Северокорейские хакеры атаковали оборонные предприятия России

Нацелились на оборонку

Северокорейские хакеры из группировки Kimsuky в 2020 году атаковали военные организации в Южной Корее, на Украине, в Словакии, Турции, а также России, сообщает ИБ-компания Group-IB. Известно, что злоумышленники воспользовались фишингом, чтобы обманом выманить у сотрудников оборонных предприятий личные данные для входа в рабочую почту, что в конечном итоге могло привести к похищению конфиденциальной информации.

Группа Kimsuky также известна под названиями Velvet Chollima и Black Banshee. Как сообщают СМИ, этих хакеров спонсирует северокорейское правительство.

Одна из самых крупных атак Kimsuky была проведена на АЭС KHNP в Южной Корее в 2014 году. Это был взлом извне — злоумышленники использовали традиционные методы заражения компьютеров, которые обычно используют при атаке на корпоративные и ведомственные сети. Проникновение вируса в системы удалось остановить на этапе, когда действующим сотрудникам KHNP пришли специальные письма для заражения компьютеров во внутренней сети атомного объекта.

Сообщения о северокорейских хакерах появляются в зарубежной прессе так же часто, как и материалы о «русских» или «китайских» киберпреступниках. Одной из самых известных группировок из КНДР стала Lazarus.

В 2014 году эта группировка совершила хакерскую атаку на американскую киностудию Sony Pictures якобы в качестве протеста против фильма «Интервью» — комедии, в которой совершается покушение на лидера Северной Кореи Ким Чен Ына. Злоумышленники начали угрожать терактами в случае релиза ленты, и было принято решение об отмене выхода фильма в кинотеатрах США.

В феврале 2016 года Lazarus совершила дерзкое нападение на Центробанк Бангладеша, пытаясь вывести с его счетов около $1 млрд. Служба безопасности сумела заблокировать часть транзакций, но банк потерял $81 млн.

«Хакерам удалось проникнуть в сеть Bangladesh Bank и предоставить себе доступ к терминалам SWIFT. Хакеры сгенерировали платежные поручения на общую сумму $951 млн. Из-за нескольких ошибок и неудач большая часть этих платежей была возвращена, но около 81 миллиона долларов все-таки ушло на четыре счета отделения коммерческой банковской корпорации «Ризал» на Филиппинах. Затем, посредством снятия наличных или использования в азартных играх, деньги были направлены в Макао, Китай — и там их уже было невозможно отследить.», — рассказал «Газете.Ru» Владислав Ильюшин, руководитель лаборатории Интернета вещей Avast .

Хакерам Lazarus приписывают и мировую кибератаку вируса WannaCry, поразившую многих своим масштабом — всего от действий злоумышленников пострадали 150 государств планеты.

«Как и другие APT, северокорейские прогосударственные группы весной этого года воспользовались пандемией коронавируса. Например, Lazarus проводили целенаправленные вредоносные рассылки (в том числе через социальные сети), прикрываясь письмами и документами якобы от Boeing, Lockheed Martin Aeronautics Integrated Fighter Group и BAE Systems. Цель таких атак — получение конфиденциальной информации из аэрокосмических и оборонных компаний США, России, Великобритании, Израиля и Индии», — рассказывает руководитель отдела исследования сложных угроз Group-IB Анастасия Тихонова.

Северокорейские группировки время от времени атакуют Россию — так, например, в начале 2019 года была замечена подозрительная активность, направленная против отечественных компаний, сообщил руководитель группы системных инженеров по работе с партнерами Check Point Software Technologies в России Сергей Забула.

«После анализа атак мы смогли выявить внутреннюю связь с тактикой, методами и инструментами, используемыми северокорейской APT-группой Lazarus.

Мы отслеживали несколько вредоносных документов Office, которые были разработаны и созданы специально для российских жертв.

При более внимательном изучении этих документов мы смогли определить, что они принадлежат к ранним стадиям цепочки заражения, что в конечном итоге привело к обновленному варианту универсального бэкдора Lazarus, получившему название KEYMARBLE от US-CERT», — пояснил Забула.

Специалисты с нестандартным подходом

Эксперты по кибербезопасности оценивают северокорейских хакеров как хорошо подготовленных специалистов с нестандартным подходом, рассказали «Газете.Ru» в пресс-службе ESET.

«В Северной Корее выстроена система отбора лучших в этом деле. Молодых талантливых программистов часто отправляют за границу для получения широкого спектра знаний в области информационной безопасности. Их готовят к отражению и совершению хакерских атак на случай кибервойны», — уточнил представитель пресс-службы компании.

На семинаре по кибертерроризму в Южной Корее бежавший из Пхеньяна профессор Ким Хын Кван рассказывал, что

программистам-вундеркиндам обеспечивают лучшие условия, и если они заканчивают учебу с высокими оценками, то их семьям предоставляется право переехать из провинции в столицу КНДР.

«Да, есть те, кто не возвращается в Северную Корею после учпбы за границей, подвергая свою семью потенциальной опасности. Но многие возвращаются и становятся востребованными. С тех пор, как в 2010 году статус подразделения по кибервойне при Генеральном разведывательном бюро был поднят на новый уровень и численность военнослужащих подразделения увеличилась с 500 до нескольких тысяч, хороший хакер не остается без дела», — добавлял Кван, который до побега в 2004 году преподавал компьютерные науки в северокорейском университете.

Хакеры из КНДР опасны и умны, они с успехом используют в том числе приемы социальной инженерии при попытках распространить вредоносное ПО.

«Так, в начале 2020 года группировка Kimsuky одной из первых начала использовать фишинговые приманки, посвященные распространению COVID-19, чтобы атаковать чиновников и правительственные организации в Азии. А весной этого года также в азиатском регионе была отмечена попытка Kimsuky распространить вредоносную программу, замаскированную под антивирус ESET», — резюмировали в пресс-службе ESET.

Северная Корея стабильно входит в топ-5 стран по количеству кибергруппировок, подтверждает руководитель Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет» Алексей Мальнев. Впрочем, нужно отметить, что географическое определение в киберпространстве почти всегда весьма условное.

«Не стоит думать, что если группировка располагается на территории определенного государства, то она обязательно действует от его имени и взаимодействует с национальными спецслужбами при проведении киберопераций.

Аналогично, не следует считать, что члены кибергруппировок обязательно принадлежат к одной национальности.

В настоящее время в киберпространстве активно развивается целая индустрия своеобразного аутсорсинга: часть группировок фокусируется в основном исключительно на разработке вредоносного ПО, поиске уязвимостей и создании эксплойтов, разработке и продаже ботнетов. Финальной же реализацией кибератак может заниматься лишь определенная часть группировок всей киберпреступной индустрии», — заключил эксперт.