Газета.Ru в Telegram
Новые комментарии +

«Опасны и умны»: хакеры из Северной Кореи ломают Россию

Северокорейские хакеры атаковали оборонные предприятия России

В 2020 году хакерская группировка Kimsuky из Северной Кореи была замечена в атаках на оборонную промышленность нескольких стран мира, включая Россию, сообщает компания Group-IB. Известно, что злоумышленники воспользовались фишингом, чтобы получить доступ к конфиденциальным данным. Кто такие хакеры Kimsuky и чем они опасны — в материале «Газеты.Ru».

Нацелились на оборонку

Северокорейские хакеры из группировки Kimsuky в 2020 году атаковали военные организации в Южной Корее, на Украине, в Словакии, Турции, а также России, сообщает ИБ-компания Group-IB. Известно, что злоумышленники воспользовались фишингом, чтобы обманом выманить у сотрудников оборонных предприятий личные данные для входа в рабочую почту, что в конечном итоге могло привести к похищению конфиденциальной информации.

Группа Kimsuky также известна под названиями Velvet Chollima и Black Banshee. Как сообщают СМИ, этих хакеров спонсирует северокорейское правительство.

Одна из самых крупных атак Kimsuky была проведена на АЭС KHNP в Южной Корее в 2014 году. Это был взлом извне — злоумышленники использовали традиционные методы заражения компьютеров, которые обычно используют при атаке на корпоративные и ведомственные сети. Проникновение вируса в системы удалось остановить на этапе, когда действующим сотрудникам KHNP пришли специальные письма для заражения компьютеров во внутренней сети атомного объекта.

Сообщения о северокорейских хакерах появляются в зарубежной прессе так же часто, как и материалы о «русских» или «китайских» киберпреступниках. Одной из самых известных группировок из КНДР стала Lazarus.

В 2014 году эта группировка совершила хакерскую атаку на американскую киностудию Sony Pictures якобы в качестве протеста против фильма «Интервью» — комедии, в которой совершается покушение на лидера Северной Кореи Ким Чен Ына. Злоумышленники начали угрожать терактами в случае релиза ленты, и было принято решение об отмене выхода фильма в кинотеатрах США.

В феврале 2016 года Lazarus совершила дерзкое нападение на Центробанк Бангладеша, пытаясь вывести с его счетов около $1 млрд. Служба безопасности сумела заблокировать часть транзакций, но банк потерял $81 млн.

«Хакерам удалось проникнуть в сеть Bangladesh Bank и предоставить себе доступ к терминалам SWIFT. Хакеры сгенерировали платежные поручения на общую сумму $951 млн. Из-за нескольких ошибок и неудач большая часть этих платежей была возвращена, но около 81 миллиона долларов все-таки ушло на четыре счета отделения коммерческой банковской корпорации «Ризал» на Филиппинах. Затем, посредством снятия наличных или использования в азартных играх, деньги были направлены в Макао, Китай — и там их уже было невозможно отследить.», — рассказал «Газете.Ru» Владислав Ильюшин, руководитель лаборатории Интернета вещей Avast .

Хакерам Lazarus приписывают и мировую кибератаку вируса WannaCry, поразившую многих своим масштабом — всего от действий злоумышленников пострадали 150 государств планеты.

«Как и другие APT, северокорейские прогосударственные группы весной этого года воспользовались пандемией коронавируса. Например, Lazarus проводили целенаправленные вредоносные рассылки (в том числе через социальные сети), прикрываясь письмами и документами якобы от Boeing, Lockheed Martin Aeronautics Integrated Fighter Group и BAE Systems. Цель таких атак — получение конфиденциальной информации из аэрокосмических и оборонных компаний США, России, Великобритании, Израиля и Индии», — рассказывает руководитель отдела исследования сложных угроз Group-IB Анастасия Тихонова.

Северокорейские группировки время от времени атакуют Россию — так, например, в начале 2019 года была замечена подозрительная активность, направленная против отечественных компаний, сообщил руководитель группы системных инженеров по работе с партнерами Check Point Software Technologies в России Сергей Забула.

«После анализа атак мы смогли выявить внутреннюю связь с тактикой, методами и инструментами, используемыми северокорейской APT-группой Lazarus.

Мы отслеживали несколько вредоносных документов Office, которые были разработаны и созданы специально для российских жертв.

При более внимательном изучении этих документов мы смогли определить, что они принадлежат к ранним стадиям цепочки заражения, что в конечном итоге привело к обновленному варианту универсального бэкдора Lazarus, получившему название KEYMARBLE от US-CERT», — пояснил Забула.

Специалисты с нестандартным подходом

Эксперты по кибербезопасности оценивают северокорейских хакеров как хорошо подготовленных специалистов с нестандартным подходом, рассказали «Газете.Ru» в пресс-службе ESET.

«В Северной Корее выстроена система отбора лучших в этом деле. Молодых талантливых программистов часто отправляют за границу для получения широкого спектра знаний в области информационной безопасности. Их готовят к отражению и совершению хакерских атак на случай кибервойны», — уточнил представитель пресс-службы компании.

На семинаре по кибертерроризму в Южной Корее бежавший из Пхеньяна профессор Ким Хын Кван рассказывал, что

программистам-вундеркиндам обеспечивают лучшие условия, и если они заканчивают учебу с высокими оценками, то их семьям предоставляется право переехать из провинции в столицу КНДР.

«Да, есть те, кто не возвращается в Северную Корею после учпбы за границей, подвергая свою семью потенциальной опасности. Но многие возвращаются и становятся востребованными. С тех пор, как в 2010 году статус подразделения по кибервойне при Генеральном разведывательном бюро был поднят на новый уровень и численность военнослужащих подразделения увеличилась с 500 до нескольких тысяч, хороший хакер не остается без дела», — добавлял Кван, который до побега в 2004 году преподавал компьютерные науки в северокорейском университете.

Хакеры из КНДР опасны и умны, они с успехом используют в том числе приемы социальной инженерии при попытках распространить вредоносное ПО.

«Так, в начале 2020 года группировка Kimsuky одной из первых начала использовать фишинговые приманки, посвященные распространению COVID-19, чтобы атаковать чиновников и правительственные организации в Азии. А весной этого года также в азиатском регионе была отмечена попытка Kimsuky распространить вредоносную программу, замаскированную под антивирус ESET», — резюмировали в пресс-службе ESET.

Северная Корея стабильно входит в топ-5 стран по количеству кибергруппировок, подтверждает руководитель Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет» Алексей Мальнев. Впрочем, нужно отметить, что географическое определение в киберпространстве почти всегда весьма условное.

«Не стоит думать, что если группировка располагается на территории определенного государства, то она обязательно действует от его имени и взаимодействует с национальными спецслужбами при проведении киберопераций.

Аналогично, не следует считать, что члены кибергруппировок обязательно принадлежат к одной национальности.

В настоящее время в киберпространстве активно развивается целая индустрия своеобразного аутсорсинга: часть группировок фокусируется в основном исключительно на разработке вредоносного ПО, поиске уязвимостей и создании эксплойтов, разработке и продаже ботнетов. Финальной же реализацией кибератак может заниматься лишь определенная часть группировок всей киберпреступной индустрии», — заключил эксперт.

Новости и материалы
«Я из России, не делайте так»: боец UFC о потасовке перед поединком
Курс биткоина упал к мартовским значениям
В Израиле заявили, что не видят у ХАМАС желания договориться
Двое подростков на самокате сбили ребенка и сломали ему ногу
На Украине сотрудники военкомата избили женщину, которая пришла за супругом
Максим Галкин с бокалом виски в руке пожелал удачи «нашим ПВО»
В КСИР назвали успешной атаку на Израиль
В Нижнем Новгороде квартира загорелась из-за «умной» колонки, пострадал ребенок
Иран пригрозил более мощным ударом в случае ответа Израиля
Солдат ВСУ заявил, что Украина может потерпеть поражение
Французский политик объяснил, зачем ВСУ атакуют Запорожскую АЭС
Эксперт рассказал, что ждет рубль на следующей неделе
Российский депутат назвал условие возобновления работы Запорожской АЭС
В правительстве Оренбуржья рассказали, сколько человек получили медпомощь
В Крыму рассказали об адаптации к отсутствию авиасообщения
Мошенники две недели запугивали российскую пенсионерку и заставили ее отдать 5 млн рублей
Трамп назвал виновного в атаке Ирана на Израиль
В МИД России заявили о потере доверия к Швейцарии
Все новости