Взлом по-северокорейски. Как группировка APT38 уводит из банков сотни миллионов долларов

0
13

Содержание статьи

Если ты воображаешь, что в Северной Корее примерно три компьютера, на одном из которых Ким Чен Ын играет в League of Legends, а на другой кладет ноги, то ты ошибаешься. Северокорейские хакеры теперь фигурируют в новостях о крупных взломах наравне с русскими и китайскими, и их успехи впечатляют. Группа APT38 за четыре года похитила для своей страны сотни миллионов долларов прямо из банков. Вот как это происходит.

Недавно на сайте компании FireEye был опубликован доклад Un-usual Suspects («Необычные подозреваемые»), для подготовки которого исследователи скрупулезно изучили всю доступную информацию о северокорейских хакерах, проанализировали их методы и инструменты, а главное, мотивы атак. Именно на основании мотивов им удалось более четко выделить отдельные группировки, которые раньше СМИ валили в одну кучу под общим названием Lazarus Group.

INFO

FireEye базируется в Кремниевой долине и занимается кибербезопасностью. Компания помогает бороться с угрозами многим гигантам из списка Fortune 500: среди ее клиентов Yahoo, Microsoft, Pfizer, eBay, Adobe и даже американская разведка.

Мотивы и инструменты

Главный герой доклада — группа АРТ38, нацеленная прежде всего на финансовые преступления, в частности взлом банковских систем и кражу огромных сумм, в том числе из банкоматов. Специалисты предполагают, что с 2014 года хакеры из АРТ38 украли около 1,1 миллиарда долларов! Также эксперты FireEye выделили группу Lazarus, которая призвана сеять хаос и дестабилизировать работу крупных организаций, например с помощью WannaCry. Также «Лазарю» приписывают атаку на Sony Pictures в 2014 году. Третья группировка TEMP.Hermit специализируется на кибершпионаже и атаках на оборонные и государственные объекты.

Тем не менее эти три группировки, безусловно, связаны. В частности, совпадает 260 байт в рансомвари WannaCry, которой пользуется Lazarus, и бэкдоре Whiteout, которым пользуется АРТ38. Помимо этого, эксперты нашли общий захардкоженный массив данных у бэкдоров Macktruck и NestEgg, принадлежащих группировкам TEMP.Hermit и АРТ38 соответственно.

Тулзы и схема жизненного цикла атак АРТ38Тулзы и схема жизненного цикла атак АРТ38

Специалисты FireEye на данный момент определили 26 уникальных семейств малвари, которые принадлежат перу АРТ38. Также группа использует два публично доступных семейства. Этот арсенал включает бэкдоры, вайперы, туннелеры и дата-майнеры. Если хочешь знать все подробности об их арсенале, смотри последние разделы доклада.

По мнению экспертов FireEye, группировка APT38 сосредоточила фокус именно на финансовых преступлениях, потому что ее главная задача — добывать деньги на содержание своей страны. Новые и новые санкции со стороны ООН серьезно потрепали экономику КНДР, а режим и армия сами себя не прокормят. И чем суровее санкции, тем активнее становятся «заработки».

INFO

В 2013 году, после очередного испытания северокорейской ядерной бомбы, Совет Безопасности ООН ввел новые санкции против КНДР. Теперь они касались не только военных разработок, но и денежных переводов, поступающих в Северную Корею из международной финансовой системы.

По хронологии атак АРТ38, воссозданной экспертами, видно, что хакеры охотятся исключительно на банки. Раньше эти атаки приписывали группам TEMP.Hermit и Lazarus, но в ходе расследования стало ясно, что у КНДР есть специализированная группировка для кражи денег.

2014 год — группа намечает цели будущих атак

Именно тщательная подготовка отличает группировку АРТ38 от многих коллег, да и в целом характерна для АРТ как класса атак. По информации FireEye, иногда хакеры находились в скомпрометированной системе цели месяцы и годы, анализируя уязвимости. В одном из случаев члены АРТ38 изучали работу компании изнутри на протяжении 155 дней, прежде чем совершить атаку. А рекордный срок — почти два года, 678 дней.

Да и не каждый раз дело заканчивалось кражей денег, первое время хакеры просто изучали, как работают финансовые системы. Например, в начале 2014 года они внедрили бэкдор NESTEGG и кейлоггер KEYLIME в один из банков в Юго-Восточной Азии, но до атаки на SWIFT дело так и не дошло.

Группа начала с прощупывания целей по соседству. Скорее всего, в своем регионе у АРТ38 было больше возможностей для отмывания украденных денег. Не прошло и пары лет, как группа расширила свою активность до глобальных масштабов.

Оценивая все усилия АРТ38, долгие разведывательные операции, исследование работы систем и даже отдельных пользователей, а также сопровождение денег после кражи, специалисты FireEye делают выводы о большом количестве персонала и сложной структуре группировки по всему миру.

Продолжение доступно только подписчикам

Материалы из последних выпусков можно покупать отдельно только через два месяца после публикации. Чтобы продолжить чтение, необходимо купить подписку.

Подпишись на «Хакер» по выгодной цене!

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here