Ким Чен Ыну очень нужны ваши дроны. Желательно с чертежами и бесплатно

Северокорейская хак-группа Lazarus развернула масштабную кибершпионскую операцию против европейских производителей беспилотников. По данным команды ESET, атаки направлены на компании, связанные с разработкой и производством технологий для беспилотных летательных аппаратов. Под удар попали как минимум три предприятия в Центральной и Юго-Восточной Европе, включая производителя компонентов для авиации, металлургическую компанию и специализированного оборонного подрядчика.

Атака представляет собой новый этап в рамках давно известной операции DreamJob, в которой участники Lazarus рассылают фальшивые предложения о трудоустройстве от имени крупных корпораций. Вместе с описаниями вакансий жертвам отправляются вредоносные PDF-читалки, которые при запуске устанавливают шпионское программное обеспечение. Несмотря на активное информирование сотрудников О правилах цифровой гигиены, приём остаётся эффективным.

В ходе атак используется целый арсенал вредоносных инструментов, включая троян ScoringMathTea, активно применяемый Lazarus с 2022 года. Эта программа поддерживает около 40 команд и позволяет злоумышленникам управлять файлами и процессами, собирать информацию о системе, подключаться к удалённым серверам и запускать загруженные файлы. Вместе с ним применяются и другие вредоносы, в том числе BinMergeLoader, использующий инфраструктуру Microsoft Graph API для маскировки активности.

Для обхода систем защиты группа внедряет вредоносный код в легитимные проекты с открытым исходным кодом. В ходе упомянутой атаки были скомпрометированы такие утилиты, как TightVNC Viewer, MuPDF и плагины для Notepad++ и WinMerge. В одном из образцов кода, найденных аналитиками, использовалось название «DroneEXEHijackingLoader.dll», что указывает на прямую связь с кражей технологий беспилотников.

Также было установлено, что связь с серверами управления осуществляется через взломанные сайты на WordPress, где вредоносные модули размещаются в папках тем и плагинов. Lazarus активно совершенствует методы, добавляя новые библиотеки-прокси и улучшая выбор программ для внедрения вредоносных компонентов.

Анализ целей кампании показывает, что злоумышленников интересуют чертежи, производственные процессы и технические решения в области БПЛА. Одно из атакованных предприятий, по информации ESET, участвует в производстве узлов, используемых в беспилотниках, задействованных в глобальных мировых конфликтах.

Кроме того, взломанная компания разрабатывает технологии однороторных беспилотных вертолётов — направление, которое активно осваивается Пхеньяном, но пока без серьёзных военных результатов. Все эти факты указывают на попытки получить недостающие знания и ускорить собственные оборонные программы.

Северная Корея ранее представила разведывательный дрон Saetbyol-4, практически идентичный американскому RQ-4 Global Hawk, и ударный Saetbyol-9, напоминающий MQ-9 Reaper. Такие совпадения свидетельствуют об использовании метода обратной инженерии и кражи технологий как основной путь развития военной авиации КНДР.

На основе используемых методов, вредоносных инструментов и выбора целей специалисты ESET уверенно связывают кампанию с группой Lazarus. Эта структура, известная с 2009 года, стоит за рядом громких кибератак, включая взлом Sony Pictures, эпидемию вымогателя WannaCry и атаки на инфраструктуру Южной Кореи.