Хакеры Северной Кореи впервые покусились на Россию

22.02.2019 |

Александр Абрамов.

Исследователи компании Check Point раскрыли атаку, совершенную на российские организации северокорейской хакерской группировкой Lazarus, за которой числятся взлом серверов Sony Pictures Entertainment и похищение $81 млн у ЦБ Бангладеш. Атаку провело коммерческое подразделение Lazarus, что отражает наличие заказчика, оплатившего атаку. Вторжение в Россию со стороны хакеров Северной Кореи было осуществлено впервые за все время мониторинга вирусных компьютерных атак.

Хакеры Северной Кореи из известной хакерской группировкой Lazarus впервые за всю историю антивирусных исследований совершили атаку на организации в России. Совершенную атаку раскрыли специалисты компании Check Point.

Вредоносная активность продолжалась на протяжении недели (26-31/01/19). Как отметили исследователи, они впервые наблюдали скоординированные действия хакеров из Северной Кореи против российских организаций. Ранее северокорейские хакеры не были замечены на атаках против России, поскольку эти страны поддерживают дружеские отношения. Традиционно атаки группировки Lazarus направлены против стран, с которыми у КНДР сложились непростые геополитические отношения. Прежде всего это - США, Япония и Южная Корея. Выбор российских организаций, ставших целями на этот раз, был явно необычным.

Атака была проведена «коммерческим» филиалом группировки Lazarus – подразделением Bluenoroff. Это может служить признаком наличия неизвестного заказчика, который мог заказать хакерскую атаку против России. Подразделение Bluenoroff также печально известно взломом серверов Sony Pictures Entertainment в 2014 г. и похищением $81 млн у ЦБ Бангладеш в 2016 г. На ее счету также ограбления не менее пяти криптовалютных бирж.

Другое подразделение группировки Lazarus, носящее название Andariel, специализируется на кибератакам по политическим мотивам. Традицинно их главная цель – организации в Южной Корее.

Подробности хакерской атаки против России

Хакерская атака на этот раз проходила следующим образом. На компьютер пользователя присылалось электронное письмо, которое содержало вредоносные файлы PDF и Word с макросами, упакованные в ZIP-архив. Попытка их просмотра выводило на экран контент файла, показывая его в низком разрешении. Пользователь провоцировался на нажатие кнопки «Enable Content», чтобы сделать изображение читаемым. В ответ происходила загрузка вредоносного кода с публичного файлового хранилища Dropbox.com, и компьютер оказывался зараженным.

Исследователи заявили, что документы Office были разработаны явно для российских пользователей. Все зараженные файлы, где был обнаружен вредоносный код этой атаки и которые в дальнейшем были направлены в бесплатную службу VirusToral, осуществляющую анализ подозрительных файлов и ссылок на предмет выявления всевозможных вредоносных программ, поступили из России. Это позволило сделать заключение, что мишенью для атаки были выбраны именно российские организации.

Процедура заражения при хакерской атаке против России

Документы Office были первым звеном вредоносной цепочки. В конечном счете происходила загрузка бэкдора Keymarble. Он стал одним из главных доказательств причастности именно группировки Lazarus.

По данным компьютерной команды экстренной готовности (US-CERT) Министерства внутренней безопасности США, этот троян предназначен для получения удаленного доступа к данным, управление им осуществляется по инструкциям, присылаемым с удаленного сервера.

Не на того напали…

Западные СМИ довольно необычно отреагировали на «атаку» против России. По данным недавно выпущенного отчета 2019 Crowdstrike Global Threat Report, российские хакеры действуют в восемь раз эффективней, чем их северокорейские «коллеги».

Так, CrowdStrike оценил среднее время захвата компьютера жертвы по данным атак, совершенных в 2018 году. Результаты пяти групп хакерских групп показаны ниже:

18 минут и 49 секунд для «медведей» - русские хакеры;
2 часа 28 минут 14 секунд для «чхоллимов» - хакеры Северной Кореи;
4 часа 26 секунд для «панд» - хакеры Китая;
5 часов 9 минут и 4 секунды для «котят» - хакеры Ирана;
9 часов, 42 минуты и 23 секунды для «пауков» - международные группировки хакеров или киберпреступники.