Северная Корея начала показательную демилитаризацию, но освободившиеся ресурсы тратит на войны другого формата — кибернетические. Удивительно, как в условиях информационной изоляции ей удается выполнять успешные атаки на инфраструктуру более развитых стран. Мы разберем самые масштабные из них и прольем свет на действия хакерских групп, чья деятельность финансируется правительством КНДР.
Эксперты из ClearSky Cyber Security, FireEye, CrowdStrike и NTT Security сходятся в том, что потенциал киберармии КНДР сильно недооценивается. На текущий момент ее численность составляет от 7 до 10 тысяч — это на порядок больше, чем служит в USCYBERCOM на базе Форт-Мид. Более точные данные собрать пока не получается, так как основную деятельность северокорейские хакеры ведут за пределами родной страны.
В отличие от рядовых граждан, обреченных просидеть всю жизнь на северной части полуострова, им оформляют «стажировки» и «деловые» поездки за рубеж. В основном хакеров набирают из студентов-математиков, которые соглашаются делать грязную работу для правительства по разным причинам.
Традиционная идеологическая обработка плохо воздействует на молодых ИТ-специалистов, а вот перспектива побывать за рубежом их очень привлекает. Некоторые даже набираются смелости попросить политического убежища и не возвращаться на родину.
Самим студентам это сделать сложно (их семьи фактически остаются в заложниках), а вот их кураторам порой нечего терять. Например, так для себя решил сбежавший в Южную Корею профессор математики Ким Хен Кван. Он до сих пор поддерживает контакты с некоторыми студентами и в курсе того, как сложилась их дальнейшая судьба.
При подготовке данной статьи использовались как открытые источники, так и закрытые технические отчеты, подготовленные для правительства США разными экспертными группами в 2017–2019 годах. Копии последних распространяются только среди уполномоченных лиц согласно положениям B и C директивы DoDI 5230.24. Эти документы не должны были попадать в публичный доступ (и тем более в поисковую выдачу). Однако мне удалось их обнаружить при помощи Google dorks в доменах .mil и .gov, а также по «закрытым» ссылкам в облачных хранилищах. Спасибо всем, кто ценит удобство превыше конфиденциальности!
Эта группа прославилась тем, что использовала широкий набор эксплоитов, включая уязвимости нулевого дня, ныне получившие идентификаторы угроз CVE-2018-0802 и CVE-2018-4878. Массовое применение последней впервые обнаружили специалисты южнокорейского подразделения кибербезопасности KR-CERT, поскольку главной целью APT37 были именно правительственные и финансовые организации южного соседа.
Первого февраля 2018 года Adobe признала, что Flash Player 28.0.0.137 и более ранние версии содержат критическую уязвимость, теоретически позволяющую получить полный удаленный контроль в любой операционной системе: Windows (включая 10), Linux, macOS и Chrome OS. Однако реальные атаки были замечены только на пользователей Windows. Они получали фишинговые письма, содержащие во вложении злонамеренно модифицированные документы со встроенными flash-объектами.
В качестве вторичных целей группы APT37 выступили промышленные объекты, а также учреждения здравоохранения в Японии и Вьетнаме. Возможно, это был не результат направленных атак, а лишь побочный эффект от выбранной тактики. Дополнительно малварь первой фазы распространялась через торренты.
Попав на компьютер жертвы, малварь отсылала запросы на диапазон IP-адресов, принадлежащих сети STAR-KP. Это совместное предприятие Почтовой и телекоммуникационной корпорации правительства Северной Кореи и базирующейся в Таиланде компании Loxley Pacific. В этой же сети оказались зарегистрированы C&C-серверы, использованные APT37 и физически расположенные в Пхеньяне.
Практически все сетевые атаки предпринимались APT37 в несколько этапов. На зараженных компьютерах постепенно формировалась целая экосистема из разных зловредов, использующих специфичный для данного пользователя софт и его уязвимости.
Обычно на первом этапе атаки APT37 подсовывала жертве GelCapsule или HappyWork через торренты, фишинговые письма или скомпрометированные веб-сайты определенной тематики. Это малварь класса Trojan-Downloader, которая сама по себе не выполняет вредоносных функций, но готова по команде C&C-сервера скачать и установить в систему жертвы разных зловредов.
В случае APT37 даунлоадер чаще всего использовал для их загрузки лончеры MilkDrop и SlowDrift, которые прописывались на автозапуск. Из них MilkDrop выглядит как проба пера, а SlowDrift — довольно продвинутый бэкдор, который взаимодействует с C&C-серверами через облачную инфраструктуру. Он выполняет большой набор удаленных команд, включая поиск, отправку и удаление файлов, а также сам может доустанавливать другие вредоносные программы.
Материалы из последних выпусков можно покупать отдельно только через два месяца после публикации. Чтобы продолжить чтение, необходимо купить подписку.
Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке
1 год7590 р. Экономия 1400 рублей! |
1 месяц720 р. 25-30 статей в месяц |
Уже подписан?
Читайте также
Последние новости
2009-2024 © Все права защищены.
This website - is fan-site, not an official Huawei website. The Huawei logo is a trademark of Huawei Technologies. Other trademarks are the property of their respective owners.
|