Группы киберугроз из Северной Кореи становятся противниками высшего уровня

Подвергнутая экономическим санкциям и изолированная от остального мира, за исключением Китая, Северная Корея все больше полагается на киберпреступность для поддержания своей экономики. Северокорейские группы кибервойн наращивают свои возможности.

Как решить такую проблему, как киберугроза из Северной Кореи?

За последние годы Северная Корея превратилась из мелких неприятностей, в бич банков и бирж криптовалют.

Эксперты по анализу угроз, опрошенные The Daily Swig, заявили, что тактика и уловки злоумышленников эволюционировали, чтобы поднять страну до уровня кибер-противника высшего уровня.

Эта угроза выходит за рамки пресловутой Lazarus Group, группы киберпреступников, обвиняемых в разрушительной атаке на Sony Pictures в 2014 году, и дерзком кибер-ограблении резервов Центрального банка Бангладеш на сумму 81 миллион долларов в 2016 году, а также в других атаках.

Насколько изощрены северокорейские группы киберугроз?

Наряду со спонсируемыми государством российскими, китайскими и иранскими субъектами угрозы (паранойю никто не отменял), северокорейские группы повышенной постоянной угрозы (APT) считаются одними из самых изощренных в мире.

Российские (в частности, APT28, APT29 и Turla) и северокорейские (Lazarus) злоумышленники считаются наиболее продвинутыми группами из всех, из-за их способности использовать настраиваемые наборы инструментов, применять новейшие методы атак и скорость их выполнения.

Пол Прюдомм, глава отдела разведки угроз в IntSights, сказал The Daily Swig, что северокорейские злоумышленники прилагают больше усилий, чтобы не попадать в поле зрения.

На какие организации нацелены северокорейские злоумышленники?

Кибероперации Северной Кореи в наибольшей степени сосредоточены на Южной Корее и США, и обычно нацелены на правительственные учреждения, дипломатические организации, военные, финансовые учреждения, промышленные конгломераты, а в последнее время — на исследования в области фармацевтики и здравоохранения.

Между тем, по данным Mandiant, финансово мотивированная киберпреступность в Северной Корее носит более глобальный характер, и включает в себя прямое нацеливание на банки, кампании, ориентированные на криптовалюту, и даже операции веб-скимминга.

Яна Блахман, бывший сотрудник израильской разведки, ставший специалистом по разведке угроз в Ванафи, рассказала The Daily Swig, что северокорейские APT-группы коллективно нацелены на широкий спектр секторов.

«Каждая группа APT предназначена для нацеливания на один конкретный сектор», — пояснил Блахман. «Например, Lazarus в первую очередь ориентирован на правительства и финансовые организации Южной Кореи и США, тогда как Bureau 325, как известно, нацелено на крупные биотехнологические компании, исследовательские институты и государственные органы.

«Наряду с этими группами другие, такие как APT38, сосредоточены в первую очередь на банках, финансовых учреждениях и биржах криптовалют», — добавил Блахман.

Недавно Lazarus Group провела очень сложную целевую фишинговую кампанию, в которой злоумышленники потратили почти год на подготовку, создавая блоги по безопасности и учетные записи Twitter и, как правило, взаимодействуя с исследователями безопасности, пытаясь завоевать их доверие.

Северокорейские группы также имеют тенденцию резко менять цели, и предугадать их шаги просто не реально.