2021.02.28. 06:00
Vakcinakutatókat támadnak a hírhedt hackerek
Két vakcinakutatáshoz kapcsolódó APT-incidenst tárt fel a Kaspersky.
A picture taken on April 29, 2020 shows medical staff wearing personal protective equipment (PPE) as they treat a patient infected with the Covid-19 disease at the St Janos Hospital of Budapest, amid the novel coronavirus pandemic. (Photo by KAROLY ARVAI / POOL / AFP)
Forrás: AFP / POOL
Fotó: Karoly Arvai
COVID-19 kutatással foglalkozó szervezeteket – egy egészségügyi minisztériumi testületet és egy gyógyszerészeti vállalatot – vettek célba.
Miközben a pandémia és a korlátozó intézkedések világszerte folytatódnak, sok érintett fél minden rendelkezésre álló eszközzel igyekszik felgyorsítani a vakcinafejlesztést. Bár a munka nagy részét a jó szándék vezérli, az éremnek van egy másik oldala is, ugyanis
egyes támadók a saját javukra próbálják meg az eseményeket kihasználni.
Miközben a Kaspersky szakemberei folyamatosan nyomon követik a Lazarus csoport különféle ágazatokat célzó kampányait, felfedezték, hogy a csoport néhány hónapja a COVID-19-cel foglalkozó szervezeteket vette célkeresztbe. Két esetet azonosítottak.
Az első egy egészségügyi minisztériumi testület elleni támadás volt:
2020. október 27-én a szervezet két Windows-szerverét kifinomult malware-rel fertőzték meg. A támadásban használt „wAgent” nevű malware már nem ismeretlen a Kaspersky előtt. A mélyrehatóbb elemzés kimutatta, hogy az Egészségügyi Minisztérium ellen bevetett wAgent malware ugyanolyan fertőzési sémával rendelkezik, mint az a malware, amelyet a Lazarus csoport korábban kriptovaluta cégek elleni támadásokban használt.
A második incidens egy gyógyszerészeti vállalatot érintett,
melyet a Kaspersky telemetria-adatai szerint 2020. szeptember 25-én ért támadás. A vállalat egy COVID-19 vakcina fejlesztésén dolgozik, emellett engedélye van annak gyártására és forgalmazására is. A támadók ezúttal a Bookcode malware-t vetették be, amelyről egy biztonsági megoldásokat kínáló cég korábban már megállapította, hogy a Lazarushoz köthetően használták egy dél-koreai szoftvercégen keresztüli ellátási lánc elleni támadásban. A Kaspersky szakemberei korábban azt is tapasztalták, hogy a Lazarus csoport célzott adathalászatot alkalmazva vagy a weboldalak stratégiai megtámadásán keresztül terjesztette a Bookcode malware-t.
A mindkét támadásban használt wAgent és Bookcode malware egyaránt hasonló funkciókkal rendelkezik; ezek egyike a teljes funkcionalitású hátsó kapu (backdoor). Az utolsó payload telepítését követően a malware üzemeltetője szinte bármilyen tetszőleges módon át tudja venni az irányítást az áldozat gépe felett.
Borítóképünk illusztráció