Северокорейские хакеры шарят по кошелькам россиян

«Лаборатория Касперского» обнаружила, что в России активизировалась известная северокорейская хакерская группировка Lazarus. Она атакует через приложения для трейдеров криптовалют, чтобы красть информацию для доступа к кошелькам и биржам, а также собирает исследования и промышленные данные: скорее всего, ее особенно интересуют военно-космическая сфера, энергетика и IT. Интерес к биткойнам может объясняться потребностью Северной Кореи обойти санкции, полагают эксперты.

В 2020 году цели в России начала активно атаковать хакерская группировка Lazarus, рассказали “Ъ” в «Лаборатории Касперского». Первые случаи целевых атак Lazarus на Россию появились еще в начале 2019 года, но дальше было затишье, уточнил руководитель российского исследовательского центра «Лаборатории Касперского» Юрий Наместников, добавив, что в 2020 году зафиксировано сразу несколько волн атак от разных ответвлений этой группы. Под целевыми атаками в кибербезопасности подразумеваются нападения на конкретные выбранные цели, в отличие от массовых атак.

Lazarus, известная также как Dark Seoul Gang,— северокорейская группа хакеров, за которой, по данным Group-IB, может стоять подразделение 121-го разведывательного управления генштаба Корейской народной армии, отвечающее за проведение киберопераций. Lazarus получила известность после DDoS-атак и взломов государственных и военных ресурсов Южной Кореи и США. Самой масштабной операцией стала попытка украсть почти $1 млрд из Центрального банка Бангладеш. В последние годы Lazarus занимается взломами криптовалютных бирж.

По данным «Лаборатории Касперского», хакеры Lazarus выпускают рабочее приложение для трейдеров криптовалют. Обновления к нему приходят в виде трояна, который крадет информацию для доступа к криптокошелькам и биржам. Атака осуществляется с помощью «вредоносов» AppleJeus и Bluenoroff, работающих под macOS и Windows соответственно, рассказал господин Наместников.

Для убедительности подобных приложений хакеры создают веб-сайты и аккаунты в социальных сетях от имени платформы, подтвердила глава группы исследования сложных угроз Group-IB Анастасия Тихонова, отметив, что в июне Group-IB фиксировала вредоносные приложения под названиями Coin Go Trade, Kupay Wallet и Dorusio Wallet для Windows и Mac. Еще одна новая методика Lazarus, по ее словам, была зафиксирована на одном из сайтов для покупок в зоне .ru: при оплате биткойнами адрес получателя менялся так, что деньги уходили злоумышленникам.

Другие атаки Lazarus в России направлены на сбор данных организаций, связанных с исследованиями и производством товаров, отмечают в «Лаборатории Касперского». Скорее всего, основной интерес для группы представляют военно-космическая сфера, энергетика и IT, уточняет глава направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев. Это можно объяснить желанием перепродать данные в дарквебе, полагает ведущий специалист группы исследования угроз экспертного центра безопасности Positive Technologies Денис Кувшинов. По его словам, сейчас повышенным спросом на теневом рынке пользуются данные организаций, которые занимались исследованиями, связанными с вакциной от коронавируса.

Но похищенные промышленные сведения пока не всплывали в «хакерском андерграунде», а если так и не появятся, значит, интерес у хакеров был все же не коммерческий, уточняет технический директор Trend Micro в России и СНГ Михаил Кондрашин. Скорее всего, перед группировкой стоит задача по сбору интеллектуальной собственности и данных в разных странах, согласен Юрий Наместников, предполагая, что хакеры начали целевые атаки на Россию, так как у них появились ресурсы для анализа информации на русском языке.

Lazarus — одна из политически мотивированных группировок, подчеркивает Андрей Арсентьев. Она поддерживается властями Северной Кореи и необходима этому государству: киберпреступления совершаются для получения средств для разработки вооружений, покупки топлива и других ресурсов. Анонимный характер криптовалютного рынка позволяет скрывать трансакции, то есть оплачивая различные товары биткойнами, Северная Корея может обходить санкции, поясняет он.

В целом количество целевых хакерских атак в России вернулось к докарантинному уровню после небольшого спада весной, отмечает Юрий Наместников. В Positive Technologies фиксируют рост числа таких атак на 30% с начала марта, а в JSOC CERT «Ростелекома» — рост числа целевых атак с успешным исходом примерно на 15% за последние полгода.