Výskumníci spoločnosti Eset sa zmerali na operáciu DreamJob severokórejskej skupiny Lazarus. Ide o kampaň, v rámci ktorej bolo terčom útokov niekoľko európskych spoločností pôsobiacich v obrannom priemysle. Niektoré z nich sú významnými hráčmi v obore bezpilotných lietadiel (UAV a dronov). To naznačuje, že operácia môže súvisieť so súčasnými snahami KĽDR o rozšírenie svojho programu dronov.
Hekeri postupne zaútočili na tri spoločnosti pôsobiace v obrannom sektore v strednej a juhovýchodnej Európe. Počiatočný prístup do sietí bol s takmer istotou dosiahnutý prostredníctvom sociálneho inžinierstva. Hlavným škodlivým kódom nasadeným na ciele bol ScoringMathTea, trojan pre diaľkový prístup (RAT), ktorý útočníkom poskytuje plnú kontrolu nad kompromitovaným počítačom. Predpokladaným hlavným cieľom útočníkov bolo odcudzenie dôverných informácií a výrobného know-how.
Čítajte viac Vírus si môžete do počítača nainštalovať aj bez toho, aby ste na niečo klikli
ScoringMathTea bol zaznamenaný už skôr pri útokoch na indickú technologickú spoločnosť v januári 2023, poľskú obrannú spoločnosť v marci 2023, britskú spoločnosť zaoberajúcu sa priemyselnou automatizáciou v októbri 2023 a taliansku leteckú spoločnosť v septembri 2025.
Obete sa útočníci snažili osloviť lukratívnou, ale falošnou pracovnou ponukou, ktorej súčasťou bol aj malvér. Vyhliadnutý cieľ zvyčajne dostal „návnadu“ v podobe dokumentu s popisom práce a PDF nástroja na jeho otvorenie, ktorý však obsahoval trójskeho koňa.
Tri organizácie, na ktoré útočníci zacielili, vyrábajú rôzne typy vojenského vybavenia alebo jeho súčasti, z ktorých mnohé sú v súčasnosti nasadené na Ukrajine. Záujem o know-how súvisiace s bezpilotnými lietadlami je povšimnutiahodný, pretože ho možno dať do súvislosti s aktuálnou snahou Pchjongjang významne rozšíriť domáce výrobné kapacity dronov.
„Domnievame sa, že operácia DreamJob bola, aspoň čiastočne, zameraná na krádež know-how a dôverných informácií týkajúcich sa bezpilotných lietadiel. Spomenutie dronov v jednom z dropperov (program, ktorého hlavným cieľom nie je priamo škodiť, ale potichu doručiť a nainštalovať ďalší malvér do systému obete. Často sa tvári ako legitímny súbor – PDF, obrázok alebo inštalátor, pozn. red.) výrazne posilňuje túto hypotézu,“ hovorí výskumník spoločnosti Eset Peter Kálnai, ktorý objavil a analyzoval tieto najnovšie útoky skupiny Lazarus.
„Našli sme dôkazy, že jedna z cieľových organizácií sa podieľa na výrobe najmenej dvoch modelov bezpilotných lietadiel, ktoré sa v súčasnosti používajú na Ukrajine a s ktorými sa Severná Kórea mohla stretnúť na fronte. Táto organizácia je tiež súčasťou dodávateľského reťazca pokročilých jednorotorových dronov – lietadiel, ktoré Pchjongjang aktívne vyvíja,“ dodáva Alexis Rapin, analytik kybernetických hrozieb spoločnosti Eset.
