Grupa Lazarus koristila je lažne ponude za posao u napadima na kompanije koje razvijaju UAV tehnologiju, s ciljem krađe informacija.
Prema izvještaju kompanije ESET, sjevernokorejska hakerska grupa Lazarus usmjerila je nove napade na evropske firme povezane sa sektorom bespilotnih letjelica (UAV), u okviru operacije „Dream Job“.
Poznata i pod imenima Diamond Sleet, Hidden Cobra i Zinc, grupa Lazarus aktivna je najmanje od 2009. godine i odgovorna je za brojne napade visokog profila.
Tokom posljednjih pet godina, ova hakerska grupa sprovodila je kampanje upada zasnovane na lažnim oglasima za posao, kojima su bile mete pojedinci iz sektora vazduhoplovstva, odbrane, inženjeringa, medija, zabave i tehnologije.
Ponude za „posao iz snova“ služile su za infekciju sistema žrtava različitim bekdorima, čime je Lazarus dobijao pristup mrežama organizacija i mogao da krade intelektualnu svojinu i druge osjetljive podatke.
Kako ESET navodi u novom izvještaju, od marta 2025. slični napadi u sklopu operacije Dream Job usmjereni su na evropske kompanije iz sektora odbrane, uključujući metaluršku firmu, proizvođača avionskih komponenti i jednu odbrambenu kompaniju.
Koristeći socijalni inženjering, Lazarus je slalo lažne ponude za posao koje su sadržale dokument s opisom radnog mjesta i trojanizovani open-source PDF čitač, koji je instalirao zlonamjerni softver ScoringMathTea.
Malver ScoringMathTea, koji je prvi put otkriven 2022. godine i više puta korišćen u operaciji Dream Job, omogućava napadačima potpunu kontrolu nad zaraženim sistemima, a oslanja se na kompromitovane servere za komunikaciju komandno-kontrolne (C&C) infrastrukture.
Prema podacima ESET-a, kampanja bi mogla biti usmjerena na prikupljanje informacija o oružanim sistemima koji se koriste u Ukrajini u okviru vojne pomoći evropskih zemalja. Napadi su se dogodili u periodu kada su sjevernokorejski vojnici boravili u Rusiji kako bi, navodno, pomogli u odbijanju ukrajinske ofanzive u Kurskoj oblasti.
Istovremeno, pogođene organizacije proizvode materijale koje i sama Sjeverna Koreja koristi u domaćoj proizvodnji, pa bi upadi mogli imati za cilj prikupljanje informacija o dizajnu i proizvodnim procesima. DLL komponenta prisutna u svim korišćenim dropperima ukazuje na poseban fokus na proizvođače dronova.
Najmanje dvije žrtve bile su direktno uključene u razvoj UAV tehnologije – jedna u proizvodnju ključnih komponenti, a druga u razvoj softvera za dronove.
„Zanimanje za znanje o UAV tehnologiji je značajno, jer se poklapa s nedavnim izvještajima da Pjongjang intenzivno ulaže u domaće kapacitete za proizvodnju dronova“, navodi ESET.
Navodno, Sjeverna Koreja jača svoj dron program na osnovu iskustava iz savremenog ratovanja u kontekstu rata u Ukrajini, uz pomoć Rusije u proizvodnji sopstvene verzije iranskog drona Shahed, kao i jeftinih borbenih UAV sistema za izvoz.
Kako ESET ističe, Sjeverna Koreja je razvila domaće UAV kapacitete kroz reverzno inženjerstvo i krađu intelektualne svojine. Njeni dronovi Saetbyol-4 i Saetbyol-9 zapravo su kopije američkih modela Northrop Grumman RQ-4 Global Hawk i General Atomics MQ-9 Reaper.
„U tom kontekstu, vjerujemo da je operacija Dream Job bila – makar djelimično – usmjerena na krađu vlasničkih informacija i proizvodnog znanja povezanog s UAV tehnologijom. Pominjanje ‘Drone’ u jednom od droppera dodatno potvrđuje ovu pretpostavku“, zaključuje ESET.
Izvor: SecurityWeek