Согласно отчету фирмы по кибербезопасности Mandiant, Северная Корея нанимает хакеров для финансирования некоторых государственных операций с помощью «крипто ограблений».

«Считается, что шпионские операции в стране отражают непосредственные заботы и приоритеты режима, который, вероятно, в настоящее время сосредоточен на получении финансовых ресурсов посредством криптовалютных ограблений, нападения на СМИ, новости и политические организации, информацию о международных отношениях и ядерной информации, а также небольшое снижение некогда резкого воровства исследований вакцины против COVID-19».

В отчете подробно рассказывается о кибероперациях страны и о том, как они структурированы в Главном бюро разведки, или РГБ — разведывательном агентстве Северной Кореи, похожем на ЦРУ или МИ-6. Это также проливает свет на печально известную хакерскую группу Lazarus, которая действует в Северной Корее с 2009 года.

Согласно отчету, Lazarus — это не отдельная группа хакеров, а скорее общий термин, который журналисты используют для обозначения множества различных поддерживаемых государством хакерских групп, действующих за пределами Демократической Республики Северная Корея. Однако эти разные группы работают в разных «секторах» и несут уникальные обязанности. Одной из обязанностей является привлечение средств за счет кражи криптовалют.

Оценка киберструктуры киберпрограмм КНДР
Оценка киберструктуры киберпрограмм КНДР

Последняя активность кибершпионажа

Хакерские группы, связанные с Lazarus, в последнее время были активны и использовали уязвимость в Google Chrome с начала января 2022 года до середины февраля, когда эксплойт был исправлен.

Группа анализа угроз Google, или TAG, сообщила в своем блоге от 24 марта, что поддерживаемые государством северокорейские группы злоумышленников, отслеживаемые публично как «Операция Dream Job» и «Операция AppleJeus», использовали «уязвимость удаленного выполнения кода». в Chrome» с начала января 2022 года для проведения различных взломов и фишинговых атак. Адам Вайдеманн из TAG сказал в своем блоге:

«Мы наблюдали за кампаниями, нацеленными на американские организации, охватывающие новостные СМИ, ИТ, криптовалюту и финтех-индустрию. Однако целью могли быть другие организации и страны».

Эксплойт позволял хакерам рассылать поддельные предложения о работе людям, работающим в вышеупомянутых отраслях, что затем приводило к поддельным версиям популярных веб-сайтов по поиску работы, таких как Indeed.com. Набор эксплойтов и фишинг аналогичны тем, которые отслеживаются в Operation Dream Job. Тем временем другая хакерская группа атаковала криптофирмы и биржи, используя тот же набор эксплойтов.

Google сообщил, что около 340 человек стали жертвами хакерских группировок. Он добавил, что все идентифицированные веб-сайты и домены были добавлены в его службу безопасного просмотра для защиты пользователей, и он продолжает следить за ситуацией.

Lazarus нацелен на финансовые услуги, криптовалюту

Хакерские группы, связанные с Lazarus, уже несколько лет участвуют в различных взломах криптофирм и традиционных банков. Некоторые известные взломы включают кибер-ограбление банка Бангладеш в 2016 году и различные атаки, связанные с криптовалютой, в 2017 году.

Основной хакерской группой, занимающейся атаками на финансовые сервисы, является APT38, которая стояла за печально известным взломом SWIFT. Он включает в себя подгруппу под названием CryptoCore или «Открыть пароль».

Большинство этих взломов были успешными, и, по оценкам, хакеры собрали более 400 миллионов долларов для Северной Кореи. Расследование, проведенное ООН, пришло к выводу, что доходы от этих кибер-грабежей были использованы для финансирования программы баллистических ракет страны-отшельника.

Источник