29. októbra 2025 • 6m čítanie

ESET: Severokórejská hackerská skupina Lazarus zaútočila na výrobcov dronov v Európe

Výskumníci spoločnosti ESET nedávno zaznamenali nový prípad operácie DreamJob z dielne severokórejskej skupiny Lazarus.

Hackerská skupina Lazarus zaútočila na niekoľko spoločností pôsobiacich v obrannom priemysle v strednej a juhovýchodnej Európe. Niektoré z nich sú významne angažované v odvetví bezpilotných lietadiel (Unmanned aerial vehicle – UAV / drony).
Útoky skupiny Lazarus na spoločnosti vyvíjajúce technológiu UAV majú prienik s nedávno oznámeným vývojom v severokórejskom programe dronov.
Predpokladaným hlavným cieľom útočníkov bola krádež dôverných informácií a výrobného know-how.
Na základe techniky sociálneho inžinierstva použitej na získanie počiatočného prístupu, trojanizácie open-source projektov z GitHubu a nasadenia malvéru ScoringMathTea považuje ESET tieto útoky za novú vlnu Operácie DreamJob.

Ide o kampaň, v rámci ktorej bolo terčom útokov niekoľko európskych spoločností pôsobiacich v obrannom priemysle. Niektoré z nich sú významne angažované v sektore bezpilotných lietadiel (UAV / dronov). To naznačuje, že operácia môže súvisieť so súčasnými snahami KĽDR o rozšírenie svojho programu dronov. Hackeri postupne zaútočili na tri spoločnosti pôsobiace v obrannom sektore v strednej a juhovýchodnej Európe. Počiatočný prístup do sietí bol s takmer istotou dosiahnutý prostredníctvom sociálneho inžinierstva. Hlavným škodlivým kódom nasadeným na ciele bol ScoringMathTea, trojan pre diaľkový prístup (RAT), ktorý útočníkom poskytuje plnú kontrolu nad kompromitovaným počítačom. Predpokladaným hlavným cieľom útočníkov bolo odcudzenie dôverných informácií a výrobného know-how.

V operácii DreamJob je dominantnou témou sociálneho inžinierstva lukratívna, ale falošná pracovná ponuka, ktorá je sprevádzaná malvérom. Obeť zvyčajne dostane návnadu v podobe dokumentu s popisom práce a trojanizovaného PDF nástroja na jeho otvorenie. Výskumníci spoločnosti ESET s vysokou mierou istoty pripisujú túto činnosť skupine Lazarus, najmä kvôli jej kampaniam súvisiacim s operáciou DreamJob a kvôli tomu, že cieľové sektory v Európe sa zhodujú s cieľmi predchádzajúcich prípadov operácie DreamJob (letecký priemysel, obrana, strojárstvo).

Tri organizácie, na ktoré útočníci zacielili, vyrábajú rôzne typy vojenského vybavenia (alebo jeho súčasti), z ktorých mnohé sú v súčasnosti nasadené na Ukrajine v dôsledku vojenskej pomoci európskych krajín. V čase pozorovanej činnosti operácie DreamJob boli severokórejskí vojaci nasadení v Rusku, údajne s cieľom pomôcť Moskve odraziť ukrajinskú ofenzívu v Kurskej oblasti. Je teda možné, že operácia DreamJob mala záujem o zhromažďovanie citlivých informácií o niektorých zbraňových systémoch západnej výroby, ktoré sa v súčasnosti používajú v rusko-ukrajinskej vojne. Zasiahnuté subjekty sa podieľajú na výrobe arzenálu, ktorý Severná Kórea vyrába a pri ktorom by mohla chcieť zdokonaliť svoje vlastné návrhy a procesy. Záujem o know-how súvisiace s bezpilotnými lietadlami je pozoruhodný, pretože odráža nedávne mediálne správy, ktoré naznačujú, že Pchjongjang významne investuje do domácich výrobných kapacít dronov. KĽDR sa pri rozvoji svojich kapacít v oblasti bezpilotných lietadiel vo veľkej miere spolieha na reverzné inžinierstvo a krádež duševného vlastníctva.

„Domnievame sa, že operácia DreamJob bola, aspoň čiastočne, zameraná na krádež know-how a dôverných informácií týkajúcich sa bezpilotných lietadiel. Spomenutie dronov v jednom z dropperov výrazne posilňuje túto hypotézu,“ hovorí výskumník spoločnosti ESET Peter Kálnai, ktorý objavil a analyzoval tieto najnovšie útoky skupiny Lazarus. „Našli sme dôkazy, že jedna z cieľových organizácií sa podieľa na výrobe najmenej dvoch modelov bezpilotných lietadiel, ktoré sa v súčasnosti používajú na Ukrajine a s ktorými sa Severná Kórea mohla stretnúť na fronte. Táto organizácia je tiež súčasťou dodávateľského reťazca pokročilých jednorotorových dronov – lietadiel, ktoré Pchjongjang aktívne vyvíja,“ dodáva Alexis Rapin, analytik kybernetických hrozieb spoločnosti ESET.

Útočníci zo skupiny Lazarus sú vo všeobecnosti veľmi aktívni a svoje backdoory nasadzujú voči viacerým cieľom. Časté používanie odhaľuje tieto nástroje a umožňuje ich detekciu. Ako protiopatrenie predchádza nástrojom tejto skupiny v schéme vykonania útoku séria dropperov, loaderov a jednoduchých downloaderov. Útočníci sa rozhodli začleniť svoje škodlivé prvky načítavania do open-source projektov dostupných na GitHub.

Hlavný škodlivý kód, payload ScoringMathTea, je komplexný RAT, ktorý podporuje okolo 40 príkazov. Jeho prvý výskyt sa dá vysledovať v príspevkoch na portáli VirusTotal z Portugalska a Nemecka v októbri 2022, kde sa jeho dropper vydával za ponuku práce s tematikou Airbusu. Implementovaná funkcionalita je bežná pre Lazarus: manipulácia so súbormi a procesmi, výmena konfigurácie, zbieranie informácií o systéme obete, otváranie TCP pripojenia a vykonávanie lokálnych príkazov alebo nových payloadov stiahnutých z riadiaceho (C&C) servera. Pokiaľ ide o telemetriu spoločnosti ESET, ScoringMathTea bol zaznamenaný pri útokoch na indickú technologickú spoločnosť v januári 2023, poľskú obrannú spoločnosť v marci 2023, britskú spoločnosť zaoberajúcu sa priemyselnou automatizáciou v októbri 2023 a taliansku leteckú spoločnosť v septembri 2025. Zdá sa preto, že ide o jeden z hlavných payloadov kampane Operácia DreamJob.

Najvýznamnejším posunom skupiny je zavedenie nových knižníc určených na proxy DLL a výber nových open-source projektov na trojanizáciu s cieľom zlepšiť vyhýbanie sa odhaleniu. „Takmer tri roky si Lazarus zachovával konzistentný modus operandi, nasadzoval svoj preferovaný hlavný payload, ScoringMathTea, a používal podobné metódy na trojanizáciu open-source aplikácií. Táto predvídateľná, ale účinná stratégia poskytuje dostatočný polymorfizmus na obchádzanie bezpečnostnej detekcie, aj keď nestačí na zamaskovanie identity skupiny a zakrytie procesu atribúcie,“ uzatvára Kálnai.

Skupina Lazarus (známa aj ako HIDDEN COBRA) je APT skupina napojená na Severnú Kóreu, ktorá je aktívna minimálne od roku 2009. Je zodpovedná za viacero významných incidentov. Táto skupina sa vyznačuje rozmanitosťou, počtom a excentricitou pri realizácii kampaní, ako aj tým, že vykonáva všetky tri piliere kybernetických kriminálnych činností: kyberšpionáž, kybersabotáž a snahu o finančný zisk.

Operácia DreamJob je krycie meno pre kampane skupiny Lazarus, ktoré sa spoliehajú predovšetkým na sociálne inžinierstvo, konkrétne na falošné ponuky práce na prestížnych alebo vysokopostavených pozíciách (lákadlo „vysnívanej práce“). Cieľmi sú prevažne sektory leteckého a obranného priemyslu, nasledované strojárenskými a technologickými spoločnosťami a sektorom médií a zábavy. Podrobnejšiu analýzu najnovšej kampane Lazarus DreamJob zameranej na sektor bezpilotných lietadiel nájdete v najnovšom blogovom príspevku „Gotta fly: Lazarus targets the UAV sector“ na WeLiveSecurity.com. Aby ste mali vždy najnovšie informácie o odhaleniach výskumníkov spoločnosti ESET, sledujte ich na sieťach X (niekdajší Twitter), BlueSky, Mastodon.

Nahlásiť chybu

Redaktor

Redakcia TOUCHIT

Máme radi najnovšie technológie a žijeme s nimi. Prinášame informácie o najnovších produktoch a technológiách priamo k vám, objektívne a ľudsky, pretože robíme to, čo nás baví. Sme energický tím plný odhodlania a veríme, že je s nami aj sranda. :)