Co tam Panie w sieci? #6

Zapraszam na kolejną garstkę ciekawostek ze świata cyberbezpieczeństwa, tym razem o północnokoreańskiej grupie hackerskiej Lazarus oraz o tym co dalej z Garminem po zeszłotygodniowym ataku.

Grupa Lazarus

Ostatnimi miesiącami oczy całego świata były głównie skupione na poczynaniach chińskich i rosyjskich grup hackerskich, bardzo cicho było natomiast o północnokoreańskich hackerach z zarządzanej przez reżim w Pjongjang grup Lazarus. Oczywiście nie jest to oficjalna nazwa grupy, bo w zapewnieniach północnokoreańskich decydentów taka grupa hackerów nie istnieje, mimo tego zachodnie media tak ochrzciły tę grupę.

Wczoraj eksperci z Kaspersky Antivirus ogłosili, że w co najmniej dwóch badanych przez nich przypadkach ataków hackerskich z użyciem ransomware, gdzie intruzi uzyskali dostęp do sieci atakowanych firm wykryto nowego wirusa ransomware VHD. Narzędzia i techniki wykorzystane podczas tych dwóch włamań łączą włamywaczy z grupą Lazarus. Głównym dowodem łączącym grupę z wirusem VDH jest wykorzystanie MATA: Multi-platform targeted malware framework, który jest jedynie używane przez tę grupę, również wykorzystanie technik poruszania się po wewnętrznej sieci ofiary, które były wcześniej obserwowane w poprzednich kampaniach grupy Lazarus dowodzą, że to właśnie północnokoreańscy hackerzy stoją za tymi atakami.

Dotychczas zaobserwowane działania grupy pokazują, że działania północnokoreańskich hackerów dzielą się na dwie kategorie:

• szpiegostwo cybernetyczne w celach wywiadowczych
• przestępstwa finansowe w celu pozyskania funduszy na wparcie północnokoreańskich programów zbrojeniowych i rakietowych

W przypadku zaobserwowanych ataków z użyciem VHD są to bez wątpienia działania tej drugiej grupy, która dąży do wyłudzenia pieniędzy od zhakowanych organizacji.

^{Zdjęcie użyte dla zobrazowania artykułu z zdnet.com}

Tradycyjnie więcej możecie sami doczytać w artykule Kaspersky: North Korean hackers are behind the VHD ransomware.

Garmin wraca do funkcjonalności po ataku

Wrócę teraz jeszcze do ataku na serwery Garmina, o którym pisałem ostatnio. Generalnie przez cztery dni trwała walka o uruchomienie serwisów dla użytkowników, większość z nich wróciła już do pełni funkcjonalności, reszta powinna być dostępna do końca tego tygodnia. Przez weekend pomimo przecieków prasowych nikt z zarządu Garmina nie wystąpił z oficjalnym komunikatem, takowy dopiero pojawił się wczoraj. Firma ogłosiła, że padła ofiarą ataku hackerskiego przy użyciu nowej wersji wirusa szyfrującego dane WastedLocker.

Ten rodzaj wirusa nakierował ekspertów na rosyjską grupę hackerów EvilCorp, nie ma dowodów łączących tę grupę bezpośrednio z rosyjskimi służbami. Jednakże rząd amerykański objął tę grupę jakiś czas temu sankcjami ekonomicznymi, co stawiało firmę Garmin w trudnej pozycji, bo gdyby zdecydowała się zapłacić okup, który wnosił 10 milionów dolarów, to naraziłaby się na prawne reperkusje. Ten aspekt był chętnie podnoszony przez różne serwisy internetowe.

Firma Garmin jak łatwo się domyślić nie ujawniła, czy poddała się szantażowi i zapłaciła. Zapewne nigdy się tego nie dowiemy, bo nawet jak firmy decydują się na zapłacenie okupu to nie robią tego bezpośrednio ze swoich kont. Wykorzystują specjalizujące się w odzyskiwaniu danych mniejsze firmy. Słyszałem o „specjaliście” od odzyskiwania danych, który to za swoją pracę wystawił rachunek odrobinę wyższy niż wynosił okup, ale był skuteczny, dane zostały odszyfrowane. Generalnie to takie cuda tylko w filmach, a w rzeczywistości to okup zapłacił ten „specjalista”. Nie przeczę, że czasami zdarzają się stare lub bardzo dobrze znane wersje wirusów ransomware wykorzystywanie przez domorosłych hackerów amatorów, a na dodatek atakujący decydują się na wykorzystanie poznanych wcześniej kluczy szyfrujących wielokrotnie, przez co łatwiej jest odszyfrować i odzyskać dane. Ale grupy takie jak EvilCorp czy Lazarus nie schylają się po drobne i polują na grubego zwierza.

Wciąż jest nie jasne czy atakujący zadowolili się wyłącznie zaszyfrowaniem danych na serwerach Garmina, czy może część tych danych wykradli? W odległej przeszłości EvilCorp miał na swoim koncie kradzieże danych kart płatniczych, które to później oferował do sprzedaży na forach w Dark Web’ie. Jednak na podstawie tego, co ustaliły trzy niezależne firmy zajmujące się bezpieczeństwem, w oparciu o dotychczasowy sposób działania grupy, obecnie dane użytkowników Garmin wydają się być bezpieczne.

Nie zmienia to faktu, że warto wykorzystać tą okazję do zmiany hasła do serwisu.

Tradycyjnie więcej możecie sami doczytać w artykułach: Hacker gang behind Garmin attack doesn't have a history of stealing user data i Experts: Devastating ransomware attack on Garmin highlights danger of haphazard breach responses

---

Jak zwykle liczę na Wasze komentarze i uwagi, które pozwolą mi jeszcze lepiej dobierać artykuły i ciekawostki z dziedziny cyberbezpieczeństwa.

^{Do grafiki tytułowej wykorzystałem pracę Gerd Altmann z Pixabay}