Северная Корея начала показательную демилитаризацию, но освободившиеся ресурсы тратит на войны другого формата — кибернетические. Удивительно, как в условиях информационной изоляции ей удается выполнять успешные атаки на инфраструктуру более развитых стран. Мы разберем самые масштабные из них и прольем свет на действия хакерских групп, чья деятельность финансируется правительством КНДР.
 

И числом, и умением!

Эксперты из ClearSky Cyber Security, FireEye, CrowdStrike и NTT Security сходятся в том, что потенциал киберармии КНДР сильно недооценивается. На текущий момент ее численность составляет от 7 до 10 тысяч — это на порядок больше, чем служит в USCYBERCOM на базе Форт-Мид. Более точные данные собрать пока не получается, так как основную деятельность северокорейские хакеры ведут за пределами родной страны.

В отличие от рядовых граждан, обреченных просидеть всю жизнь на северной части полуострова, им оформляют «стажировки» и «деловые» поездки за рубеж. В основном хакеров набирают из студентов-математиков, которые соглашаются делать грязную работу для правительства по разным причинам.

Традиционная идеологическая обработка плохо воздействует на молодых ИТ-специалистов, а вот перспектива побывать за рубежом их очень привлекает. Некоторые даже набираются смелости попросить политического убежища и не возвращаться на родину.

Самим студентам это сделать сложно (их семьи фактически остаются в заложниках), а вот их кураторам порой нечего терять. Например, так для себя решил сбежавший в Южную Корею профессор математики Ким Хен Кван. Он до сих пор поддерживает контакты с некоторыми студентами и в курсе того, как сложилась их дальнейшая судьба.

INFO

При подготовке данной статьи использовались как открытые источники, так и закрытые технические отчеты, подготовленные для правительства США разными экспертными группами в 2017–2019 годах. Копии последних распространяются только среди уполномоченных лиц согласно положениям B и C директивы DoDI 5230.24. Эти документы не должны были попадать в публичный доступ (и тем более в поисковую выдачу). Однако мне удалось их обнаружить при помощи Google dorks в доменах .mil и .gov, а также по «закрытым» ссылкам в облачных хранилищах. Спасибо всем, кто ценит удобство превыше конфиденциальности!

 

APT37 (aka Reaper, Scarcruft, Group123)

Эта группа прославилась тем, что использовала широкий набор эксплоитов, включая уязвимости нулевого дня, ныне получившие идентификаторы угроз CVE-2018-0802 и CVE-2018-4878. Массовое применение последней впервые обнаружили специалисты южнокорейского подразделения кибербезопасности KR-CERT, поскольку главной целью APT37 были именно правительственные и финансовые организации южного соседа.

Первого февраля 2018 года Adobe признала, что Flash Player 28.0.0.137 и более ранние версии содержат критическую уязвимость, теоретически позволяющую получить полный удаленный контроль в любой операционной системе: Windows (включая 10), Linux, macOS и Chrome OS. Однако реальные атаки были замечены только на пользователей Windows. Они получали фишинговые письма, содержащие во вложении злонамеренно модифицированные документы со встроенными flash-объектами.

В качестве вторичных целей группы APT37 выступили промышленные объекты, а также учреждения здравоохранения в Японии и Вьетнаме. Возможно, это был не результат направленных атак, а лишь побочный эффект от выбранной тактики. Дополнительно малварь первой фазы распространялась через торренты.

Попав на компьютер жертвы, малварь отсылала запросы на диапазон IP-адресов, принадлежащих сети STAR-KP. Это совместное предприятие Почтовой и телекоммуникационной корпорации правительства Северной Кореи и базирующейся в Таиланде компании Loxley Pacific. В этой же сети оказались зарегистрированы C&C-серверы, использованные APT37 и физически расположенные в Пхеньяне.

Наиболее масштабные атаки APT37. Инфографика: Cisco Talos Intelligence Group
Наиболее масштабные атаки APT37. Инфографика: Cisco Talos Intelligence Group
 

Арсенал

Практически все сетевые атаки предпринимались APT37 в несколько этапов. На зараженных компьютерах постепенно формировалась целая экосистема из разных зловредов, использующих специфичный для данного пользователя софт и его уязвимости.

Обычно на первом этапе атаки APT37 подсовывала жертве GelCapsule или HappyWork через торренты, фишинговые письма или скомпрометированные веб-сайты определенной тематики. Это малварь класса Trojan-Downloader, которая сама по себе не выполняет вредоносных функций, но готова по команде C&C-сервера скачать и установить в систему жертвы разных зловредов.

В случае APT37 даунлоадер чаще всего использовал для их загрузки лончеры MilkDrop и SlowDrift, которые прописывались на автозапуск. Из них MilkDrop выглядит как проба пера, а SlowDrift — довольно продвинутый бэкдор, который взаимодействует с C&C-серверами через облачную инфраструктуру. Он выполняет большой набор удаленных команд, включая поиск, отправку и удаление файлов, а также сам может доустанавливать другие вредоносные программы.

Продолжение доступно только подписчикам

Материалы из последних выпусков можно покупать отдельно только через два месяца после публикации. Чтобы продолжить чтение, необходимо купить подписку.

Подпишись на «Хакер» по выгодной цене!

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

2 комментария

  1. Аватар

    s00mbre

    15.05.2019 at 00:50

    Спасибо за статью. Настоящая электронная война против всего мира, получается! Почти как в «Крепком орешке 4».

  2. Аватар

    84ckf1r3

    18.05.2019 at 15:48

    Спасибо за отзыв! Если интересно, продолжу писать о подобных X-группах из других стран.

Оставить мнение

Check Also

Внутри x86-64 SystemV ABI. Как говорить с ядром Linux на его языке

Абстракция — основа программирования. Многие вещи мы используем, не задумываясь об их внут…