Útočníci pomocí škodlivého kódu Wslink mají možnost vniknout do vnitřní sítě napadené organizace skrz vytvořená „zadní vrátka“. Následně pak mohou získat libovolné informace, které mohou zpeněžit, nebo využít takto získaná data pro špionáž. Objevený program podle firmy Eset dokáže exfiltrovat, přepisovat a odstraňovat soubory, spouštět příkazy a získávat rozsáhlé informace o systému.
„Technicky přesně lze detekovaný útok popsat následovně – Wslink, který obsahuje soubor s názvem WinorLoaderDLL64.dll, je stahovač binárních souborů systému Windows, který funguje jako server a spouští přijaté moduly v paměti,“ uvedl analytik Esetu Vladislav Hrčka.
„Jde tak o univerzální jádro čekající na napadeném zařízení na dodání dalšího škodlivého kódu, který pak provede konkrétní, závadnou akci, tedy vpuštění vlastního škodlivého programu do již napadeného systému. Díky své modularitě a schopnosti stáhnout a zavést další modul může být později využíván také k dalším krokům. Wslink naslouchá na portu uvedeném v konfiguraci a může obsluhovat další připojující se klienty a načítat další škodlivé kódy,“ dodal.
Počet kybernetických útoků se od invaze na Ukrajinu zdvojnásobil, uvedl O2 |
WinorDLL64 se svou podobou i chováním překrývá s několika vzorky hackerské skupiny Lazarus, což naznačuje, že by mohlo jít o nástroj z rozsáhlého arzenálu této severokorejské skupiny, uvedla firma Eset. Program se podle ní zřejmě rozšířil z napadených počítačů v Jižní Koreji.
Skupina Lazarus je aktivní nejméně od roku 2009. Má na svědomí známé incidenty, jako je například útok na společnost Sony Pictures Entertainment, kybernetické loupeže za desítky milionů dolarů v roce 2016, masivní rozšíření vyděračského programu WannaCry v roce 2017 a řadu dalších útoků narušujících jihokorejskou veřejnou a kritickou infrastrukturu, a to nejméně od roku 2011.
