Северокорейская правительственная кибергруппировка разработала новый вид вредоносной программы, способный собирать информацию о Bluetooth-устройствах, подключенных к системам Windows. Активность этой группы попала в поле зрения антивирусной компании «Лаборатория Касперского».
По словам исследователей «Лаборатории Касперского», эта вредоносная программа обычно используется в качестве второй ступени заражения жертвы. Проще говоря, в том случае, если на компьютере уже установлен некий вредонос.
Попав в систему, зловред использует API Windows Bluetooth для сбора следующих данных: подключенные по Bluetooth устройства, класс устройства, его адрес, а также подключено и аутентифицировано ли устройство в данный момент.
На данный момент непонятно, зачем правительственным хакерам из Северной Кореи нужны эти данные. По словам экспертов, причина может крыться в необходимости получения более подробного профиля жертвы.
Имея эти данные, киберпреступники смогут более продуманно и качественно планировать свои дальнейшие атаки.
В «Лаборатории Касперского» отметили, что новая вредоносная программа — дело рук кибергруппировки, известной под именем StarCruft. Антивирусная компания следит за деятельностью этой группы с 2016 года.
«Нам удалось отследить некоторые из целей группировки StarCruft. Ими оказались инвестиционные компании из Вьетнама и России», — говорится в отчете «Лаборатории Касперского».
Также антивирусные эксперты подчеркнули, что компании, атакованные StarCruft, ранее были жертвами другой правительственной группировки из Северной Кореи — DarkHotel.
