Lazarus Group атакує логістичні компанії: збої в глобальній логістиці вантажних перевезень можуть мати серйозні наслідки. Незалежно від того, цифрові чи аналогові: збої особливо складні для глобальної логістики вантажних перевезень. Це лише нещодавно показало блокування Суецького каналу контейнеровозом «Ever Given».
Дослідники ESET тепер виявили раніше невідомий бекдор, який використовувався під час атаки на логістичну компанію з вантажних перевезень у Південній Африці. За шкідливим програмним забезпеченням стоїть сумнозвісна група Lazarus. З цією метою експерти з безпеки європейського виробника IT-безпеки виявили схожість із попередніми операціями та процедурами хакерської групи.
Backdoor Vyveva має шпигунські можливості
Бекдор під назвою Vyveva має кілька шпигунських функцій, таких як збір інформації на цільовому комп’ютері та пересилання її на комп’ютери Lazarus. Також була б можлива перерва в роботі ІТ-систем. Шпигунське програмне забезпечення спілкується зі своїм сервером командування та керування (C&C) через мережу Tor. Дослідники ESET тепер опублікували свої результати на WeliveSecurity.
«Код Vyveva багато подібний до старих зразків Lazarus. Крім того, використання підробленого протоколу TLS у мережевому зв’язку, ланцюжок командних рядків, а також спосіб використання шифрування та служб Tor вказують на групу APT. Тому ми можемо з високою ймовірністю віднести бекдор до групи Lazarus», — говорить Філіп Юрчако, дослідник ESET, який аналізував Vyveva.
Дослідники ESET підозрюють цілеспрямовану атаку
Розслідування європейського виробника IT-безпеки показують, що Vyveva використовувався цілеспрямовано. Дослідникам ESET вдалося знайти лише два комп’ютери жертв, які є серверами південноафриканської логістичної компанії. Аналіз дослідників ESET показав, що Vyveva використовується щонайменше з грудня 2018 року.
Спілкування через мережу Tor
Бекдор виконує команди, видані хакерською групою, наприклад збирає конфіденційні дані. Існує також команда для зміни часових позначок файлів. Vyveva спілкується з C&C сервером через мережу Tor і зв’язується з ним кожні три хвилини. Шпигунське програмне забезпечення надсилає інформацію про уражений комп’ютер та його диски. Тут використовуються так звані сторожові собаки, які надсилають повідомлення на C&C сервер, коли в заражену систему вносяться певні зміни.
«Особливо цікаві спеціальні бекдор-сторожові системи, які відстежують щойно підключені та відключені диски. Також є сторожовий таймер, який стежить за кількістю активних сеансів. Це може бути, наприклад, кількість зареєстрованих користувачів. Ці компоненти можуть ініціювати підключення до C&C-сервера поза регулярним, попередньо налаштованим трихвилинним інтервалом», — пояснює Юрчацко.
Більше на WeLiveSecurity на ESET.com
Про ESET ESET – європейська компанія зі штаб-квартирою в Братиславі (Словаччина). З 1987 року ESET розробляє відзначене нагородами програмне забезпечення безпеки, яке вже допомогло понад 100 мільйонам користувачів користуватися безпечними технологіями. Широке портфоліо продуктів безпеки охоплює всі основні платформи та пропонує компаніям і споживачам у всьому світі ідеальний баланс між продуктивністю та проактивним захистом. Компанія має глобальну мережу продажів у понад 180 країнах і офіси в Єні, Сан-Дієго, Сінгапурі та Буенос-Айресі. Для отримання додаткової інформації відвідайте www.eset.de або слідкуйте за нами в LinkedIn, Facebook і Twitter.