Электронная армия Пхеньяна. Как действуют северокорейские хакеры

Северная Корея начала показательную демилитаризацию, но освободившиеся ресурсы тратит на войны другого формата — кибернетические. Удивительно, как в условиях информационной изоляции ей удается выполнять успешные атаки на инфраструктуру более развитых стран. Мы разберем самые масштабные из них и прольем свет на действия хакерских групп, чья деятельность финансируется правительством КНДР.
 

И числом, и умением!

Эксперты из ClearSky Cyber Security, FireEye, CrowdStrike и NTT Security сходятся в том, что потенциал киберармии КНДР сильно недооценивается. На текущий момент ее численность составляет от 7 до 10 тысяч — это на порядок больше, чем служит в USCYBERCOM на базе Форт-Мид. Более точные данные собрать пока не получается, так как основную деятельность северокорейские хакеры ведут за пределами родной страны.

В отличие от рядовых граждан, обреченных просидеть всю жизнь на северной части полуострова, им оформляют «стажировки» и «деловые» поездки за рубеж. В основном хакеров набирают из студентов-математиков, которые соглашаются делать грязную работу для правительства по разным причинам.

Традиционная идеологическая обработка плохо воздействует на молодых ИТ-специалистов, а вот перспектива побывать за рубежом их очень привлекает. Некоторые даже набираются смелости попросить политического убежища и не возвращаться на родину.

Самим студентам это сделать сложно (их семьи фактически остаются в заложниках), а вот их кураторам порой нечего терять. Например, так для себя решил сбежавший в Южную Корею профессор математики Ким Хен Кван. Он до сих пор поддерживает контакты с некоторыми студентами и в курсе того, как сложилась их дальнейшая судьба.

APT37 (aka Reaper, Scarcruft, Group123)

Эта группа прославилась тем, что использовала широкий набор эксплоитов, включая уязвимости нулевого дня, ныне получившие идентификаторы угроз CVE-2018-0802 и CVE-2018-4878. Массовое применение последней впервые обнаружили специалисты южнокорейского подразделения кибербезопасности KR-CERT, поскольку главной целью APT37 были именно правительственные и финансовые организации южного соседа.
Первого февраля 2018 года Adobe признала, что Flash Player 28.0.0.137 и более ранние версии содержат критическую уязвимость, теоретически позволяющую получить полный удаленный контроль в любой операционной системе: Windows (включая 10), Linux, macOS и Chrome OS. Однако реальные атаки были замечены только на пользователей Windows. Они получали фишинговые письма, содержащие во вложении злонамеренно модифицированные документы со встроенными flash-объектами.

В качестве вторичных целей группы APT37 выступили промышленные объекты, а также учреждения здравоохранения в Японии и Вьетнаме. Возможно, это был не результат направленных атак, а лишь побочный эффект от выбранной тактики. Дополнительно малварь первой фазы распространялась через торренты.

Попав на компьютер жертвы, малварь отсылала запросы на диапазон IP-адресов, принадлежащих сети STAR-KP. Это совместное предприятие Почтовой и телекоммуникационной корпорации правительства Северной Кореи и базирующейся в Таиланде компании Loxley Pacific. В этой же сети оказались зарегистрированы C&C-серверы, использованные APT37 и физически расположенные в Пхеньяне.

Наиболее масштабные атаки APT37. Инфографика: Cisco Talos Intelligence Group
 

Арсенал

Практически все сетевые атаки предпринимались APT37 в несколько этапов. На зараженных компьютерах постепенно формировалась целая экосистема из разных зловредов, использующих специфичный для данного пользователя софт и его уязвимости.

Обычно на первом этапе атаки APT37 подсовывала жертве GelCapsule или HappyWork через торренты, фишинговые письма или скомпрометированные веб-сайты определенной тематики. Это малварь класса Trojan-Downloader, которая сама по себе не выполняет вредоносных функций, но готова по команде C&C-сервера скачать и установить в систему жертвы разных зловредов.

В случае APT37 даунлоадер чаще всего использовал для их загрузки лончеры MilkDrop и SlowDrift, которые прописывались на автозапуск. Из них MilkDrop выглядит как проба пера, а SlowDrift — довольно продвинутый бэкдор, который взаимодействует с C&C-серверами через облачную инфраструктуру. Он выполняет большой набор удаленных команд, включая поиск, отправку и удаление файлов, а также сам может доустанавливать другие вредоносные программы.

Источник: xakep.ru