2019-2-22
A Check Point descobriu indícios que apontam para o grupo cibercriminoso Lazarus estar por detrás de algumas das maiores ações de violação de segurança da última década, como o ataque à Sony Pictures Entertainment, ou o roubo de milhões de dólares em criptomoedas de cinco diferentes casas de câmbio em todo o mundo
Pela primeira vez, a Check Point tem vindo a observar aquilo que tudo indica ser um ataque coordenado pela Coreia do Norte contra entidades russas. Tendo consciência que a atribuição dos ataques a um determinado grupo ou a outro pode ser problemático, a análise realizada pela Check Point revela as conexões intrínsecas às táticas, técnicas e ferramentas utilizadas pelo grupo norte coreano APT – Lazarus. Esta descoberta aconteceu enquanto a Check Point realizava a monitorização de diversos documentos Office maliciosos, especificamente desenhados e fabricados para vítimas russas. Após uma análise mais profunda dos documentos em causa, a equipa US-CERT da Check Point conseguiu perceber que estes correspondiam aos estágios iniciais de uma cadeia de infeção que em última instância conduziria a uma versão atualizada do versátil backdoor Lazarus, apelidado de KEYMARBLE. O grupo Lazarus, também conhecido como Cobra Oculta, é um dos grupos APT mais ativos do mundo. Acredita-se que este terrível grupo, conhecido por ser um ator de ameaças patrocinado pela Coreia do Norte, esteja por trás de algumas das maiores fugas de informação da última década. Isto inclui o ataque à Sony Pictures Entertainment, o assalto ao banco do Bangladesh, e muitas outras operações de alto risco, como o roubo de milhões de dólares em criptomoeda de pelo menos cinco casas de intercâmbio de criptomoeda diferentes em todo o mundo. Este incidente, representa uma eleição de uma vítima não habitual por parte do grupo cibercriminoso norte coreano. Geralmente, estes ataques refletem as tensões geopolíticas entre a República Popular Democrática da Coreia e nações como Estados Unidos, Japão e Coreia do Sul. Neste caso foram organizações russas o alvo do ataque. Na comunidade da segurança acredita-se que o Lazarus está dividido em, pelo menos, duas fações: a primeira, chamada Andariel com foco em atacar primeiramente o governo da Coreia do Sul e as suas organizações; a segunda, chamada Bluenoroff que tem como foco principal a monetização e campanhas de espionagem global. As diferenças entre estas duas campanhas, postas em prática ao mesmo tempo, permitem comprovar a teoria de que existe mais do que uma divisão a trabalhar em simultâneo. |