Если ты воображаешь, что в Северной Корее примерно три компьютера, на одном из которых Ким Чен Ын играет в League of Legends, а на другой кладет ноги, то ты ошибаешься. Северокорейские хакеры теперь фигурируют в новостях о крупных взломах наравне с русскими и китайскими, и их успехи впечатляют. Группа APT38 за четыре года похитила для своей страны сотни миллионов долларов прямо из банков. Вот как это происходит.
Недавно на сайте компании FireEye был опубликован доклад Un-usual Suspects («Необычные подозреваемые»), для подготовки которого исследователи скрупулезно изучили всю доступную информацию о северокорейских хакерах, проанализировали их методы и инструменты, а главное, мотивы атак. Именно на основании мотивов им удалось более четко выделить отдельные группировки, которые раньше СМИ валили в одну кучу под общим названием Lazarus Group.
FireEye базируется в Кремниевой долине и занимается кибербезопасностью. Компания помогает бороться с угрозами многим гигантам из списка Fortune 500: среди ее клиентов Yahoo, Microsoft, Pfizer, eBay, Adobe и даже американская разведка.
Главный герой доклада — группа АРТ38, нацеленная прежде всего на финансовые преступления, в частности взлом банковских систем и кражу огромных сумм, в том числе из банкоматов. Специалисты предполагают, что с 2014 года хакеры из АРТ38 украли около 1,1 миллиарда долларов! Также эксперты FireEye выделили группу Lazarus, которая призвана сеять хаос и дестабилизировать работу крупных организаций, например с помощью WannaCry. Также «Лазарю» приписывают атаку на Sony Pictures в 2014 году. Третья группировка TEMP.Hermit специализируется на кибершпионаже и атаках на оборонные и государственные объекты.
Тем не менее эти три группировки, безусловно, связаны. В частности, совпадает 260 байт в рансомвари WannaCry, которой пользуется Lazarus, и бэкдоре Whiteout, которым пользуется АРТ38. Помимо этого, эксперты нашли общий захардкоженный массив данных у бэкдоров Macktruck и NestEgg, принадлежащих группировкам TEMP.Hermit и АРТ38 соответственно.
Специалисты FireEye на данный момент определили 26 уникальных семейств малвари, которые принадлежат перу АРТ38. Также группа использует два публично доступных семейства. Этот арсенал включает бэкдоры, вайперы, туннелеры и дата-майнеры. Если хочешь знать все подробности об их арсенале, смотри последние разделы доклада.
По мнению экспертов FireEye, группировка APT38 сосредоточила фокус именно на финансовых преступлениях, потому что ее главная задача — добывать деньги на содержание своей страны. Новые и новые санкции со стороны ООН серьезно потрепали экономику КНДР, а режим и армия сами себя не прокормят. И чем суровее санкции, тем активнее становятся «заработки».
В 2013 году, после очередного испытания северокорейской ядерной бомбы, Совет Безопасности ООН ввел новые санкции против КНДР. Теперь они касались не только военных разработок, но и денежных переводов, поступающих в Северную Корею из международной финансовой системы.
По хронологии атак АРТ38, воссозданной экспертами, видно, что хакеры охотятся исключительно на банки. Раньше эти атаки приписывали группам TEMP.Hermit и Lazarus, но в ходе расследования стало ясно, что у КНДР есть специализированная группировка для кражи денег.
Именно тщательная подготовка отличает группировку АРТ38 от многих коллег, да и в целом характерна для АРТ как класса атак. По информации FireEye, иногда хакеры находились в скомпрометированной системе цели месяцы и годы, анализируя уязвимости. В одном из случаев члены АРТ38 изучали работу компании изнутри на протяжении 155 дней, прежде чем совершить атаку. А рекордный срок — почти два года, 678 дней.
Да и не каждый раз дело заканчивалось кражей денег, первое время хакеры просто изучали, как работают финансовые системы. Например, в начале 2014 года они внедрили бэкдор NESTEGG и кейлоггер KEYLIME в один из банков в Юго-Восточной Азии, но до атаки на SWIFT дело так и не дошло.
Группа начала с прощупывания целей по соседству. Скорее всего, в своем регионе у АРТ38 было больше возможностей для отмывания украденных денег. Не прошло и пары лет, как группа расширила свою активность до глобальных масштабов.
Оценивая все усилия АРТ38, долгие разведывательные операции, исследование работы систем и даже отдельных пользователей, а также сопровождение денег после кражи, специалисты FireEye делают выводы о большом количестве персонала и сложной структуре группировки по всему миру.
Материалы из последних выпусков можно покупать отдельно только через два месяца после публикации. Чтобы продолжить чтение, необходимо купить подписку.
Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке
1 год7190 р. Экономия 1400 рублей! |
1 месяц720 р. 25-30 статей в месяц |
Уже подписан?
Читайте также
Последние новости
2009-2024 © Все права защищены.
This website - is fan-site, not an official Huawei website. The Huawei logo is a trademark of Huawei Technologies. Other trademarks are the property of their respective owners.
|