Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Северная Корея начала показательную демилитаризацию, но освободившиеся ресурсы тратит на войны другого формата — кибернетические. Удивительно, как в условиях информационной изоляции ей удается выполнять успешные атаки на инфраструктуру более развитых стран. Мы разберем самые масштабные из них и прольем свет на действия хакерских групп, чья деятельность финансируется правительством КНДР.
Эксперты из ClearSky Cyber Security, FireEye, CrowdStrike и NTT Security сходятся в том, что потенциал киберармии КНДР сильно недооценивается. На текущий момент ее численность составляет от 7 до 10 тысяч — это на порядок больше, чем служит в USCYBERCOM на базе Форт-Мид. Более точные данные собрать пока не получается, так как основную деятельность северокорейские хакеры ведут за пределами родной страны.
В отличие от рядовых граждан, обреченных просидеть всю жизнь на северной части полуострова, им оформляют «стажировки» и «деловые» поездки за рубеж. В основном хакеров набирают из студентов-математиков, которые соглашаются делать грязную работу для правительства по разным причинам.
Традиционная идеологическая обработка плохо воздействует на молодых ИТ-специалистов, а вот перспектива побывать за рубежом их очень привлекает. Некоторые даже набираются смелости попросить политического убежища и не возвращаться на родину.
Самим студентам это сделать сложно (их семьи фактически остаются в заложниках), а вот их кураторам порой нечего терять. Например, так для себя решил сбежавший в Южную Корею профессор математики Ким Хен Кван. Он до сих пор поддерживает контакты с некоторыми студентами и в курсе того, как сложилась их дальнейшая судьба.
Эта группа прославилась тем, что использовала широкий набор эксплоитов, включая уязвимости нулевого дня, ныне получившие идентификаторы угроз CVE-2018-0802 и CVE-2018-4878. Массовое применение последней впервые обнаружили специалисты южнокорейского подразделения кибербезопасности KR-CERT, поскольку главной целью APT37 были именно правительственные и финансовые организации южного соседа.
Первого февраля 2018 года Adobe признала, что Flash Player 28.0.0.137 и более ранние версии содержат критическую уязвимость, теоретически позволяющую получить полный удаленный контроль в любой операционной системе: Windows (включая 10), Linux, macOS и Chrome OS. Однако реальные атаки были замечены только на пользователей Windows. Они получали фишинговые письма, содержащие во вложении злонамеренно модифицированные документы со встроенными flash-объектами.
В качестве вторичных целей группы APT37 выступили промышленные объекты, а также учреждения здравоохранения в Японии и Вьетнаме. Возможно, это был не результат направленных атак, а лишь побочный эффект от выбранной тактики. Дополнительно малварь первой фазы распространялась через торренты.
Попав на компьютер жертвы, малварь отсылала запросы на диапазон IP-адресов, принадлежащих сети STAR-KP. Это совместное предприятие Почтовой и телекоммуникационной корпорации правительства Северной Кореи и базирующейся в Таиланде компании Loxley Pacific. В этой же сети оказались зарегистрированы C&C-серверы, использованные APT37 и физически расположенные в Пхеньяне.
Наиболее масштабные атаки APT37. Инфографика: Cisco Talos Intelligence Group
Практически все сетевые атаки предпринимались APT37 в несколько этапов. На зараженных компьютерах постепенно формировалась целая экосистема из разных зловредов, использующих специфичный для данного пользователя софт и его уязвимости.
Обычно на первом этапе атаки APT37 подсовывала жертве GelCapsule
или HappyWork
через торренты, фишинговые письма или скомпрометированные веб-сайты определенной тематики. Это малварь класса Trojan-Downloader, которая сама по себе не выполняет вредоносных функций, но готова по команде C&C-сервера скачать и установить в систему жертвы разных зловредов.
В случае APT37 даунлоадер чаще всего использовал для их загрузки лончеры MilkDrop
и SlowDrift
, которые прописывались на автозапуск. Из них MilkDrop выглядит как проба пера, а SlowDrift — довольно продвинутый бэкдор, который взаимодействует с C&C-серверами через облачную инфраструктуру. Он выполняет большой набор удаленных команд, включая поиск, отправку и удаление файлов, а также сам может доустанавливать другие вредоносные программы.
Источник: xakep.ru