Cyberprzestępcy z Korei Północnej ze wsparciem dla Rosji. Celem europejski przemysł obronny

Cyberprzestępcy z grupy Lazarus szpiegowali przedsiębiorstwa z sektora przemysłu obronnego w Europie Środkowej - odkryli badacze ESET. Zaatakowane organizacje to producenci różnego rodzaju sprzętu wojskowego, w tym dronów i jego komponentów, z których wiele jest obecnie używanych w Ukrainie w ramach pomocy wojskowej państw europejskich.

Infekując komputery pracowników firm, próbowali pozyskać wiedzę na temat technologii produkcji dronów. Te działania budzą obawy o bezpieczeństwo polskiego przemysłu obronnego, który będzie rozwijał technologie produkcji dronów, a w przeszłości był atakowany przez grupę Lazarus.

Działania szpiegowskie jako element szerszej strategii Korei Północnej

Północnokoreańscy cyberprzestępcy z grupy Lazarus kontynuują swoje działania wymierzone w europejskie kraje, sojuszników Ukrainy. Badacze ESET odkryli, że ostatnie działania były precyzyjnie skierowane w przemysł obronny, w tym sektor dronów. Ataki dotknęły m.in. trzy firmy z Europy Środkowej i Południowo-Wschodniej, a ich głównym celem była kradzież informacji poufnych i know-how, co jest zbieżne z niedawnymi doniesieniami o rozwoju północnokoreańskiego programu dronów. W drugiej połowie września przywódca Korei Północnej wyraził swoje zadowolenie z przeprowadzonych testów bojowych dronów, jednocześnie podkreślając, że drony stają się głównym orężem działań wojskowych, co czyni ich rozwój najwyższym priorytetem i ważnym zadaniem w modernizacji sił zbrojnych Korei Północnej.

Znaleźliśmy dowody na to, że jeden z zaatakowanych podmiotów jest zaangażowany w łańcuch dostaw zaawansowanych dronów jednowirnikowych, czyli bezzałogowych śmigłowców. Jest to typ statku powietrznego, który Pjongjang aktywnie rozwija, ale jak dotąd nie był w stanie go zmilitaryzować

Peter Kálnai

badacz ESET, który odkrył i przeanalizował te atak

Korea Północna w przeszłości w dużej mierze polegała na technologiach innych krajów i kradzieży własności intelektualnej, aby rozwijać swoje zdolności w zakresie produkcji dronów. Najnowsze doniesienia wskazują również, że flagowe drony rozpoznawcze i bojowe Pjongjangu (Saetbyol-4 i Saetbyol-9) wykazują uderzające podobieństwo do ich amerykańskich odpowiedników (RQ-4 Global Hawk i MQ-9 Reaper).

„Operacja Praca Marzeń” - nowa odsłona

Jak podkreślają badacze ESET, odkryte właśnie szpiegowskie działania północnokoreańskich cyberprzestępców stanowią kontynuację kampanii znanej pod kryptonimem „Operacja Praca Marzeń".

Działanie cyberprzestępców opiera się na metodach inżynierii społecznej, a jej dominującym motywem jest lukratywna, ale fałszywa oferta pracy. Potencjalna ofiara zazwyczaj otrzymuje zwodniczy dokument z opisem stanowiska oraz „niezbędne” narzędzia do otworzenia pliku z ofertą.. W plikach narzędzia najczęściej zaszyty jest trojan umożliwiający zdalny dostęp (RAT), dzięki któremu atakujący mogą uzyskać pełną kontrolę nad zainfekowanym urządzeniem

Beniamin Szczepankiewicz

ekspert cyberbezpieczeństwa ESET

Wcześniej, w 2023 r. działania oparte o podobną wersję złośliwego oprogramowania zostały wykryte w przypadku ataków na polską firmę zbrojeniową, co pokazuje, że Polska i jej przemysł stanowią bezpośredni cel grupy Lazarus.

Ataki z udziałem Korei Północnej i żołnierze w gotowości

Działania hakerów powiązanych z Pjongjangiem mogą mieć związek z wojną w Ukrainie i rozwojem północnokoreańskiego wsparcia Rosji w działaniach wojennych przeciwko Ukrainie i jej sojusznikom. Trzy zidentyfikowane przez ESET organizacje będące celem ataków produkują różnego rodzaju sprzęt wojskowy, z którego wiele jest obecnie wdrażanych w Ukrainie w ramach europejskiej pomocy wojskowej. Co najmniej jeden ze zidentyfikowanych celów jest zaangażowany w produkcję dwóch modeli bezzałogowców, które są obecnie używane podczas walk.

Północnokoreańscy żołnierze stanowią dla Rosji istotne wsparcie, a według CNN liczba 11 tysięcy walczących miała zostać zwiększona o kolejne 25-30 tys. żołnierzy¹.

Co więcej, brytyjska organizacja śledcza CAR (Conflict Armament Research) potwierdza, że w trakcie niedawnego ataku dronowego na Chersoń znaleziono amunicję wyprodukowaną w Korei Północnej².

Grupa Lazarus - wysoce aktywny gracz

Ataki na przemysł obronny w Europie mają charakter systemowy i przeprowadzane są przez wyspecjalizowane grupy APT, które koncentrują się w szczególności na podmiotach rządowych, sektorze obronnym i strategicznych branżach. Jednym z ich głównych założeń jest szeroko pojęte szpiegostwo gospodarcze, polityczne jak również sianie dezinformacji i paniki. Grupa Lazarus to czołowa grupa, powiązana z Koreą Północną. Jak wynika z danych ESET³ grupy z Korei Północnej stanowią 14% tego typu formacji i są trzecią ważną siłą po Chinach (40,1%) oraz Rosji (25,7%)

Lazarus jest aktywny od co najmniej 2009 i jest odpowiedzialny za głośne cyberataki, m. in. na Sony Pictures Entertainment czy ransomware WannaCryptor (WannaCry) w 2017 roku, kiedy zainfekowanych zostało ponad 200 tys. komputerów w ponad 100 krajach.

Źródła:
¹North Korea to send as many as 30,000 troops to bolster Russia’s forces, Ukrainian officials say | CNN
²North Korean submunition found in drone used to attack Ukraine, report finds | CNN
³APT Activity Report | ESET