Hackergruppen Lazarus er kendt og berygtet for nogle af de største hackerangreb i nyere tid. De står blandt andet bag det store WannaCry-angreb, som ramte op mod 300.000 computere i 150 lande, og angrebet mod centralbanken i Bangladesh, hvor 81 millioner dollars blev stjålet. Nu tyder det på, at hackergruppen igen er aktiv med en ny spyware, som giver dem fuldstændig kontrol over de systemer, de angriber.

Spywaren er et ondsindet fjernadministrationsværktøj (Remote Administration Tool/RAT). Det betyder, at de cyberkriminelle kan de uploade og downloade filer til offerets systemer, registrere tasteanslag på tastaturer, få adgang til alle filer, aktive processer, browserhistorik og IP-adresser. Ifølge Kasperskys efterretning bruger de cyberkriminelle spywaren aktivt til at udføre cyberangreb.

Kasperskys researchere fandt spywaren, efter de i 2018 opdagede ATMDtrack, som er en malware, der er skabt til at infiltrere indiske hæveautomater og stjæle bankkunders kortdata. Men researcherne fandt også mere end 180 malware-prøver, hvor koden havde overraskende mange ligheder med ATMDtrack – dog tydeligvis ikke målrettet hæveautomater. Deres funktioner definerer dem snarere som spionværktøjer, som nu går under navnet Dtrack. Derudover delte de to former for malware også ligheder med DarkSeoul-kampagnen fra 2013, som tilskrives Lazarus.

”Lazarus er en usædvanlig statsstøttet aktør. På den ene side, fokuserer de på at udføre cyberspionage og -sabotage ligesom andre grupper som dem. Men på den anden side har de også ofte en finger med i spillet i angreb, hvor målet er økonomisk gevinst. Det sidste er temmelig unikt for en højprofileret aktør. De mange Dtrack-prøver, vi har fundet, demonstrerer, at Lazarus er en af de mest aktive APT-grupper, som konstant udvikler sig selv og deres trusler i et forsøg på at påvirke store industrier. Lazarus’ succes med Dtrack viser, at cyberkriminelle kan genoplive trusler, som tilsyneladende forsvinder, i en ny form og angribe nye mål. Selv forskningscentre og finansielle institutioner, som udelukkende driver kommerciel forretning uden tilknytning til myndigheder, bør forholde sig til risikoen for at blive ramt af en sofistikeret trusselsaktør i deres trusselsmodeller og forberede sig derefter. Det gælder også danske organisationer,” siger David Jacoby, Senior Security Researcher for Kaspersky i Norden og Benelux-landene.