Северокорейская хакерская группировка совершила серию кибератак в 17 странах, сообщается в отчете разработчика антивирусного программного обеспечения McAfee.
В новом докладе исследователи пишут о крупной хакерской кампании под названием "Операция GhostSecret", направленная на кражу конфиденциальных данных из широкого спектра отраслей, включая критическую инфраструктуру, развлечения, финансы, здравоохранение и телекоммуникации.
Атакующие использовали инструменты и вредоносные программы, которые связывают с деятельностью киберподразделения Северной Кореи Hidden Cobra, также известного как Lazarus.
Предполагается, что "Операция GhostSecret" началась с массовой кибератаки в нескольких турецких финансовых учреждениях и правительственных организациях в начале марта. По данным McAfee, массивная и продолжительная кибератака проводилась в 17 странах и по-прежнему активна.
Были инфицированы вредоносами серверы в США, Австралии, Японии и Китае в период между 15 и 19 марта. Больше всего пострадал Таиланд: почти 50 серверов сильно пострадали от вредоносного ПО.
Анастасия Тихонова, ведущий аналитик Group-IB:
Кампания, о которой идет речь, активна начиная с февраля 2018 г. Целями хакеров стали клиенты криптовалютных бирж и финансовые компании. Злоумышленники рассылали фейковые письма, к которым прикреплялся вредоносный документ, замаскированный под соглашение между пользователем и криптовалютной биржей. На компьютер жертвы устанавливался троян в виде средства удаленного управления (RAT). Если на компьютере жертвы находили данные о криптовалюте, информация отправлялась на управляющий сервер, который инициирует процесс кражи денежных средств.Эта вредоносная программа не просто похищает криптовалюту, но еще и шпионит за системой жертвы. Информация об имени компьютера, имени пользователя, вошедшего в систему, и всех процессах, запущенных в системе, отправляется злоумышленникам, которые могут использовать ее для организации атак в будущем.
Действительно, используемые вредоносные программы имеют большое сходство с инструментами, которые использовала группа Lazarus из Северной Кореи. Кроме того, в ходе последних атак были обнаружены IP-адреса в сетевом блоке, который был отмечен в атаке киберпреступников из Lazarus в 2014 г. на Sony Pictures Entertainment, в ходе которой были скомпрометированы и выложены в сеть несколько фильмов Sony Pictures, а также уничтожена часть ее инфраструктуры. Поэтому мы предполагаем, что за данной кампанией стоят именно северокорейские хакеры.
Изначально киберпреступники были сконцентрированы на шпионаже против Южной Кореи, однако со временем расширили географию - США, Тайвань, Китай, Бангладеш, Вьетнам, Турция, Россия, Франция, Италия и др. А начиная с 2015 г. Lazarus начали проводить атаками на банки с целью кражи денег, а позже - криптобиржи. Предполагаем, что Lazarus и дальше будет атаковать финансовые организации по всему миру.
Исследователи компании McAfee отметили сходство методов, используемых в "Операции GhostSecret" с другими крупными атаками, например с WannaCry, произошедшей в прошлом году.
В докладе говорится, что хакеры Северной Кореи расширяют направленность атак за пределы обычных интересов - кражи криптовалюты или секретов военной разведки.
В начале января международная компания Recorded Future, работающая в сфере технологической безопасности, заявила, что хакерская группа, связанная с властями КНДР, стоит за атаками на инвесторов криптовалют Южной Кореи, которые произошли в конце 2017 г.
"Агенты северокорейского правительства, особенно группа Lazarus, продолжили атаки на южнокорейские биржи криптовалют и их участников в конце 2017 г. до новогодней речи Ким Чен Ына и последующего диалоги Северной и Южной Кореи", — говорится в отчете, представленном на официальном сайте Recorded Future.
В документе уточняется, что целями группы стали не только южнокорейские биржи криптовалют, в частности биржа Coinlink, но и общество "Друзей министерства иностранных дел" — студенты, которые интересуются работой внешнеполитического ведомства Южной Кореи.
Эксперты пришли к выводу, что во всех случаях использовалось вредоносное программное обеспечение (ПО) Destover: именно этот вредонос был использован во время хакерских атак против Sony Pictures Entertainment в 2014 г., польских банков в январе 2017 г., а также первой жертвы вируса WannaCry в феврале 2017 г.
Согласно тексту отчета техника кодирование и цели позволяют утверждать, что за действиями хакеров стоит именно северокорейское правительство.
