Business Security, Schutzprogramme

COVID-19-Impfstoff: Angriffe auf Forschung auf deuten auf Lazarus hin

Cyberattacken auf Pharmaunternehmen und die Abteilung eines Gesundheitsministeriums sind bekannt geworden

Die Forscher des Sicherheitsunternehmens Kaspersky haben im Herbst zwei zielgerichtete Angriffe auf Einrichtungen identifiziert, die mit der COVID-19-Forschung in Verbindung stehen. Ein Gesundheitsministerium sowie ein Pharmaunternehmen waren davon betroffen. Die Experten gehen davon aus, dass hinter diesen Angriffen die berüchtigte Lazarus-Gruppe steckt.

 

Während die Entwicklung eines geeigneten Impfstoffes gegen COVID-19 auf Hochtouren läuft, versuchen Cyberkriminelle, daraus für sich Gewinn zu schlagen. Aktuelle Untersuchungen zeigen nun, dass insbesondere die Lazarus-Gruppe bereits seit einigen Monaten Unternehmen unterschiedlicher Branchen im Visier hat, die sich einer Eindämmung der Corona-Pandemie verschrieben haben. Bislang wurden zwei Angriffe identifiziert.

Angriffsschema weist auf Lazarus hin

Der erste Angriff erfolgte auf eine Einrichtung eines Gesundheitsministeriums, wobei zwei Windows-Server am 27. Oktober 2020 mit ausgefeilter Malware kompromittiert wurden. Die Analyse der bereits bekannten Malware 'wAgent' hat ergeben, dass diese ein identisches Infektionsschema aufweist, das durch die Lazarus-Gruppe bereits zuvor bei Angriffen auf Unternehmen im Kryptowährungssektor zum Einsatz kam.

Der zweite Vorfall betraf ein Pharmaunternehmen, das laut der Kaspersky-Telemetrie am 25. September 2020 angegriffen wurde. Das Unternehmen entwickelt einen COVID-19-Impfstoff und hat bereits die Berechtigung erhalten, diesen zu produzieren und zu vertreiben. Dieses Mal setzte der Angreifer die Malware ,Bookcode' ein, die schon einmal mit Lazarus, im Rahmen eines Angriffs über die Lieferkette eines südkoreanischen Softwareunternehmens, in Verbindung stand. Kaspersky-Forscher haben darüber hinaus bereits in der Vergangenheit Spear-Phishing-Aktivitäten oder strategische Kompromittierungen von Webseiten durch die Lazarus-Gruppe mit dem Ziel, die Bookcode-Malware zu verbreiten, identifiziert.

Ähnliches Vorgehen bei Angriffen – Lazarus-Verdacht verhärtet sich

Sowohl die wAgent- als auch die Bookcode-Malware, die bei den Angriffen eingesetzt wurden, verfügen über ähnliche Funktionalitäten, etwa eine voll funktionsfähige Backdoor. Nach der Bereitstellung der endgültigen Payload kann der Malware-Akteur den Computer des Opfers auf nahezu beliebige Weise steuern.

Aufgrund der festgestellten Überschneidungen schreiben die Sicherheits-Forscher die Angriffe mit hoher Wahrscheinlichkeit der Lazarus-Gruppe zu. Die Untersuchungen dauern noch an.

„Diese beiden Vorfälle zeigen das Interesse von Lazarus an Informationen im Zusammenhang mit COVID-19“, erklärt Seongsu Park, Sicherheitsexperte bei Kaspersky. „Während die Gruppe bisher vor allem für ihre Aktivitäten im Finanzbereich bekannt ist, zeigt dies, dass auch strategische Forschung für sie Relevanz hat. Wir sind der Auffassung, dass alle Einrichtungen, die derzeit an Impfstoffforschung oder COVID-19-Krisenmanagement beteiligt sind, in höchster Alarmbereitschaft bezüglich Cyberangriffen sein sollten.“

Tipps zum Schutz vor fortgeschrittenen Bedrohungsszenarien

  • Das SOC-Team sollte stets über aktuelle Bedrohungsinformationen verfügen. Ein Threat Intelligence Portal ermöglicht den Zugriff auf die Threat Intelligence beispielsweise von Kaspersky und liefert umfassende Daten und Erkenntnisse zu Cyberangriffen.
  • Mitarbeiter sollten in den Grundlagen der Cybersicherheitshygiene geschult werden, da viele zielgerichtete Angriffe mit Phishing oder anderen Social-Engineering-Techniken beginnen.
  • Das Malware-Analysetools wie Threat Attribution Engine bietet Unternehmen, die ihre eigenen Untersuchungen durchführen möchten, einen Abgleich des entdeckten Schadcodes mit bestehenden Malware-Datenbanken und schreibt diesen basierend auf den Code-Ähnlichkeiten bekannten APT-Kampagnen zu.
  • Eine EDR-Lösung wie Kaspersky Endpoint Detection and Response implementieren, um Vorfälle frühzeitig erkennen, untersuchen und Vorfälle beheben zu können.
  • Neben einer Endpoint-Schutzlösung sollte zudem eine erweiterte Sicherheitslösung wie eine Anti Targeted Attack Platform implementiert werden, die auch fortschrittliche Bedrohungen auf Netzwerkebene frühzeitig erkennt.

Die vollständige Kaspersky-Analyse der Angriffe gibt es hier. 

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben