US-CERT опубликовал на своем официальном сайте отчет, подготовленный совместно со специалистами из Министерства национальной безопасности США и ФБР. В документе правоохранители предупреждают о малвари DeltaCharlie, которая используется северокорейскими «правительственными хакерами» для создания ботнета и проведения DDoS-атак.
За созданием малвари DeltaCharlie стоит хакерская группировка, которую спецслужбы называют Hidden Cobra — это одно из имен группы более известной под названиями Lazarus или Guardians of Peace. Именно этой группировке эксперты приписывают ответственность за разрушительную атаку на кинокомпанию Sony Pictures Entertainment в 2014 году. Lazarus подозревают в атаках на банки Сеула, СМИ и вооруженные силы Южной Кореи. Также в 2016 году хакеры едва не совершили «киберограбление века»: злоумышленники успешно похитили 81 млн долларов у Центробанка Бангладеш и лишь чудом не сумели украсть почти миллиард.
Стоит сказать, что сама по себе малварь DeltaCharlie не нова, специалисты обнаруживали ее еще в 2016 году, в ходе проведения операции «Блокбастер». По данным экспертов, малварь использовалась северокорейским правительством для проведения DDoS-атак, задействующих протоколы Domain Name System (DNS), Network Time Protocol (NTP) и Character Generation Protocol (CHARGEN). Также известны вариации DeltaAlfa и DeltaBravo.
Теперь ФБР и Министерству национальной безопасности удалось собрать списки IP-адресов, которые принадлежат зараженным устройствам, либо как-то связаны с ботами DeltaCharlie ( .csv или .stix). Также в отчете специалисты обнародовали хеши файлов, сигнатуры и правила YARA, и настоятельно рекомендовали администраторам изучить и применить эту информацию для защиты сетей своих организаций.
Кроме того, исследователи перечислили самые «излюбленные» уязвимости Lazarus, которые хакерская группа эксплуатирует чаще всего:
- CVE-2015-6585: Hangul Word Processor;
- CVE-2015-8651: Adobe Flash Player 18.0.0.324 иx;
- CVE-2016-0034: Microsoft Silverlight 5.1.41212.0;
- CVE-2016-1019: Adobe Flash Player 21.0.0.197;
- CVE-2016-4117: Adobe Flash Player0.0.226.