Hackers norte-coreanos ligados ao ataque à cadeia de fornecimento do setor de defesa
20 de Fevereiro de 2024

Em um comunicado hoje, a agência federal de inteligência da Alemanha (BfV) e o Serviço de Inteligência Nacional da Coreia do Sul (NIS) alertam sobre uma operação contínua de espionagem cibernética direcionada ao setor de defesa global em nome do governo norte-coreano.

Os ataques visam roubar informações sobre tecnologia militar avançada e ajudar a Coreia do Norte a modernizar armas convencionais, bem como desenvolver novas capacidades militares.

O comunicado conjunto de cibersegurança de hoje (também disponível em coreano e alemão) destaca dois casos atribuídos a atores norte-coreanos, um deles o grupo Lazarus, para fornecer as táticas, técnicas e procedimentos (TTPs) usados pelos invasores.

Segundo o comunicado, o primeiro caso refere-se a um incidente ocorrido no final de 2022, quando "um ator cibernético norte-coreano invadiu sistemas de um centro de pesquisa para tecnologias marítimas e de envio" e "executou um ataque na cadeia de suprimentos", comprometendo a empresa que gerenciava as operações de manutenção do servidor web da organização-alvo.

O intruso seguiu uma cadeia de ataque que incluiu roubo de credenciais SSH, abuso de ferramentas legítimas, movimentação lateral na rede e tentativas de permanecer oculto na infraestrutura.

Especificamente, o comunicado lista as seguintes etapas de ataque:

Comprometeu a empresa de manutenção do servidor web, roubou credenciais SSH e acessou o servidor web Linux do centro de pesquisa.

Baixou arquivos maliciosos (ferramenta de tunelamento, script Python Base64) usando ferramentas legítimas como curl, obtidos a partir dos servidores de comando e controle (C2).

Realizou movimentações laterais: estabeleceu SSH para outros servidores, utilizou tcpdump para coleta de pacotes e roubou credenciais de contas de funcionários.

Se passou por um administrador de segurança usando informações de conta roubadas e tentou distribuir um arquivo de patch malicioso por meio do PMS, mas foi bloqueado pelo administrador original.

Persistiu explorando a vulnerabilidade de upload de arquivo do site, fez upload de um web shell e enviou e-mails de spear-phishing.

Ao comprometer primeiro o provedor de serviços de TI, o ator de ameaças norte-coreano conseguiu infiltrar-se em uma organização que mantém uma boa postura de segurança, aproveitando-se da relação entre as duas para realizar ataques encobertos em pequenos e cuidadosos passos.

O boletim sugere várias medidas de segurança contra esses ataques, incluindo limitar o acesso dos provedores de serviços de TI aos sistemas necessários para a manutenção remota, monitorar de perto os registros de acesso para detectar eventos de acesso não autorizados, usar autenticação de múltiplos fatores (MFA) em todas as contas, e adotar políticas estritas de autenticação de usuários para o sistema de gerenciamento de patches (PMS).

O segundo exemplo mostra que a "Operação Dream Job" do grupo Lazarus, uma tática que os atores norte-coreanos usam contra funcionários de empresas de criptomoedas e desenvolvedores de software, também foi usada contra o setor de defesa.

A ESET destacou um incidente semelhante em setembro de 2023, onde Lazarus visou um funcionário de uma empresa aeroespacial na Espanha para infectar sistemas com o backdoor 'LightlessCan'.

O boletim de segurança destaca um caso em que Lazarus cria uma conta em um portal de empregos online usando dados pessoais falsos ou roubados de uma pessoa existente e o aprimora ao longo do tempo para que esteja conectado com as pessoas certas para os objetivos de engenharia social na campanha.

Em seguida, o ator da ameaça usa essa conta para abordar pessoas que trabalham para organizações de defesa e se conecta com elas para começar uma conversa em inglês, construindo lentamente uma conexão ao longo de vários dias, semanas ou até meses.

Depois de ganhar a confiança da vítima, o ator da ameaça oferece a ela um emprego e sugere um canal de comunicação externo, onde pode compartilhar um arquivo PDF malicioso descrito como um documento com detalhes sobre a oferta.

Este arquivo geralmente é um lançador de primeira fase que deixa malware no computador da vítima, que Lazarus então usa como um ponto de apoio inicial para se movimentar na rede corporativa.

Em alguns casos, Lazarus envia um arquivo ZIP que contém um cliente VPN malicioso, que ele usa para acessar a rede do empregador da vítima.

Embora essas sejam táticas conhecidas, elas ainda podem ter sucesso, a menos que as organizações eduquem seus funcionários sobre as últimas tendências em cyberataques.

Adotar o princípio do privilégio mínimo e restringir o acesso dos funcionários somente aos sistemas de que precisam deve ser o início de uma boa postura de segurança.

Adicionar fortes mecanismos de autenticação e procedimentos para o sistema de gerenciamento de patches e manter logs de auditoria que incluam acesso de usuário deve melhorar a postura de segurança.

Para ataques de engenharia social, as duas agências recomendam treinar os funcionários sobre táticas comuns.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...