Af Eskil Sørensen, 08/02/23
Hackergruppen Lazarus Group, der er tæt knyttet til det nordkoreanske militær, er blevet nævnet som værende ansvarlig for at have angrebet offentlige og private forskningsorganisationer og virksomheder i energisektoren i Indien.
Det skriver The Record og Infosecurity Magazine.
Oplysningerne om angrebet kommer fra sikkerhedsfirmaet WithSecure, der blev tilkaldt ifm. et cyberangreb, som i første omgang blev tilskrevet ransomwaregruppen BianLian, som bl.a. har angreb på sundheds-, uddannelses-, forsikrings- og medieindustrien siden december 2021 på samvittigheden.
Cyberspionage via Zimbra
Det viste sig imidlertid at være Lazarus, der er kendt for at angribe den indiske forsknings- og techsektor med henblik på indsamling af efterretninger, dvs. cyberspionage. I dette tilfælde omfattede spionage i forskning inden for sundhed, teknologivirksomheder inden for energi-, forskning-, forsvars- og sundhedssektoren.
Metoden ind var ved udnyttelse af sårbarheder på en samarbejdsplatform, der hedder Zimbra. Sårbarheder, der vel at mærke kom på CISAs liste over kendte udnyttede sårbarheder i august 2022 og deadline for håndtering den 1. september.
Ifølge The Record brugte angriberne fejlene til at få adgang til en Zimbra-mailserver i slutningen af august 2022 og eksfiltrerede derefter sandsynligvis indholdet af postkasserne. Først inde lavede gruppen et ’lateral movement’ og flyttede sig til en anden sårbar enhed på netværket og brugte malware til at stjæle 100 GB data. Det foregik den 5. november.
På trods af de enorme mængder data, der blev stjålet, gennemførte gruppen angiveligt ingen destruktive handlinger, mens de var i offerets netværk. Hvilket er et tydeligt tegn på cyberspionage.
Links:
https://www.infosecurity-magazine.com/news/lazarus-group-identified-secu...
https://therecord.media/hackers-linked-to-north-korea-targeted-indian-me...