Grupo hacker Lazarus ataca fabricantes europeus de drones militares

Um dos mais persistentes e ativos grupos hackers da Coreia do Norte, o Lazarus Group, está sob os holofotes de pesquisadores de segurança por uma nova onda de ataques visando fabricantes europeus de drones e equipamentos militares. De acordo com a empresa de segurança ESET, esta é uma nova ramificação da antiga campanha de espionagem cibernética conhecida como Operation DreamJob.

O Alvo: Tecnologia de Drones Usada na Ucrânia

A ESET revelou que pelo menos três empresas europeias, atuantes no setor de defesa na Europa Central e Sudeste, foram alvo direto dos hackers. O foco principal dos ataques era o roubo de informações proprietárias e o know-how de fabricação de Veículos Aéreos Não Tripulados (VANTs), ou drones.

Alexis Rapin, analista de ciberameaças da ESET, explicou que há evidências de que uma das entidades visadas está envolvida na produção de, pelo menos, dois modelos de VANTs atualmente empregados na Ucrânia, e que a Coreia do Norte pode ter encontrado no campo de batalha. "Esta entidade também está envolvida na cadeia de suprimentos de drones avançados de rotor único, um tipo de aeronave que Pyongyang está desenvolvendo ativamente," acrescentou Rapin.

A Isca e o Malware ScoringMathTea

O modus operandi dos hackers segue o padrão da campanha Operation DreamJob: envio de e-mails maliciosos que se apresentam como ofertas de emprego altamente lucrativas, supostamente enviadas por recrutadores de empresas de renome.

Nos ataques recentes, os e-mails continham PDFs falsos com descrições de vagas. O malware anexado a esses documentos é uma nova cepa identificada como ScoringMathTea. Este malware é crucial para os invasores, pois permite que eles assumam o controle das máquinas infectadas, roubem informações confidenciais do sistema da vítima e estabeleçam um gateway para ações maliciosas futuras.

Pesquisadores rastrearam o uso do ScoringMathTea até outubro de 2022, quando foi utilizado em ataques contra organizações em Portugal e Alemanha com e-mails fraudulentos que simulavam ofertas da empresa francesa Airbus. O malware já foi associado a comprometimentos em empresas na Índia, Polônia, Reino Unido e, mais recentemente, Itália, confirmando-o como uma assinatura da operação Lazarus.

O Contexto Geopolítico e a Conexão Rússia

A ESET teoriza que o momento dos ataques está diretamente ligado aos desdobramentos geopolíticos. Os e-mails de phishing coincidiram com a notícia da mobilização de soldados norte-coreanos no front russo na guerra contra a Ucrânia. Acredita-se que a Coreia do Norte busque a tecnologia dos drones tanto para auxiliar as forças russas quanto para impulsionar sua própria produção doméstica de VANTs.

Na semana anterior, o Estado-Maior da Ucrânia divulgou um comunicado alegando ter interceptado comunicações que confirmavam a presença de operadores de drones norte-coreanos na cidade russa de Kursk, utilizando drones de reconhecimento para ajustar o fogo de sistemas de lançamento múltiplo de foguetes contra posições ucranianas.

A espionagem cibernética, neste contexto, se torna um braço estratégico do apoio militar direto de Pyongyang a Moscou.

O Lazarus Group, financiado pelo estado norte-coreano, tem um longo histórico de atividades ilícitas, incluindo o roubo de bilhões de dólares em criptomoedas e o desvio de milhões de empresas globais através de esquemas de trabalhadores de TI fraudulentos.

Via - RFN