- Nu startar Nina egen vårdcentral
- Nu drar årets båtturer på Hjälmaren igång
- Bidra till en bra sommar för barn och ungdomar i Hällefors
- Bästa resultatet någonsin för Nora kommuns företagsklimat
- Stora kostnadsökningar för inhyrd personal i Örebro län
- Kommunkonst med känsla av natur visas på Lindesbergs stadsbibliotek
- Hans Sigge tar över ansvaret för kulturdonationen i Guldsmedshyttan
- Invigning av nya danshuset på Kävesta folkhögskola
- The Riven är först ut i samarbete med Konstnärsnämnden
- Trots facklig blockad sök vård om du behöver
Nordkoreanska angripare avslöjade sig själva
Nordkoreanska angripare avslöjade sig själva genom bristande säkerhet i den egna cyberattacken, IT-säkerhetsforskare på WithSecure™ kopplar en informationsinsamlingskampanj riktad mot medicinsk forskning och energiorganisationer till Nordkoreas Lazarus Group.
Delvis tack vare en angripares operativa säkerhetsmisstag har IT-säkerhetsforskare från WithSecure™ (tidigare känt som F-Secure Business) nu lyckats härleda en kampanj av cyberattacker till Nordkoreas ökända Lazarus Group.
Lazarus Group är en så kallad APT (Advanced Persistant Threat)-hotaktör som allmänt anses vara en del av Nordkoreas Foreign Intelligence and Reconnaissance Bureau. Forskare fick korn på gruppens senaste kampanj efter att en misstänkt ransomware-attack upptäcktes hos en organisation som skyddas av säkerhetsplattformen WithSecure™ Elements.
Vid närmare undersökningar av attacken fann WithSecure™-forskare flera bevis som tydde på att attacken var en del av en större informationsinsamlingskampanj, snarare än en enskild ransomware-incident.
Baserat på de insamlade bevisen kunde forskarna koppla kampanjen till Lazarus Group, som i detta fall riktade sig mot medicinsk forskning och energiorganisationer i avsikt att spionera.
Specifika attackmål som identifierades av forskarna inkluderade en forskningsorganisation inom vården, en tillverkare av teknologi som används inom energi-, forskning-, försvars- och vårdssektorn, samt en avdelning för kemiteknik vid ett ledande universitet.
– Även om detta från början misstänktes vara ett försök till en BianLian-ransomwareattack, så pekade bevisen oss snabbt i en ny riktning. I takt med att vi samlade in mer och mer bevismaterial stärktes vår övertygelse om att attacken utfördes av en grupp med anknytning till den nordkoreanska regeringen, varpå vi så småningom säkert kunde dra slutsatsen att det var Lazarus Group som låg bakom, säger Sami Ruohonen, Senior Threat Intelligence Analyst på WithSecure™
– Under vår utredning fann vi att detta var en del av en större kampanj med ett utökat antal mål, inte bara en isolerad incident. Det är extremt ovanligt att så pass klart och tydligt kunna koppla en kampanj till en gärningsman som vi har kunnat göra här, tillägger Stephen Robinson, Senior Threat Intelligence Analyst på WithSecure™.
WithSecure™-forskare kunde härleda kampanjen till Lazarus Group baserat på dess användning av taktik, teknik och procedurer i tidigare attacker av gruppen och andra angripare med Nordkorea-koppling.
Forskarna fann flera anmärkningsvärda utvecklingar i denna kampanj jämfört med tidigare Lazarus Group-aktiviteter, såsom:
- Användning av en ny infrastruktur, som bl a endast förlitar sig på IP-adresser utan domännamn (vilket är ett avsteg från tidigare attacker).
- En modifierad version av den skadliga programvaran Dtrack, vilken används för att stjäla information och som har använts av Lazarus Group och Kimsuky (en annan grupp med Nordkorea-koppling) i tidigare attacker.
- En ny version av den skadliga programvaran GREASE, som tillåter angripare att skapa nya administratörskonton med fjärrstyrningsbehörigheter som kringgår brandväggar.
Ett uppseendeväckande bevis som forskarna fann var att angriparna under kort tid använde en av mindre än tusen IP-adresser som tillhör Nordkorea. Denna IP-adress observerades under en kort tid vara ansluten till ett webbskal som kontrollerades av angriparna, vilket fick forskarna att misstänka att misstaget var manuellt och hade gjorts av gruppmedlem.
Men misstag som detta bör dock inte feltolkas av försvarare som ett skäl att sänka garden, enligt Tim West, Head of Threat Intelligence på WithSecure™.
– Trots misslyckandet visade angriparen upp ett skickligt hantverk och lyckades ändå utföra genomtänkta attacker mot noggrant utvalda slutpunkter. Även med rätt tekniker för slutpunktsdetektering måste organisationer ständigt överväga hur de reagerar på varningar. De bör även integrera fokuserad hotintelligens med regelbunden jakt efter hotaktörer för att få ett mer djupgående skydd, särskilt mot skickliga och erfarna motståndare, säger West.
Sverige/Världen
Örebronyheter
Källa WithSecure
Related Posts
Latest News
-
Brand i bostad i Askersund (Uppdatering)
Polisen är på plats vid en brand i Askersunds kommun,...
- Posted april 26, 2024
- 0
-
Nu startar Nina egen vårdcentral
Nina Pasanen är en av de första läkarstudenter som tagit...
- Posted april 26, 2024
- 0
-
Nu drar årets båtturer på Hjälmaren igång
Lördagen den 4 maj startar årets första båtturer med möjlighet...
- Posted april 26, 2024
- 0
-
Bidra till en bra sommar för barn och ungdomar i Hällefors
Vill din förening arrangera sommarlovsaktiviteter för barn och unga mellan...
- Posted april 26, 2024
- 0
-
Bästa resultatet någonsin för Nora kommuns företagsklimat
Nora kommun har uppnått sitt bästa resultat i någonsin i...
- Posted april 26, 2024
- 0
-
Stora kostnadsökningar för inhyrd personal i Örebro län
Kostnaderna för hyrpersonal i landets kommuner har ökat med 330...
- Posted april 26, 2024
- 0
-
Kommunkonst med känsla av natur visas på Lindesbergs stadsbibliotek
En känsla av natur är temat för den utställning som...
- Posted april 26, 2024
- 0
You must be logged in to post a comment Login