Krijg het Lazarus

Mocht het je ontgaan zijn door de Corona en het Apenpokken virus, maar er is weer een virus actief op de markt, het Lazarus. Het Lazarus virus is eigenlijk een groep hackers, die wellicht al langer actief is dan je zou denken. De vroegst bekende aanval waarvoor de groep verantwoordelijk is, staat bekend als “Operatie Troy”, die plaatsvond van 2009 tot 2012. Maar de geruchten gaan dat ze wellicht ook Zuid-Korea al in 2007 met DDos aanvallen plaagden, de WannaCry is denk ik wel eentje waar ze zelf trots op zijn. Bovendien wordt duidelijk dat dit cybercrime “groepje” uit Noord- Korea bij de aanvallen steeds geraffineerdere technieken gebruikt en dat de groep in de loop van de tijd steeds geavanceerder wordt. De groep telt naar verluidt inmiddels meer dan 6.000 leden en ze gaan maar door!

Nu blijkt dat deze staatshackers maandenlang ongemerkt toegang tot de computersystemen van Nederlandse bedrijven uit de lucht-, ruimtevaart- en defensiesector hebben gehad.

Het primaire doel van deze operatie was om zoveel mogelijk hoogwaardige kennis en gevoelige gegevens buit te maken. Niks geen ransomware, inpakken en geld vragen, immers kennis is ook macht.

Vreemde gasten en virussen, die zitten te neuzen aan je bestanden kun je simpelweg met VDSS en TSMS detecteren, zowel op de servers als workstations. Hierdoor zie je de spion bij het eerste bestand dat hij opent, in plaats van dat ze maanden de tijd hebben om data te verzamelen. Het is prima te koppelen aan je SIEM, zodat je nu zelf geraffineerd kunt detecteren dat zo een groep actief is.