Il gruppo Lazarus attacca le società di logistica: i fallimenti nella logistica globale del trasporto merci possono avere gravi conseguenze. Che siano digitali o analogici: i guasti sono particolarmente delicati per la logistica globale del trasporto merci. Lo ha dimostrato solo di recente il blocco del Canale di Suez da parte della nave portacontainer "Ever Given".
I ricercatori ESET hanno ora scoperto una backdoor precedentemente sconosciuta utilizzata in un attacco a una società di logistica merci in Sud Africa. Il famigerato gruppo Lazarus è dietro il malware. A tal fine, gli esperti di sicurezza del produttore europeo di sicurezza informatica hanno scoperto somiglianze con le precedenti operazioni e procedure del gruppo di hacker.
Backdoor Vyveva ha capacità di spionaggio
La backdoor, denominata Vyveva, possiede molteplici funzioni di spionaggio, come la raccolta di informazioni sul computer di destinazione e l'inoltro ai computer Lazarus. Sarebbe stata possibile anche un'interruzione dei sistemi informatici. Lo spyware comunica con il suo server Command & Control (C&C) tramite la rete Tor. I ricercatori ESET hanno ora pubblicato i loro risultati su WeliveSecurity.
“Vyveva condivide molte somiglianze di codice con i vecchi campioni di Lazarus. Inoltre, l'uso di un falso protocollo TLS nella comunicazione di rete, il concatenamento delle righe di comando e il modo in cui vengono utilizzati i servizi di crittografia e Tor puntano tutti al gruppo APT. Pertanto, possiamo attribuire la backdoor al gruppo Lazarus con un'alta probabilità", afferma Filip Jurčacko, il ricercatore ESET che ha analizzato Vyveva.
I ricercatori ESET sospettano un attacco mirato
Le indagini del produttore europeo di sicurezza informatica indicano che Vyveva è stato utilizzato in modo mirato. I ricercatori ESET sono riusciti a trovare solo due computer delle vittime, che sono i server di una società di logistica sudafricana. L'analisi dei ricercatori ESET ha rivelato che Vyveva è in uso almeno da dicembre 2018.
Comunicazione sulla rete Tor
La backdoor esegue i comandi emessi dal gruppo di hacker, come la raccolta di dati sensibili. C'è anche un comando per modificare i timestamp sui file. Vyveva comunica con il server C&C tramite la rete Tor e lo contatta a intervalli di tre minuti. Lo spyware invia informazioni sul computer interessato e sulle sue unità. Qui vengono utilizzati i cosiddetti watchdog, che inviano un messaggio al server C&C quando vengono apportate determinate modifiche al sistema infetto.
“Particolarmente interessanti sono gli speciali watchdog backdoor che monitorano le unità appena connesse e disconnesse. C'è anche un watchdog che monitora il numero di sessioni attive. Questo può essere, ad esempio, il numero di utenti registrati. Questi componenti possono attivare una connessione al server C&C al di fuori del normale intervallo di tre minuti preconfigurato", spiega Jurčacko.
Altro su WeLiveSecurity su ESET.com
Informazioni su ESET ESET è una società europea con sede a Bratislava (Slovacchia). Dal 1987, ESET sviluppa software di sicurezza pluripremiati che hanno già aiutato oltre 100 milioni di utenti a usufruire di tecnologie sicure. L'ampio portafoglio di prodotti per la sicurezza copre tutte le principali piattaforme e offre alle aziende e ai consumatori di tutto il mondo il perfetto equilibrio tra prestazioni e protezione proattiva. L'azienda ha una rete di vendita globale in oltre 180 paesi e uffici a Jena, San Diego, Singapore e Buenos Aires. Per maggiori informazioni visita www.eset.de o seguici su LinkedIn, Facebook e Twitter.