavat meihin tuloksellisessa kyberturvallisuuden tekemisessä, joka mahdollistaa turvallisen liiketoiminnan. Tekoälypohjainen tuoteajattelu suojaamisessa varmistaa päätelaitteiden sekä pilvipalveluiden turvallisuuden. Asiantuntijamme käyttävät apuna älykkäitä uhkien tunnistus- ja vastaustyökalujamme kyberhyökkäyksiin vastaamisessa ja uhkien ennakoinnissa. Konsulttimme tekevät asiantuntijatyötä suuryritysten ja yrityskentän edelläkävijöiden kanssa rakentaakseen yhdessä yhteiskunnan kyberresilienssiä. Yli 30 vuoden kokemus tietoturvasta ja teknologiasta on liiketoimintamme ydin, ja olemme rakentaneet portfoliomme kasvamaan joustavasti yhdessä kumppaneidemme kanssa.

WithSecure™ aiemmin F-Secure Yritystietoturva, on perustettu vuonna 1988 — NASDAQ OMX Helsinki.