Северокорейские хакеры атакуют США из Китая

Северокорейские хакеры атакуют США из Китая

Высокопоставленный северокорейский компьютерный специалист Ким Хёнг-кванг, сбежавший из страны в 2004 году, заявил, что "Бюро 121" – засекреченная хакерская организация, подчиняющаяся армии КНДР — расположена в китайском городе Шеньян. По словам Кима, в настоящее время группировка насчитывает 1800 хакеров.

"Там им легче сохранять свою деятельность в секрете, — заявил Ким Хёнг-кванг, — Кроме того, там прекрасная инфраструктура для работы в интернете". Он также добавил, что в этом подразделении работают многие его бывшие студенты. "У них есть официальная работа, но большую часть времени они действуют по приказам из Пхеньяна". По словам специалиста, хакеры из Северной Кореи работают в Шеньяне на протяжении многих лет, время от времени переезжая с место на место, чтобы сохранить в секрете свою деятельность и расположение, сообщает vesti.ru.

Ким Хёнг-кванг утверждает, что хакеры приезжают в Китай небольшими группами, примерно по 20 человек, и получают там различные должности – от офисного менеджера до сотрудника дипведомства. По его словам, деятельность организации уходит корнями в те времена, когда у КНДР еще не было своего интернета, и ей приходилось подключаться к всемирной сети через китайские серверы в приграничном Шеньяне. При этом большая часть северокорейского интернет-трафика до сих пор идет через Китай.

По словам Кима, в последнее время количество хакеров в Китае уменьшилось в связи с появлением в КНДР высокоскоростного интернет-подключения. Однако он считает, что значительная часть сотрудников "Бюро 121" по-прежнему остаются в Шеньяне. Незаконную деятельность северокорейских хакеров на территории Китая подтверждает Стив Син, бывший военный аналитик, работающий в университете Мэриленда на должности консультанта по террористическим угрозам. Он также уверен, что большая часть активности сосредоточена в Шеньяне, где для этого создана соответствующая инфраструктура. При этом он считает, что этот город по-прежнему используется хакерами в качестве плацдарма, несмотря на улучшение инфраструктуры в самой Северной Корее.

Посольство КНДР в Пекине, а также официальный Пхеньян отказались комментировать раскрытые перебежчиком сведения, сообщает CNN. Согласно нормам китайского законодательства, любая хакерская деятельность является противозаконной на всей территории страны. При этом в Пекине отрицают свою причастность к многочисленным хакерским атакам на американские кибер-ресурсы, по данным американской разведки, совершенные с территории Китая.

Напомним, дискуссии вокруг деятельности хакеров из Северной Кореи разгорелись после хакерской атаки на серверы компании Sony Pictures, в результате которой в интернет попали сотни гигабайт внутренней информации, в том числе, личные данные голливудских кинозвезд. Атака была воспринята как месть за комедию "Интервью", герои которой приезжают в КНДР с целью убить ее лидера Ким Чен Ына. Эта версия подтверждается заявлениями хакеров, пригрозивших устроить теракты в кинотеатрах, которые будут показывать "разжигающий войну" фильм. В итоге премьера, назначенная на 25 декабря, была отменена – вместо этого Sony предложила всем желающим посмотреть фильм в интернете. В настоящий момент сборы от онлайн-просмотров "Интервью" уже превысили 31 миллион долларов.

Психологический тест с сюрпризом: хакеры атакуют госсектор через BusySnake

Психологический тест в письме может оказаться не заботой о ментальном здоровье, а входным билетом для стилера. Эксперты «Лаборатории Касперского» обнаружили активную вредоносную кампанию, нацеленную на государственный и электроэнергетический секторы России, Казахстана и Бразилии.

По данным исследователей, за атаками может стоять ранее не упоминавшаяся группировка Armored Likho.

Злоумышленники используют новый стилер BusySnake, который крадет данные с зараженных Windows-устройств, делает скриншоты, вытаскивает пароли из браузеров и отправляет конфиденциальные файлы на командный сервер.

Основной способ заражения — фишинговые письма с архивами. Легенды меняются: где-то жертве предлагают пройти психологический тест, где-то — оформить заявку на гуманитарную помощь. Названия архивов подгоняются под тему письма, чтобы всё выглядело убедительнее.

 

После запуска содержимого на экране может открыться приложение-приманка с опросом или документ, соответствующий легенде. Пока пользователь смотрит на психологию или помощь, в фоне запускается многоэтапная цепочка загрузки, которая приводит к установке BusySnake.

Сам стилер написан на Python и уже существует в нескольких версиях. Он умеет красть данные из буфера обмена, перехватывать пароли из Firefox и Chromium-браузеров, похищать cookie через отдельный модуль и собирать файлы с устройства. В коде также предусмотрены механизмы, которые мешают обнаружению и усложняют анализ.

Любопытная деталь: загрузчики, через которые BusySnake попадает на устройство, судя по анализу кода, могли быть сгенерированы с помощью ИИ. Исследователи отмечают характерные избыточные комментарии и блоки кода.

В «Лаборатории Касперского» считают, что Armored Likho совмещает кибершпионаж против организаций с финансово мотивированными атаками на частных пользователей. Группировка развивает инструменты и встраивает в них функции, которые раньше использовала отдельно.

RSS: Новости на портале Anti-Malware.ru