Mandiant, компания по кибербезопасности, которая недавно была приобретена Google, выпустила отчет с подробным описанием некоторых кибер-операций Северной Кореи и того, как страна использует хакеров для получения денег через кражу криптоактивов.
Северная Корея использует хакеров для финансирования некоторых государственных операций через «кражи криптовалют».
Северная Корея использует хакеров для финансирования некоторых государственных операций через «кражи криптовалют», говорится в докладе компании по кибербезопасности Mandiant.
«Считается, что шпионские операции страны отражают насущные проблемы и приоритеты режима, который, вероятно, в настоящее время сосредоточен на получении финансовых ресурсов с помощью криптографических краж, нацеленности на СМИ, новости и политические организации, информацию о внешних отношениях и ядерную информацию, а также на небольшом спаде в некогда резком воровстве исследований вакцины COVID-19. «
В докладе подробно описываются кибер-операции страны и их структура в рамках Главного разведывательного бюро, или РГБ — разведывательного агентства Северной Кореи, аналогичного ЦРУ или МИ-6. Он также проливает свет на печально известную хакерскую группу «Lazarus», которая действует из Северной Кореи с 2009 года.
Согласно отчету, Lazarus — это не отдельная группа хакеров, а скорее зонтичный термин, который журналисты используют для обозначения множества различных поддерживаемых государством хакерских групп, действующих на территории Демократической Республики Северная Корея. Однако эти различные группы действуют в разных «секторах» и имеют уникальные обязанности. Одной из обязанностей является сбор средств путем кражи криптовалют.
Оценка киберструктуры киберпрограмм КНДР
Новейшая деятельность по кибершпионажу
В последнее время хакерские группы, связанные с Lazarus, проявляли активность и использовали уязвимость в Google Chrome с начала января 2022 года до середины февраля, когда уязвимость была исправлена.
Группа анализа угроз Google, или TAG, сообщила в блоге 24 марта, что группы злоумышленников, поддерживаемые северокорейским государством, — публично отслеживаемые как «Операция Dream Job» и «Операция AppleJeus» — использовали «уязвимость удаленного выполнения кода в Chrome» с начала января 2022 года для проведения различных взломов и фишинговых атак. Адам Вайдеманн из TAG сообщил в блоге:
«Мы наблюдали кампании, нацеленные на американские организации, расположенные в новостных СМИ, ИТ, криптовалюте и финтех-индустрии. Однако объектами атак могли быть и другие организации и страны»
Эксплойт позволял хакерам отправлять фиктивные предложения о работе людям, работающим в вышеупомянутых отраслях, которые затем вели на поддельные версии популярных сайтов по поиску работы, таких как Indeed.com. Набор эксплойтов и фишинг похожи на те, которые были отслежены в операции «Работа мечты». Между тем, другая группа хакеров атаковала криптовалютные компании и биржи, используя тот же набор эксплойтов.
Google сообщил, что жертвами хакерских групп стали около 340 человек. Компания добавила, что все выявленные сайты и домены были добавлены в сервис Safe Browsing для защиты пользователей, и продолжает следить за ситуацией.
Lazarus нацелился на финансовые услуги, криптовалюты
Связанные с Lazarus хакерские группы уже несколько лет участвуют в различных взломах криптовалютных фирм и традиционных банков. Среди заметных взломов — кибер-ограбление Банка Бангладеш в 2016 году и различные атаки, связанные с криптовалютами, в 2017 году.
Основной хакерской группой, специализирующейся на атаках на финансовые услуги, является APT38, которая стояла за нашумевшим взломом SWIFT. В нее входит подгруппа под названием CryptoCore или «Открытый пароль».
Большинство этих взломов были успешными, и, по оценкам, хакеры собрали для Северной Кореи более 400 миллионов долларов. Расследование, проведенное ООН, показало, что доходы от этих кибервзломов были использованы для финансирования программы баллистических ракет страны-отшельника.
