Группа хакеров, спонсируемых государством Северной Кореи, разработала и внедрила новый тип вредоносного ПО, который собирает информацию об устройствах Bluetooth подключенных к системам Windows.
Вредоносная программа обычно развертывается на компьютерах жертв в качестве полезной нагрузки второго уровня при уже активных заражениях.
В зараженных системах программа использует API-интерфейсы Windows Bluetooth для сбора данных о жертвах, таких как имена устройств подключенных по Bluetooth, класс устройств, адрес устройства и сведения о том, подключено ли устройство в данный момент.
В настоящее время непонятно, зачем северокорейские хакеры собирают столь обширную информацию о Bluetooth-устройствах на зараженных хостах. Возможные причины могут заключаться в получении информации об устройствах жертвы и планировании атаки на Bluetooth жертвы на более поздних этапах.
По информации от «Лаборатории Касперского», вредоносная программа принадлежит хакерской группе под названием «StarCruft», которую компания отслеживает с 2016 года.
Сегодня существуют различные хакерские группы из Северной Кореи. Некоторые нацелены на краже денег у банков, некоторые нацелены на обмен криптовалют, в то время как другие нацелены на кибершпионаж. «StarCruft» относится к последней категории и ориентирован на нападение по политическим причинам.
Кроме того, некоторые из жертв ранее были заражены другими северокорейскими хакерскими группами, такими как группа DarkHotel.