Вътрешната работа на хакерските операции, ръководени от правителството на Северна Корея, се изостри тази седмица с нов доклад на Mandiant, в който се документира появата на APT45 като агресивна организация, занимаваща се с изнудвачески софтуер, насочен към доставчици на здравни услуги, финансови институции и енергийни компании.
Новоопределената APT45, проследявана в продължение на много години като Andariel или Silent Chollima, е известна с операции по кибершпионаж в подкрепа на стратегическите интереси на режима на Ким Чен Ун, но напоследък разширява дейността си, като включва атаки за изнудване на данни срещу много чувствителни цели.
Новият доклад на Mandiant съвпада с масовите препоръки на правителството на САЩ и неговите съюзници, които разкриват инструментите и тактиките, използвани от опасната севернокорейска хакерска група. Говорител на Mandiant заяви, че компанията е работила в тясно сътрудничество с множество американски правителствени агенции, включително ФБР, за проследяване на усилията на тази група за придобиване на разузнавателна информация в областта на отбраната и научноизследователската и развойната дейност.
Очаква се в многоагенционния бюлетин да се подчертае как хакерите на КНДР са се насочили към информация за тежки и леки танкове и самоходни гаубици, леки ударни машини и превозни средства за снабдяване с боеприпаси, крайбрежни бойни кораби и бойни плавателни съдове и подводници, торпеда, безпилотни подводни апарати (UUV) и автономни подводни апарати (AUV).
„Когато Ким Чен Ун поиска по-добри ракети, това са момчетата, които му открадват чертежите“, казва Майкъл Барнхарт, който ръководи екипа за лов на севернокорейски заплахи на Mandiant. „APT45 не е обвързана с етични съображения и е доказала, че е готова и достатъчно ловка да се насочи към всяка структура, за да постигне целите си, включително и към болници.“
Въпреки че най-ранните наблюдавани дейности на групата се състоят в шпионски кампании срещу правителствени агенции и отбранителни индустрии (предимно в Южна Корея), изследователите на Mandiant установяват, че APT45 се е разширила до финансово мотивирани операции, включително насочване към финансовата вертикала.
„Също така с умерена увереност оценяваме, че APT45 е участвала в разработването на рансъмуер“, заяви фирмата за реагиране на инциденти. „Групата е провеждала операции срещу структури, свързани с ядрената енергетика, което подчертава ролята ѝ в подкрепа на приоритетите на КНДР.“
В допълнение към интереса към извършването на атаки с ransomware, Mandiant установи, че APT45 се е насочила директно към ядрени изследователски съоръжения и ядрени електроцентрали като АЕЦ „Куданкулам“ в Индия, отбелязвайки един от малкото публично известни случаи на севернокорейски кибероперации, насочени към критична инфраструктура.
Въпреки че Mandiant внимателно се предпазва от приписването на APT45 на атаки с рансъмуер, компанията посочва публични доклади, според които групата е извършвала финансови престъпления, за да финансира операциите си или да генерира приходи за режима.
Макар че Mandiant не може да потвърди, че ransomware е част от арсенала на APT45, тя посочи предупрежденията на правителствената агенция за киберсигурност на САЩ CISA относно използването от севернокорейски държавно спонсорирани оператори на ransomware MAUI за атаки срещу сектора на здравеопазването и общественото здраве.
Подобно на повечето хакерски екипи от Северна Корея, Mandiant заяви, че зловредният софтуер на APT45 показва ясно изразени общи характеристики с течение на времето, включително повторно използване на код, уникално потребителско кодиране и пароли.
Mandiant публикува колекция VirusTotal, включваща свързани с APT45 индикатори за компрометиране, за да помогне на защитниците да търсят признаци на инфекции.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.