Обнаружены очередные свидетельства связи между хакерами из КНДР и РФ
17 сентября 2020 года
Специалисты ИБ-компании Intel 471 обнаружили (Архивная копия от 17 сентября 2020 на Wayback Machine) связи между кибероперациями, приписываемые северокорейским и российским киберпреступникам.
По данным ИБ-экспертов, на северокорейской киберпреступной группировке Lazarus лежит ответственность за такие крупные инциденты, как атаки вымогательского ПО WannaCry, киберограбление банка Бангладеш, атаки на криптовалютные биржи и десятки правительственных и оборонных организаций по всему миру.
Как сообщают специалисты Intel 471, киберпреступники из КНДР поддерживают тесные отношения с русскоязычными коллегами, в том числе с операторами трояна Dridex и TrickBot. Оператором Dridex является группировка TA505 или Evil Corp, предположительно имеющая связь с Россией. Помимо прочего, она ответственна за кибератаки вымогательского ПО Locky, Bart и DoppelPaymer, а также вредоносного ПО Cobalt Strike, FlawedAmmyy, BackNet, ServHelper и SDBbot RAT. В свою очередь, русскоязычная группировка TrickBot является оператором трояна Dyre.
Согласно отчету Intel 471, вредоносное ПО, используемое исключительно северокорейскими хакерами, «скорее всего, доставляется через доступ к сетям, обеспечиваемый русскоязычными киберпреступниками».
И TA505, и TrickBot являются, по словам экспертов, группировками «первого эшелона», имеющими хорошую репутацию и пользующимися большим доверием в киберпреступном мире. То же самое касается и северокорейских хакеров.
TrickBot представляет собой сервис «вредоносное ПО как услуга» (malware-as-a-service, MaaS), доступ к которому предоставляется только доверенным клиентам.
«Как установили специалисты Intel 471, доступ к сервису могут получить только киберпреступники высшего уровня с проверенной репутацией. Репутация достигается путем покупки и продажи продуктов, товаров и услуг. Даже для того, чтобы узнать, с кем можно поговорить о доступе к TrickBot, нужно проявить себя и иметь хорошую репутацию на подпольных форумах», - сообщили исследователи.
Список доступного на подпольных форумах вредоносного ПО, которое использовалось северокорейскими хакерами, включает вымогательское ПО Hermes и базирующийся на его коде вымогатель Ryuk. Более того, предыдущие отчеты показали, что вредоносным ПО Lazarus заражены системы, ранее зараженные Emotet и TrickBot.
Согласно отчетам NTT Security и SentinelOne, существует связь между TrickBot и доставкой используемого Lazarus вредоносного ПО PowerBrace и PowerRatankba. Скорее всего, отмечают исследователи, клиенты TrickBot связаны с северокорейскими хакерами.
Источники
править| Эта статья содержит материалы из статьи «Обнаружены очередные свидетельства связи между хакерами из КНДР и РФ», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |  |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
