Бесплатно Экспресс-аудит сайта:

18.09.2020

Обнаружены очередные свидетельства связи между хакерами из КНДР и РФ

Специалисты ИБ-компании Intel 471 обнаружили связи между кибероперациями, приписываемые северокорейским и российским киберпреступникам.

По данным ИБ-экспертов, на северокорейской киберпреступной группировке Lazarus лежит ответственность за такие крупные инциденты, как атаки вымогательского ПО WannaCry, киберограбление банка Бангладеш, атаки на криптовалютные биржи и десятки правительственных и оборонных организаций по всему миру.

Как сообщают специалисты Intel 471, киберпреступники из КНДР поддерживают тесные отношения с русскоязычными коллегами, в том числе с операторами трояна Dridex и TrickBot. Оператором Dridex является группировка TA505 или Evil Corp , предположительно имеющая связь с Россией. Помимо прочего, она ответственна за кибератаки вымогательского ПО Locky, Bart и DoppelPaymer, а также вредоносного ПО Cobalt Strike, FlawedAmmyy, BackNet, ServHelper и SDBbot RAT. В свою очередь, русскоязычная группировка TrickBot является оператором трояна Dyre.

Согласно отчету Intel 471, вредоносное ПО, используемое исключительно северокорейскими хакерами, «скорее всего, доставляется через доступ к сетям, обеспечиваемый русскоязычными киберпреступниками».

И TA505, и TrickBot являются, по словам экспертов, группировками «первого эшелона», имеющими хорошую репутацию и пользующимися большим доверием в киберпреступном мире. То же самое касается и северокорейских хакеров.

TrickBot представляет собой сервис «вредоносное ПО как услуга» (malware-as-a-service, MaaS), доступ к которому предоставляется только доверенным клиентам.

«Как установили специалисты Intel 471, доступ к сервису могут получить только киберпреступники высшего уровня с проверенной репутацией. Репутация достигается путем покупки и продажи продуктов, товаров и услуг. Даже для того, чтобы узнать, с кем можно поговорить о доступе к TrickBot, нужно проявить себя и иметь хорошую репутацию на подпольных форумах», - сообщили исследователи.

Список доступного на подпольных форумах вредоносного ПО, которое использовалось северокорейскими хакерами, включает вымогательское ПО Hermes и базирующийся на его коде вымогатель Ryuk. Более того, предыдущие отчеты показали, что вредоносным ПО Lazarus заражены системы, ранее зараженные Emotet и TrickBot.

Согласно отчетам NTT Security и SentinelOne, существует связь между TrickBot и доставкой используемого Lazarus вредоносного ПО PowerBrace и PowerRatankba. Скорее всего, отмечают исследователи, клиенты TrickBot связаны с северокорейскими хакерами.