Недавно раскрытая кампания кибершпионажа показала, насколько далеко готовы зайти спонсируемые государством хакеры Северной Кореи, чтобы украсть военные секреты. Исследователи подтвердили, что Lazarus в начале 2025 года эта группа, хакерская организация, связанная с разведывательными службами Пхеньяна, нацелилась на несколько оборонных компаний по всей Европе.
Операция, которую эксперты по кибербезопасности окрестили Operation DreamJob, была сосредоточена на фирмах, занимающихся разработкой беспилотных летательных аппаратов (БПЛА), компонентов беспилотных летательных аппаратов и аэрокосмических технологий. Это были не случайные жертвы. Они были глубоко интегрированы в европейскую цепочку поставок оборонной обороны, включая компании, поставляющие оборудование и программное обеспечение, используемое в текущих военных операциях.
По данным охранной фирмы ESET , основной целью хакеров была кража проприетарных чертежей, проектов систем и технической документации, которые могли бы помочь Северной Корее продвинуть свои собственные программы вооружений.
Вместо того, чтобы использовать атаки грубой силы или эксплуатировать известные уязвимости программного обеспечения для проникновения, Lazarus Группа полагалась на нечто гораздо более эффективное, и это социальная инженерия.
Следователи установили, что злоумышленники выдавали себя за вербовщиков известных оборонных и технологических компаний. Они рассылали то, что казалось законными предложениями о работе, часто на должности высокого уровня инженера или разработчика. Эти сообщения содержали вложенные файлы, замаскированные под безобидные должностные инструкции или технические документы.
На самом деле приспособления были вооружены. Жертвы, открывшие документы, по незнанию запускали троянские файлы, предназначенные для установки вредоносного ПО в их системы. Хакеры использовали сложную технику, известную как DLL sideloading, которая позволяла вредоносному коду работать вместе с законным программным обеспечением. Такой подход помог вредоносному ПО избежать обнаружения антивирусными средствами.
Как только зараженный файл был открыт, специально созданный загрузчик незаметно развернул инструмент удаленного доступа (RAT) под названием ScoringMathTea, предоставив хакерам полный контроль над скомпрометированным компьютером. Оттуда Lazarus оперативники могли шпионить за внутренними коммуникациями, копировать файлы и изучать подключенные системы по всей сети компании.
В некоторых случаях другой вариант, известный как BinMergeLoader, использовался для извлечения дополнительной полезной нагрузки из облака с помощью Microsoft Graph API, что плавно вписывалось в обычный трафик и еще больше затрудняло следователям отслеживание.
Беспилотники были идеальной мишенью
Выбор жертв не был случайным. За последние несколько лет беспилотные летательные аппараты стали определяющей чертой современной войны и слежки. Для таких стран, как Северная Корея, доступ к западным технологиям беспилотных летательных аппаратов является важным стратегическим преимуществом.
Взлом европейских оборонных подрядчиков, вероятно, Lazarus был направлен на сбор разведданных о системах управления беспилотниками, алгоритмах наведения и производственных процессах. Эта информация может помочь Пхеньяну воспроизвести или адаптировать подобные технологии внутри страны.
Предполагается, что по крайней мере одна из атакованных фирм поставляла детали или программное обеспечение, используемое в беспилотных летательных аппаратах, развернутых в Украине. Для Северной Кореи, которая расширяет свою собственную программу беспилотных летательных аппаратов и, как сообщается, оказывает военную поддержку России, кража такого рода технической информации служит как военным, так и политическим целям.
Эксперты говорят, что украденные данные также могут помочь Северной Корее укрепить свои кибервоенные и ракетные программы, в которых технологические инновации долгое время были ограничены международными санкциями.
Анализ ESET показал, что операция началась примерно в Lazarus марте 2025 года и продолжала действовать несколько месяцев спустя. Три подтвержденные компании, расположенные в Центральной и Юго-Восточной Европе, были скомпрометированы или подверглись атаке.
Хакеры проявили терпение и профессионализм. Они не пытались уничтожить данные или удерживать системы с целью получения выкупа. Вместо этого они действовали тихо, ища доступ и информацию, которая могла бы быть ценной в долгосрочной перспективе.
Хотя конкретные детали кражи данных не были обнародованы, исследователи подтвердили, что Lazarus успешно проникли по крайней мере в одну сеть, вытащив конфиденциальные файлы проекта и внутренние коммуникации.
Следователи также отметили, что инструменты, использованные в этой кампании, напоминают те, что использовались в более ранних Lazarus операциях. Группа часто повторно использует код и инфраструктуру, корректируя их, чтобы избежать обнаружения. Эта преемственность в сочетании с уникальными сигнатурами вредоносного ПО и командными серверами помогла исследователям с высокой степенью уверенности объяснить кампанию Lazarus .
Lazarus был связан с некоторыми из самых громких киберинцидентов в мире
Этот инцидент вписывается в более широкую схему зависимости Северной Кореи от кибершпионажа для обхода международных санкций. Не имея возможности импортировать передовые технологии законными способами, страна превратила хакерство в альтернативный канал исследований и получения доходов.
За последнее десятилетие Lazarus он был связан с некоторыми из самых громких киберинцидентов в мире, от взлома Sony Pictures в 2014 году до эпидемии программы-вымогателя WannaCry в 2017 году, а в последнее время to massive cryptocurrency thefts worth billions of dollars . Способность группировки переходить от финансовых преступлений к целенаправленному шпионажу демонстрирует ее гибкость и поддержку глубинного государства.
Эксперты говорят, что Lazarus это не просто преступный синдикат, а гибридная операция, служащая как разведывательному аппарату правительства Северной Кореи, так и его потребности в твердой валюте. Европейская операция беспилотников показывает, что ее миссия эволюционировала от сбора средств к непосредственной поддержке военных и стратегических целей.
Люди часто являются самым слабым звеном
Кампания Lazarus служит суровым напоминанием о том, что в сегодняшнем ландшафте кибербезопасности люди часто являются самым слабым звеном. Даже самые продвинутые оборонные подрядчики могут стать жертвой, когда злоумышленники используют доверие вместо технологий.
Компании в чувствительных отраслях (например, в аэрокосмической, оборонной, энергетической) теперь должны исходить из того, что они являются потенциальными целями для хакеров, поддерживаемых государством. Это означает ужесточение как технической защиты, так и осведомленности сотрудников.
Мошенничество, связанное с подбором персонала, становится Lazarus все более распространенным. Организации должны проверять все непрошеные предложения о работе или партнерстве, обеспечивать строгий контроль за привязанностью и обучать персонал распознавать тактики социальной инженерии. Многофакторная аутентификация и сегментация сети могут ограничить ущерб в случае утечки.
Не менее важным является мониторинг цепочек поставок программного обеспечения. Lazarus показывает, как злоумышленники злоупотребляют законным программным обеспечением для доставки вредоносного ПО. Регулярные проверки целостности кода и процессы верификации программного обеспечения могут помочь обнаружить такое вмешательство до того, как оно достигнет устройств сотрудников.
Для европейских оборонных компаний эта кампания является предупреждением о том, что национальные границы не обеспечивают достаточной защиты от кибершпионажа. Злоумышленники, обладающие государственными ресурсами и долгосрочными целями, терпеливы и обдуманны. Они гонятся не за быстрыми выплатами, а за стратегическими преимуществами.
Для Северной Кореи эта кампания показывает, как кибероперации стали неотъемлемой частью ее национальной политики. Воруя, а не развивая технологии, режим может сократить разрыв между собой и более развитыми странами, даже в условиях санкций.
Продолжающийся успех Группы Lazarus также обнажает тревожную реальность. Несмотря на многолетние разоблачения и слежки, они остаются одним из самых стойких и адаптивных хакерских коллективов в мире. Их тактика продолжает развиваться, и до тех пор, пока они продолжают находить новые способы использования человеческого доверия, они будут оставаться грозной угрозой.
Атаки европейских беспилотников являются лишь последним напоминанием о том, что в мире кибервойны самое опасное оружие — это не ракета или беспилотник, а хорошо составленное электронное письмо, которое попадает в нужный почтовый ящик.