От онлайн-казино до ядерных объектов: 15 лет шпионажа APT45

Северокорейская хакерская группа Andariel обвиняется в краже конфиденциальной информации и чертежей оружия разных стран по всему миру. ИБ-компания Mandiant опубликовала результаты двухлетнего расследования деятельности группировки.

В ходе расследования выяснилось, что APT45 похищала чувствительные данные о ряде систем вооружений и технологий, включая танки, артиллерию, военные корабли, подводные лодки, БПЛА, ракеты и системы ПРО, а также спутники и системы спутниковой связи.

Andariel проводила масштабные кибератаки на критическую инфраструктуру, что выходит за рамки традиционного правительственного шпионажа. В последние годы группа также занялась вымогательскими атаками на больницы, банки и оборонные компании Южной Кореи.

По словам Mandiant, многие достижения Северной Кореи в военной области можно напрямую связать с успешными шпионскими операциями группы против правительств и оборонных организаций по всему миру. Учитывая растущую сложность операций Andariel, Mandiant присвоила группе статус Advanced Persistent Threat (APT) и кодовый номер APT45.

Кибершпионаж группы датируется 2009 годом, и с тех пор хакеры постепенно расширяли свои операции, включая финансово мотивированные атаки. В 2019 году группа атаковала индийскую АЭС Куданкулам, а также другие ядерные объекты и электростанции. Среди других жертв – аграрный комплекс, медицинские и фармацевтические компании.

Исследователи отмечают, что APT45 является одной из самых старейших группировок Северной Кореи. Деятельность хакеров отражает геополитические приоритеты страны, и, несмотря на переход от классического кибершпионажа за госструктурами к атакам на системы здравоохранения и аграрную отрасль, финансово мотивированные атаки остаются важной частью стратегии APT45.

Оценочная структура группировок КНДР

Andariel – подгруппа Lazarus Group, которая организовывала атаки на иностранные компании, правительственные ведомства, частные корпорации и оборонную индустрию Южной Кореи с целью сбора информации и создания беспорядков. Andariel также несет ответственность за разработку и создание вредоносных программ для взлома сайтов онлайн-покера и других азартных игр с целью кражи денег.

В июле специалисты AhnLab выявили случаи атак на корейские ERP-системы, в ходе которых Andariel захватила контроль над корпоративными сетями и распространили вредоносное ПО. Основными целями атак стали корейские оборонные и производственные предприятия.

В 2019 году Минфин США ввел санкции против трех северокорейских группировок, которые совершали кибератаки на правительственные и частные организации по всему миру. В санкционный список попали Lazarus Group, Bluenoroff и Andariel.

В марте группа экспертов ООН представила новый доклад, в котором расследуются 58 кибератак, совершенных хакерскими группировками из Северной Кореи за последние 6 лет. По оценкам специалистов, атаки принесли преступникам около $3 млрд незаконного дохода. Эксперты детально отследили деятельность нескольких групп – Kimsuky, Lazarus Group, Andariel и BlueNoroff — хакеры, которые регулярно фигурируют в отчетах исследователей кибербезопасности.