Эксперты международной антивирусной компании ESET обнаружили серию атак, за которой стоит одна из самых известных северокорейских группировок Lazarus. Жертвами хакеров стали пользователи государственных и банковских сайтов в Южной Корее. Для доставки вредоносного ПО злоумышленники использовали необычный механизм, маскируясь под украденное программное обеспечение безопасности и цифровые сертификаты, говорится в сообщении ESET.
Распространению вируса Lazarus поспособствовало то, что южнокорейских пользователей интернета часто просят установить дополнительные программы безопасности при посещении правительственных сайтов или веб-сайтов интернет-банкинга, пояснил руководитель расследования Антон Черепанов.
"В Южной Корее распространена программа установки интеграций WIZVERA VeraPort. После установки пользователи получают возможность скачать необходимое ПО для работы определённого веб-сайта. Обычно такая схема используется правительственными и банковскими сайтами Южной Кореи. Для некоторых из этих сайтов обязательно наличие WIZVERA VeraPort", - рассказал Черепанов.
Злоумышленники использовали незаконно полученные сертификаты подписи кода для внедрения образцов вредоносного ПО. Причём один из этих сертификатов был выдан фирме, специализирующейся на безопасности - американскому филиалу южнокорейской охранной компании.
"Хакеры замаскировали образцы вредоносного ПО Lazarus под легальные программы. Эти образцы имеют такие же имена файлов, значки и ресурсы, что и законное южнокорейское программное обеспечение", - уточнил Питер Калнаи, участвовавший в расследовании атаки.
Анализ ESET в очередной раз продемонстрировал нестандартный характер используемых методов вторжения, шифрования и настройки сетевой инфраструктуры, ставший "визитной карточкой" хакеров Lazarus.
Компания ESET - разработчик антивирусного ПО и эксперт по защите от киберугроз. Решения ESET NOD32 представлены в 180 странах, в России - с 2005 года.
