Lazarus groep hackt Nederlands defensiebedrijf
Cybercrimegroepering Lazarus heeft wereldwijd doelwitten aangevallen binnen de lucht-, ruimtevaart- en defensiesector, waarbij onder andere een Nederlands defensiebedrijf getroffen is. Medewerkers van het Nederlandse defensiebedrijf werden in september 2021 benaderd door een nep-recruiter van Amazon. Hoewel het primaire doel van deze Lazarus-operatie cyberspionage is, heeft de groep ook (niet-succesvol) geprobeerd om geld weg te sluizen.
Dat blijkt uit onderzoek van ESET, een wereldwijde leider op het gebied van digital security, dat tijdens de jaarlijkse ESET World-conferentie een nieuw onderzoek naar de beruchte Lazarus APT-groep heeft gepresenteerd. In de betreffende aanvallen van 2021-2022 heeft Lazarus zich volgens ESET-telemetrie gericht op bedrijven in Europa, waaronder Nederland. Andere betrokken landen zijn Frankrijk, Italië, Duitsland, Polen en Oekraïne, Turkije, Qatar en Brazilië.
ESET-onderzoekers dachten initieel dat de actie vooral gericht was op het aanvallen van Europese bedrijven, maar door het volgen van een aantal Lazarus-subgroepen die vergelijkbare campagnes uitvoerden tegen defensiebedrijven, realiseerden ze zich al snel dat de campagne zich veel breder uitstrekte. Hoewel de malware die in de verschillende campagnes werd gebruikt verschilde, bleef de aanvankelijke modus operandi (M.O.) altijd hetzelfde: een nep-recruiter nam via LinkedIn contact op met een werknemer en stuurde uiteindelijk kwaadaardige componenten. Onderzoekers van ESET stelden ook vast dat Lazarus elementen van legitieme wervingscampagnes hergebruikt hebben om hun valse wervingscampagnes meer geloofwaardigheid te geven. Daarnaast hebben de aanvallers diensten als WhatsApp of Slack gebruikt in hun kwaadaardige campagnes.
Tijdens ESET World lichtte Jean-Ian Boutin, directeur van ESET Threat Research, de verschillende nieuwe campagnes die de Lazarus-groep tussen eind 2021 en maart 2022 heeft gepleegd tegen defensiebedrijven over de hele wereld verder toe: "De Lazarus-dreigingsgroep toonde vindingrijkheid door een interessante toolset in te zetten, waaronder bijvoorbeeld een gebruikersmodus-onderdeel dat in staat was misbruik te maken van een kwetsbaar Dell-stuurprogramma van waaruit naar het kernelgeheugen kon worden geschreven. Deze geavanceerde truc werd gebruikt in een poging beveiligingsoplossingen die toezicht houden te omzeilen ".
In 2021 heeft het Amerikaanse Ministerie van Justitie drie IT-programmeurs aangeklaagd wegens cyberaanvallen, omdat zij voor het Noord-Koreaanse leger werkten. Volgens de Amerikaanse overheid behoorden ze tot de Noord-Koreaanse militaire hackeenheid die in de infosec-gemeenschap bekendstaat als Lazarus Group
