Forwarded from SecAtor
Хотим сказать дорогим подписчикам, что мы не забыли про обзоры APT и сейчас готовим очередные материалы, посвященные северокорейским хакерским группам.
Но дело в том, что эти Хон Гиль Доны наворотили столько, что мы в первичке просто закопались. Тем не менее, мы упрямо пытаемся затолкать все это в формат Телеграм.
Подождите, дети, дайте только срок.
Будет вам и белка, будет и свисток (с)
#APT #Lazarus #Kimsuky
Но дело в том, что эти Хон Гиль Доны наворотили столько, что мы в первичке просто закопались. Тем не менее, мы упрямо пытаемся затолкать все это в формат Телеграм.
Подождите, дети, дайте только срок.
Будет вам и белка, будет и свисток (с)
#APT #Lazarus #Kimsuky
Forwarded from SecAtor
Когда-то давным-давно, несколько месяцев назад, мы написали серию постов про ведущую северокорейскую APT Lazarus и обещали продолжить ее материалами про другую хакерскую группу, работающую на спецслужбы КНДР и носящую название Kimsuky. Однако, тогда не срослось.
И вот теперь мы решили выполнить обещание и дать краткий обзор активности этой APT в несколько постов.
Напомним как связаны Lazarus и Kimsuky. Эти хакерские группы работают на разные департаменты Главного разведывательного бюро (RGB) Генштаба Народной армии Северной Кореи. Lazarus работает на 3-й Департамент RGB aka Bureau 121, который специализируется на технической разведке, а Kimsuky функционирует под контролем 5-го Департамента RGB aka Bureau 35, занимающегося разведкой зарубежной.
И хотя по масштабу своей деятельности Kimsuky (она же Velvet Chollima, она же Thallium, она же Black Banshee) не сравнится со своими коллегами из технической разведки, тем не менее в ее багаже есть немало интересных киберопераций.
Впервые северокорейская APT была обнаружена в 2013 году, как ни странно, Касперскими. Однажды в сети южнокорейского think-tank исследователи нашли шпионский вредонос, в коде которого содержались корейские иероглифы и который для связи использовал публичный болгарский почтовый сервер. Среди целей malware значились ведущие южнокорейские исследовательские центры, связанные с национальной безопасностью и оборонкой, а также Министерство объединения Южной Кореи, разрабатывающее политику в отношение КНДР.
Предполагаемым способом заражения был целевой фишинг. По своему функционалу вредонос представлял собой полноценный шпионский RAT (троян удаленного доступа), способный собирать различную информацию с зараженной машины, а также обеспечивать удаленное управление. Связь и эксфильтрация украденной информации осуществлялась посредством обмена электронной почтой между ящиками на болгарском сервере mail.bg.
Кстати, при изучения функционала вредоноса по обходу анивирусных решений Касперские нашли любопытную вещь — RAT сосредотачивался на обходе антивирусного ПО исключительно производства южнокорейской компании AhnLab. Все дело в том, что регуляторные органы Южной Кореи занимали достаточно жесткую позицию в части максимального сокращения использования внутри страны антивирусов иностранного производства. Зная это, авторы найденного вредоноса даже не пытались обходить другие средства защиты кроме AhnLab.
Ряд признаков, такие как выбор целей, использование корейского языка, IP-адреса, принадлежащие работающему с КНДР китайскому провайдеру, позволяли с большой долей уверенности утверждать, что хакерская группа, стоящая за распространением вредоноса, который Касперские назвали Kimsuky, базируется в Северной Корее. Впоследствии, как это часто бывает, по названию malware стали именовать и саму группу — Kimsuky.
Почему Kimsuky? Один из используемых хакерами почтовых ящиков был зарегистрирован на имя kimsukyang. Поэтому исследователи и присвоили RAT такое название.
#APT #Kimsuky
И вот теперь мы решили выполнить обещание и дать краткий обзор активности этой APT в несколько постов.
Напомним как связаны Lazarus и Kimsuky. Эти хакерские группы работают на разные департаменты Главного разведывательного бюро (RGB) Генштаба Народной армии Северной Кореи. Lazarus работает на 3-й Департамент RGB aka Bureau 121, который специализируется на технической разведке, а Kimsuky функционирует под контролем 5-го Департамента RGB aka Bureau 35, занимающегося разведкой зарубежной.
И хотя по масштабу своей деятельности Kimsuky (она же Velvet Chollima, она же Thallium, она же Black Banshee) не сравнится со своими коллегами из технической разведки, тем не менее в ее багаже есть немало интересных киберопераций.
Впервые северокорейская APT была обнаружена в 2013 году, как ни странно, Касперскими. Однажды в сети южнокорейского think-tank исследователи нашли шпионский вредонос, в коде которого содержались корейские иероглифы и который для связи использовал публичный болгарский почтовый сервер. Среди целей malware значились ведущие южнокорейские исследовательские центры, связанные с национальной безопасностью и оборонкой, а также Министерство объединения Южной Кореи, разрабатывающее политику в отношение КНДР.
Предполагаемым способом заражения был целевой фишинг. По своему функционалу вредонос представлял собой полноценный шпионский RAT (троян удаленного доступа), способный собирать различную информацию с зараженной машины, а также обеспечивать удаленное управление. Связь и эксфильтрация украденной информации осуществлялась посредством обмена электронной почтой между ящиками на болгарском сервере mail.bg.
Кстати, при изучения функционала вредоноса по обходу анивирусных решений Касперские нашли любопытную вещь — RAT сосредотачивался на обходе антивирусного ПО исключительно производства южнокорейской компании AhnLab. Все дело в том, что регуляторные органы Южной Кореи занимали достаточно жесткую позицию в части максимального сокращения использования внутри страны антивирусов иностранного производства. Зная это, авторы найденного вредоноса даже не пытались обходить другие средства защиты кроме AhnLab.
Ряд признаков, такие как выбор целей, использование корейского языка, IP-адреса, принадлежащие работающему с КНДР китайскому провайдеру, позволяли с большой долей уверенности утверждать, что хакерская группа, стоящая за распространением вредоноса, который Касперские назвали Kimsuky, базируется в Северной Корее. Впоследствии, как это часто бывает, по названию malware стали именовать и саму группу — Kimsuky.
Почему Kimsuky? Один из используемых хакерами почтовых ящиков был зарегистрирован на имя kimsukyang. Поэтому исследователи и присвоили RAT такое название.
#APT #Kimsuky
Forwarded from SecAtor
В следующий раз Kimsuky выступили в конце 2014 года и шоу получилось громким. Они взломали сеть южнокорейской компании Korea Hydro and Nuclear Power (KHNP), являющейся оператором 23 ядерных реакторов в Южной Корее. И хотя власти сразу же заявили, что пострадали только «некритические» сегменты сети, вскоре стало ясно, что хакеры ухитрились украсть массу конфиденциальной информации, хотя и не смогли добраться до технологических сетей.
Kimsuky стали разыгрывать ту же сценку, которую ранее в 2014 году показали Lazarus при взломе Sony Pictures Entertainment, - изображать из себя долбанутых борцов за что-то там, которые осуществили взлом из идеологических соображений. Lazarus представлялись хакерской группой Guardians of Peace, а Kimsuky завели от имени «борцов с ядерной энергетикой с Гавайских островов» Twitter-аккаунт «Who am I = No Nuclear Power», в котором начали сливать украденные у KHNP сведения.
Для начала хакеры опубликовали персональные данные сотрудников компании и несколько конфиденциальных документов, среди которых были руководство по управлению ядерными реакторами Wolsong и чертежи трубопровода реактора Wolsong №1. После этого «борцы с ядерной энергетикой» потребовали закрыть к католическому Рождеству три ядерных реактора, иначе они продолжат публикацию украденных данных. Естественно, что реакторы никто закрывать не стал.
В марте северокорейские разведчики продолжили веселиться в стиле офицера-контрразведчика из фильма ДМБ - «денег предлагал, но не дал». Они опубликовали в том же Twitter требование денежной выплаты за приостановку дальнейшей публикации информации KHNP, но ни способа передачи денег, ни даже требуемую сумму не указали. В конце концов Kimsuky слили в Twitter чертежи южнокорейского атомного реактора 1400.
Доподлинно неизвестно, было ли все это запланировано с самого начала или северокорейцы импровизировали по ходу дела, после того как не сумели пробиться к технологичесим сетям KHNP. Но звон по Южной Корее пошел что надо.
После этого Kimsuky ушли в тину на долгих четыре года. По крайней мере, никто не смог с достаточной степенью достоверности идентифицировать их активность. А в 2018 году они вернулись с операциями BabyCoin и MysteryBaby, в ходе которых пытались внедрить инфостилеры на компьюетры южнокорейских пользователей. Однако, мы не будем на них останавливаться, там нет ничего особенного.
Между этими операциями северокорейские хакеры ухитрились очень неловко напасть на академические учреждения США, эта кибероперация получила название Stolen Pencil. Неловкость заключалась в низком техническом уровне атаки, в ходе которой, к примеру, для осуществления удаленного доступа хакеры использовали Microsoft RDP (удаленный рабочий стол), а не какой-нибудь RAT. В одном случае корейский оператор, видимо с устали, забыл переключить назад корейскую раскладку клавиатуры. Вместе с тем, возможно, что за такой стояла не Kimsuky, а другая, менее скилованная, хакерская группа.
С конца 2018 по весну 2019 года Kimsuky атаковали американские исследовательские институты, специализирующиеся на вопросах денуклеаризации. В ходе атаки они использовали оригинальный вредонос BabyShark, который распространялся посредством фишингового письма от имени реально существующего в США специалиста по ядерным технологиям. Спустя пару месяцев атака распространилась на компании, связанные с криптовалютами. Подобное поведение по смешиванию кибершпионажа и коммерческого взлома вообще свойственно северокорейским APT, которые периодически испытывают затруднения с финансированием. Достаточно вспомнить Lazarus с их попыткой украсть миллиард долларов.
Продолжение следует.
#APT #Kimsuky
Kimsuky стали разыгрывать ту же сценку, которую ранее в 2014 году показали Lazarus при взломе Sony Pictures Entertainment, - изображать из себя долбанутых борцов за что-то там, которые осуществили взлом из идеологических соображений. Lazarus представлялись хакерской группой Guardians of Peace, а Kimsuky завели от имени «борцов с ядерной энергетикой с Гавайских островов» Twitter-аккаунт «Who am I = No Nuclear Power», в котором начали сливать украденные у KHNP сведения.
Для начала хакеры опубликовали персональные данные сотрудников компании и несколько конфиденциальных документов, среди которых были руководство по управлению ядерными реакторами Wolsong и чертежи трубопровода реактора Wolsong №1. После этого «борцы с ядерной энергетикой» потребовали закрыть к католическому Рождеству три ядерных реактора, иначе они продолжат публикацию украденных данных. Естественно, что реакторы никто закрывать не стал.
В марте северокорейские разведчики продолжили веселиться в стиле офицера-контрразведчика из фильма ДМБ - «денег предлагал, но не дал». Они опубликовали в том же Twitter требование денежной выплаты за приостановку дальнейшей публикации информации KHNP, но ни способа передачи денег, ни даже требуемую сумму не указали. В конце концов Kimsuky слили в Twitter чертежи южнокорейского атомного реактора 1400.
Доподлинно неизвестно, было ли все это запланировано с самого начала или северокорейцы импровизировали по ходу дела, после того как не сумели пробиться к технологичесим сетям KHNP. Но звон по Южной Корее пошел что надо.
После этого Kimsuky ушли в тину на долгих четыре года. По крайней мере, никто не смог с достаточной степенью достоверности идентифицировать их активность. А в 2018 году они вернулись с операциями BabyCoin и MysteryBaby, в ходе которых пытались внедрить инфостилеры на компьюетры южнокорейских пользователей. Однако, мы не будем на них останавливаться, там нет ничего особенного.
Между этими операциями северокорейские хакеры ухитрились очень неловко напасть на академические учреждения США, эта кибероперация получила название Stolen Pencil. Неловкость заключалась в низком техническом уровне атаки, в ходе которой, к примеру, для осуществления удаленного доступа хакеры использовали Microsoft RDP (удаленный рабочий стол), а не какой-нибудь RAT. В одном случае корейский оператор, видимо с устали, забыл переключить назад корейскую раскладку клавиатуры. Вместе с тем, возможно, что за такой стояла не Kimsuky, а другая, менее скилованная, хакерская группа.
С конца 2018 по весну 2019 года Kimsuky атаковали американские исследовательские институты, специализирующиеся на вопросах денуклеаризации. В ходе атаки они использовали оригинальный вредонос BabyShark, который распространялся посредством фишингового письма от имени реально существующего в США специалиста по ядерным технологиям. Спустя пару месяцев атака распространилась на компании, связанные с криптовалютами. Подобное поведение по смешиванию кибершпионажа и коммерческого взлома вообще свойственно северокорейским APT, которые периодически испытывают затруднения с финансированием. Достаточно вспомнить Lazarus с их попыткой украсть миллиард долларов.
Продолжение следует.
#APT #Kimsuky
