Първо Брад и Дженифър, а сега Ким и Путин? Романтиката наистина е мъртва, тъй като Северна Корея е хваната да шпионира (отново) северния си партньор със зловредния софтуер Konni.
Изглежда, че севернокорейски хакери шпионират Русия, като поставят задна врата в специално създаден за целта вътрешен правителствен софтуер.
В средата на януари 2024 г. образец на задната врата Konni е качен във VirusTotal. По-интересна от подаръка обаче беше опаковката – тя беше поставена в пакет вътре в инсталационна програма на руски език, очевидно свързана с инструмент, наречен „Statistika KZU“ (Cтатистика КЗУ).
При по-нататъшно разследване изследователите от берлинската DCSO CyTec не успяха да открият никакви публични записи или дори препратки към Statistika KZU. Въз основа на пътищата за инсталиране, метаданните на файловете и ръководствата за потребителя, включени в инсталатора, обаче те заключиха, че това е платформа, създадена за вътрешна употреба в Министерството на външните работи (МВнР) на Русия. По-конкретно, служителите я използват за сигурно предаване на годишни статистически доклади от консулски служби в чужбина (изследователите отбелязват, че не са могли да потвърдят окончателно легитимността ѝ, тъй като не са успели да проверят независимо функционалността на програмата).
„Използването на задна вратичка в софтуер, използван почти изключително от руското външно министерство, се откроява“, казва Джон Бамбенек, президент на Bambenek Consulting. „Това показва, че КНДР е направила проучването си тук за много специфична подсечка към своите жертви и по ирония на съдбата е по-целенасочена и прецизна адаптация на подхода, който руското разузнаване използва с NotPetya.“
Кибернетичните начини на „враждуване“ на Русия и Северна Корея
Русия и Северна Корея имат дългогодишно приятелство, което днес е толкова силно, колкото и преди. Дори техните киберпрестъпници са приятели.
И все пак зад кулисите хакерите на Ким Чен Ун имат богата история на шпиониране на северните си съседи. В продължение на не по-малко от половин десетилетие държавните хакери извършват атаки, насочени специално към руски компании. Оттогава насам те продължават с подобна дейност, насочвайки кампаниите си срещу дипломати и политически експерти, военни и др. Konni заема централно място в редица от тези инциденти, включително в мащабна кампания от 2018 г., която обхвана рускоговорящи лица и предприятия.
Всъщност този последен случай с Konni може да е станал възможен само благодарение на предишни усилия за събиране на информация.
В публикацията си в блога DCSO се чуди как КНДР изобщо е могла да знае за вътрешния софтуер на руското правителство. „Не сме в състояние да предложим никакви конкретни заключения в това отношение“, пишат те, но добавят, че „свързаната с Konni дейност, насочена към крайни цели на руската външна политика, включително МВнР, се наблюдава от много години, което потенциално предоставя много възможности за идентифициране на вътрешни инструменти и последващо придобиване или ексфилтриране за целите на бекдординга“.
Шпионирането на приятелите може да е некултурно, но „не е необичайно разузнавателните служби да шпионират дори предполагаемите си съюзници, ако не за друго, то за да получат информация за укрепване на отношенията или за идентифициране и намаляване на заплахите за тях“, посочва Бамбенек.
