Северокорейские хакеры очень интересуются криптовалютами — лаборатория Касперского
Москва, 12:09, 25 Авг 2018, редакция FTimes.ru, автор Сергей Кузнецов.
Связанная с Северной Кореей хакерская организация Lazarus Group стоит за вредоносным ПО AppleJeus Mac, использовавшимся в атаке на азиатскую биржу криптовалют.
Lazarus стала широко известна в 2014 году, когда она взломала Sony Pictures из-за фильма «Интервью», комедии, посвященной убийству северокорейского лидера Ким Чен-Ына, о чем ранее информировал FTimes.ru
Хакеры Guardians of Peace (входящие в Lazarus Group), — взяли на себя ответственность за нападение и взлом серверов кинокомпании в течение нескольких дней.
Очередная злонамеренная операция была раскрыта российской компанией безопасности Kaspersky Global Research and Analysis Team (GReAT) в 2017 году. Программа AppleJeus помогла Lazarus проникнуть в ИТ-безопасность платформы криптовалютной биржи в Азии с целью кражи.
В дополнение к вредоносному ПО на базе Windows исследователи обнаружили ранее неизвестную версию, ориентированную на MacOS.
Код приложения не был подозрительным, за исключением одного компонента – обновления.
«Это первый случай, когда исследователи Лаборатории Касперского заметили, что известная группа Lazarus распространяет вредоносное ПО, предназначенное для пользователей MacOS, и предупреждение для всех, кто использует эту ОС для деятельности, связанной с криптовалютой», — предупредила Лаборатория Касперсокого в своем заявлении.
«Основываясь на анализе GReAT, проникновение в инфраструктуру фондовой биржи началось, когда ничего не подозревающий сотрудник компании загрузил стороннее приложение с легального веб-сайта компании, которая разрабатывает программное обеспечение для криптовалютной торговли».
GReAT заявила, что код приложения не был подозрительным, за исключением одного компонента — обновления, заявив, что взлом был возможен, потому что в легальном программном обеспечении есть компоненты, целью которых является загрузка новых версий программ.
«В случае AppleJeus [компонент updater] действует как модуль разведки: сначала он собирает основную информацию о компьютере, на котором он был установлен, затем он отправляет эту информацию обратно на сервер управления, и если злоумышленники решают что компьютер стоит атаковать, вредоносный код возвращается в виде обновления программного обеспечения», — пояснила команда Касперского.
Затем вредоносное обновление устанавливает троянца, известного как Fallchill, старый инструмент, который недавно начала активно применять группа Lazarus. Это предоставило исследователям Касперского основание для анализа.
«После установки троянская программа Fallchill предоставляет злоумышленникам почти неограниченный доступ к атакованному компьютеру, позволяя им украсть ценную финансовую информацию или развернуть дополнительные инструменты для этой цели», — добавили они.
Ситуация ухудшилась из-за того, что преступники разработали программное обеспечение как для платформы Windows, так и для MacOS, последняя из которых, как правило, гораздо менее подвержена киберугрозам, чем Windows.
Функциональность обеих версий вредоносных программ одинакова.
Команда Kaspersky GReAT заметила растущий интерес группы Lazarus к криптовалютным рынкам в начале 2017 года, когда программное обеспечение Monero для майнинга было установлено на одном из своих серверов оператором Lazarus.
С тех пор северокорейские хакеры неоднократно были замечены в отношении обмена криптовалютами наряду с регулярными финансовыми организациями.
«Тот факт, что они разработали вредоносное ПО для заражения пользователей MacOS в дополнение к пользователям Windows и, скорее всего, даже создало полностью поддельную компанию и программный продукт, чтобы иметь возможность доставлять эту вредоносную программу, не обнаруженную решениями безопасности, означает, что они видят потенциально большую прибыль на протяжении всей операции», — сказал сотрудник Лаборатории Касперского Виталий Камлук.
«В ближайшем будущем мы должны ожидать большего числа подобных случаев», — считает эксперт.
