Suomalainen tietoturvayhtiö WithSecure on julkaissut tarkempia tietoja viime elokuussa alkaneesta verkkohyökkäyksestä, jossa nimeämättömän uhrin verkkoon tunkeuduttiin muun muassa Zimbra-sähköpostiohjelmiston haavoittuvuuksien ja vanhaa Windows XP -käyttöjärjestelmää käyttäneen tietokoneen avulla.
Seurauksena uhrilta vietiin noin 100 gigatavua tietoa. WithSecure uskoo hyökkäyksen olevan osa kampanjaa, jossa iskettiin sekä julkisia että yksityisiä tahoja vastaan. Kohteena olivat tutkimusorganisaatiot, lääketieteellinen tutkimus, energiasektori ja sen toimitusketju.
Tavoitteena oli todennäköisesti tiedon hankkiminen etenkin teknologiasta, jolla on sotilaallista käyttöä. WithSecure antoi raportilleen nimeksi No Pineapple eli ei ananasta, koska termi esiintyi hyökkääjien käyttämän takaoven eräässä virheilmoituksessa.
Usein kyberhyökkäysten alkuperä on epäselvä, ja tekijöistä voidaan esittää korkeintaan valistuneita arvauksia. WithSecure uskaltaa kuitenkin sanoa luottavaisesti, että hyökkäyskampanjan takana oli Pohjois-Korean hallituksen tukema Lazarus-ryhmä.
Pohjois-Koreaan viittaa useampi todiste. Yksi niistä on hyökkäysten aikana tehty virhe, joka paljasti Pohjois-Korean hallitukselle kuuluvan ip-osoitteen. Mahdollisesti erään työpäivän aamuna hyökkääjät unohtivat piilottaa sijaintinsa ja erehtyivät käyttämään hetkellisesti todellista ip-osoitettaan, joka yksilöi enemmän tai vähemmän tarkasti käytetyn tietokoneen.
Lazarus on vanhastaan tuttu, joskin verrattain huonosti tunnettu. Taannoin ryhmän arvioitiin varastaneen ja pesseen valtavia määriä kryptovaluuttaa vuodesta 2018 lähtien.
Vuonna 2020 F-Secure kertoi Lazarus-ryhmän tekemistä hyökkäyksistä kryptovaluutta-alan yrityksiin.
Lue lisää: F-Secure: Pohjois-Korean hakkerit iskevät nyt kryptovaluuttaan
Kenties parhaiten Lazarus-ryhmä tunnetaan kuitenkin sen Sonyyn kohdistuneesta hyökkäyksestä ja WannaCry-kiristysohjelmaiskuista.
