Как власти США выследили северокорейского киберпреступника, стоящего за атакой WannaCry

Как власти США выследили северокорейского киберпреступника, стоящего за атакой WannaCry

6 сентября 2018 года Министерство юстиции США предъявило официальные обвинения программисту из Северной Кореи, ответственному за атаки знаменитого и ужасающего шифровальщика WannaCry. Согласно обвинительному заключению, которое раскинулось аж на 179 страницах, 34-летний Парк Днижь Хьок стоит за рядом серьезных и масштабных кибератак. Однако многим наверняка было бы интересно узнать, как именно власти США поймали северокорейского киберпреступника.

 

 

 

 

  1. Введение
  2. Путь северокорейского киберпреступника
  3. Активность Lazarus
  4. Код вредоносных программ
  5. Выводы

Введение

Обвинение утверждает, что Парк Днижь Хьок — один из тех, кто стоял за следующими крупными вредоносными кампаниями:

  • Вспышка атак вымогателя WannaCry в 2017 году;
  • Попытки взлома американского военного подрядчика Lockheed Martin в 2016 году;
  • Кража средств у центрального банка Бангладеш в 2016 году;
  • Взлом и утечка данных Sony Pictures Entertainment в 2014 году;
  • Утечка данных сетей американских кинотеатров AMC Theatres и Mammoth Screen в 2014 году;
  • Длинная цепочка взломов южнокорейских организаций, банков и военных организаций, которые происходили в течение нескольких лет;
  • Взломы банков по всему миру с 2015 по 2018 год.

В Минюсте утверждают, что Парк Днижь Хьок был активным членом киберпреступной группы, которой управляло правительство Северной Кореи. Эта группа известна многим экспертам в области кибербезопасности под именем Lazarus Group.

Однако в своей параллельной жизни Днижь Хьок работал государственным служащим в компании Chosun Expo Joint Venture (далее по тексту — Chosun Expo). По словам следователей, Chosun Expo изначально задумывалась как совместное предприятие правительств Южной и Северной Кореи, и представляла собой веб-сайт, посвященный электронной коммерции и лотереи.

Позже власти южной Кореи открестились от этого предприятия, а правительство Северной Кореи продолжило управлять компанией через отдельных лиц. Деятельность компания крутилась вокруг азартных онлайн-игр. У компании есть офисы в Северной Корее и Китае. Сам подозреваемый был отправлен работать в китайский офис, расположенный в городе Далянь.

Путь северокорейского киберпреступника

Следователи утверждают, что должность Парк Днижь Хьока в компании значилась как «разработчик» и «разработчик онлайн-игр». Он умел программировать на следующих языках: Java, JSP, PHP, Flash, а самое интересное — на Visual C++. Именно на Visual C++ было написано большинство вредоносных программ группы Lazarus.

Как выяснили спецслужбы, компания Chosun Expo была лишь прикрытием и источником дохода для Lab 110 — военной разведки КНДР. Некоторые источники так и описывали  Chosun Expo — «прикрытие для северокорейских правительственных чиновников».

Лица, расследовавшие дело северокорейского киберпреступника утверждают, что Днижь Хьок вернулся на родину в конце 2014 года. Как раз незадолго до того, как свою активность начала группа Lazarus.

Обвинительное заключение Минюста оказалось одним из самых больших по количеству страниц. В нем перечислено множество адресов электронной почты, которые использовались киберпреступниками для регистрации доменных имен и покупки услуг хостинга. Все это применялось потом в ходе атак.

Также в документе содержатся IP-адреса, которые использовались вредоносной программой для доступа к командным центрам C&C, и для доступа к аккаунтам в социальных сетях. Правоохранители утверждают, что им удалось идентифицировать имейлы и учетные записи в соцсетях, которые обвиняемый использовал во время работы на Chosun Expo.

Помимо этого, были вычислены адреса электронной почты и аккаунты в соцсетях, которые Lazarus использовали в кибератаках, осуществляемых на протяжении четырех лет.

Следователи особенно обращают внимание на несуществующую поддельную личность «Ким Хьон Ву», которая явно имеет какое-то отношение к группировке Lazarus, а также к жертвам этих злоумышленников. Правоохранители полагают, что «Ким Хьон Ву» — альтер эго Парк Днижь Хьока.

Рисунок 1 и 2. Взаимосвязь «Ким Хьон Ву», Парк Днижь Хьока, вредоносных имейлов и кибератак

Парк Днижь Хьок отчаянно старался не использовать свою реальную личность, адреса электронной почты и настоящие IP для доступа к инфраструктуре Lazarus и взломанным серверам. Но киберпреступник все же оступился, оставив след, связывающий его реальные аккаунты с фейковой личностью.

В частности, небольшой зашифрованный RAR-архив выдал связь этих двух персонажей. Доступ к нему был как у реальных аккаунтов Парк Днижь Хьока, так и у вымышленного «Ким Хьона Ву».

Следователи уверены, аккаунты «Ким Хьона Ву» использовались несколькими операторами, одним из которых был проходящий по этому делу Парк Днижь Хьок. Более того, есть основания полагать, что Джинь Хьок участвовал в создании вредоносных программ для Lazarus, на эту мысль оперативников натолкнул бэкграунд программиста подозреваемого.

В Минюсте пока затрудняются сказать, какие именно вредоносы Парк Днижь Хьок писал для группировки. Известно одно — существует бесчисленное количество связей между вредоносными программами, которые участники Lazarus использовали на протяжении многих лет.

Рисунок 3. Связь между вредоносными программами Lazarus и их кибератаками

Активность Lazarus

В обвинительном заключении Министерства юстиции рассматриваются некоторые из этих связей между злонамеренными программами киберпреступной группы. Например:

«Образцы WannaCry и другой вредоносной программы — Trojan.Alphanc — использовали IP-адрес 84.92.36.96 в качестве адреса командного центра. Этот IP также использовался образцом другой злонамеренной программы, полученной ФБР, которая действовала схожим образом. Именно такие вредоносные программы использовались Lazarus в атаках на Lockheed Martin».

«29 февраля и 1 марта 2016 года к этому IP подключался северокорейский IP-адрес. Последний использовался для доступа к скомпрометированному веб-серверу. 22 и 27 января 2016 года он также подключился к взломанному компьютеру в Северной Каролине, который был заражен вредоносными программами, связанными с атакой на SPE».

«10 марта 2016 года он использовался для доступа к профилю Facebook, в который ранее осуществлялся вход с северокорейского IP-адреса».

И таких связей гораздо больше, они формируют сложную сеть, которая связывает всю инфраструктуру Lazarus. Также эти зацепки приводят к «Ким Хьону Ву», а затем к аккаунтам Chosun Expo, которые, как нам уже известно, принадлежали Парк Днижь Хьоку.

Код вредоносных программ

Но и это еще не все. Правоохранители отметили повторное использование кода вредоносных программ. Такое явление, по словам оперативников, встречается крайне часто между разными семействами вредоносных программ, созданных группировкой Lazarus.

Наиболее характерный пример повторного использования кода — то, что следователи называют данных «FakeTLS». Это часть кода, найденная в нескольких версиях вредоносных программ Lazarus, таких как WannaCry, MACKTRUCK (использовалась во взломе SPE), NESTEGG (взлом Центробанка Филиппин), Contopee (взлом Центробанка Филиппин и юго-восточного азиатского банка).

Таблица данных FakeTLS, найденная ФБР и независимыми исследователями, по-видимому, связана с тем, что ИБ-компании окрестили «поддельным протоколом TLS». Это настраиваемый сетевой протокол, разработанный киберпреступниками Lazarus, он имитирует TLS-соединение.

На самом же деле он просто использует собственную схему шифрования для скрытия данных, которые были похищены у жертв. Чувствуется грамотный подход «хакеров».

Рисунок 4. Шифрование краденных данных

Выводы

Парк Днижь Хьок «наигрался» на две статьи. Максимальный срок за первую составляет пять лет лишения свободы, за вторую — 20 лет. Правоохранительные органы утверждают, что они все еще ищут сообщников данного киберпреступника.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru