Северокорейские хакеры атакуют США из Китая

Северокорейские хакеры атакуют США из Китая

Высокопоставленный северокорейский компьютерный специалист Ким Хёнг-кванг, сбежавший из страны в 2004 году, заявил, что "Бюро 121" – засекреченная хакерская организация, подчиняющаяся армии КНДР — расположена в китайском городе Шеньян. По словам Кима, в настоящее время группировка насчитывает 1800 хакеров.

"Там им легче сохранять свою деятельность в секрете, — заявил Ким Хёнг-кванг, — Кроме того, там прекрасная инфраструктура для работы в интернете". Он также добавил, что в этом подразделении работают многие его бывшие студенты. "У них есть официальная работа, но большую часть времени они действуют по приказам из Пхеньяна". По словам специалиста, хакеры из Северной Кореи работают в Шеньяне на протяжении многих лет, время от времени переезжая с место на место, чтобы сохранить в секрете свою деятельность и расположение, сообщает vesti.ru.

Ким Хёнг-кванг утверждает, что хакеры приезжают в Китай небольшими группами, примерно по 20 человек, и получают там различные должности – от офисного менеджера до сотрудника дипведомства. По его словам, деятельность организации уходит корнями в те времена, когда у КНДР еще не было своего интернета, и ей приходилось подключаться к всемирной сети через китайские серверы в приграничном Шеньяне. При этом большая часть северокорейского интернет-трафика до сих пор идет через Китай.

По словам Кима, в последнее время количество хакеров в Китае уменьшилось в связи с появлением в КНДР высокоскоростного интернет-подключения. Однако он считает, что значительная часть сотрудников "Бюро 121" по-прежнему остаются в Шеньяне. Незаконную деятельность северокорейских хакеров на территории Китая подтверждает Стив Син, бывший военный аналитик, работающий в университете Мэриленда на должности консультанта по террористическим угрозам. Он также уверен, что большая часть активности сосредоточена в Шеньяне, где для этого создана соответствующая инфраструктура. При этом он считает, что этот город по-прежнему используется хакерами в качестве плацдарма, несмотря на улучшение инфраструктуры в самой Северной Корее.

Посольство КНДР в Пекине, а также официальный Пхеньян отказались комментировать раскрытые перебежчиком сведения, сообщает CNN. Согласно нормам китайского законодательства, любая хакерская деятельность является противозаконной на всей территории страны. При этом в Пекине отрицают свою причастность к многочисленным хакерским атакам на американские кибер-ресурсы, по данным американской разведки, совершенные с территории Китая.

Напомним, дискуссии вокруг деятельности хакеров из Северной Кореи разгорелись после хакерской атаки на серверы компании Sony Pictures, в результате которой в интернет попали сотни гигабайт внутренней информации, в том числе, личные данные голливудских кинозвезд. Атака была воспринята как месть за комедию "Интервью", герои которой приезжают в КНДР с целью убить ее лидера Ким Чен Ына. Эта версия подтверждается заявлениями хакеров, пригрозивших устроить теракты в кинотеатрах, которые будут показывать "разжигающий войну" фильм. В итоге премьера, назначенная на 25 декабря, была отменена – вместо этого Sony предложила всем желающим посмотреть фильм в интернете. В настоящий момент сборы от онлайн-просмотров "Интервью" уже превысили 31 миллион долларов.

Фейковый Google Play маскирует онлайн-казино под приложения Tesco, Amazon

Мошенники нашли красивую упаковку для старой схемы: берут известный бренд, рисуют фейковую страницу Google Play, запускают рекламу в соцсетях и под видом официального приложения ведут пользователя в онлайн-казино. В объявлениях злоумышленники используют названия и визуальный стиль известных компаний, включая Tesco, Amazon, Monzo, Revolut и стриминговые сервисы.

По данным Netcraft, кампания продвигается через платную рекламу в Facebook, Instagram, Threads (все три принадлежат корпорации Meta, признанной экстремистской и запрещённой в России) и TikTok.

Где-то всё выглядит примитивно — просто «Brand Slots». А где-то уже почти спектакль: поддельные интерфейсы, фальшивые отзывы, липовые данные из магазинов приложений и даже ИИ-видео с якобы сотрудниками бренда.

 

Главная легенда — официальный запуск слотов или казино-приложения от известной компании. Пользователь кликает по рекламе и попадает на страницу, похожую на Google Play, App Store или сайт бренда. Но кнопка «Install» не ведёт в настоящий магазин приложений. Вместо этого браузер предлагает добавить на главный экран PWA — прогрессивное веб-приложение.

После установки такая штука выглядит как обычное приложение: с иконкой, названием и оформлением под бренд. На деле это тонкая обёртка, которая открывает сторонний сайт онлайн-казино. То есть пользователь думал, что ставит «Amazon Slots» или «Monzo Slots», а получил ярлык на азартную площадку.

Netcraft считает, что схему подпитывает партнёрская экономика. В PWA и ссылках есть параметры, которые позволяют отслеживать регистрации и депозиты. По открытым данным, выплаты за игрока, внесшего депозит, могут составлять от $50 до $350. С такими ставками мошенникам есть смысл вкладываться в правдоподобные объявления и массовый запуск рекламы.

В некоторых кампаниях использовались фейковые страницы с вымышленными разработчиками, скачиваниями и отзывами. Были и интерактивные приманки вроде колеса удачи с гарантированным выигрышем, после которого пользователя просили установить PWA, чтобы забрать приз.

Опасность здесь не только в потерянных деньгах. Такие PWA размывают границу между настоящим приложением и подделкой: браузерная оболочка минимальна, и всё выглядит почти как фирменный сервис. Только фирменного там — разве что украденный логотип.

RSS: Новости на портале Anti-Malware.ru