Мощные кибератаки, с уникальным подходом к их организации – это не описание действий преступных групп из Даркнета. Это лишь вершина айсберга, в который превращаются киберпреступления, получающие поддержку со стороны государства. Многие эксперты убеждены, что с помощью своей «армии хакеров» Пхеньян добывает миллиарды долларов путем организации серии дерзких кибер-ограблений банков.
В прошлогоднем докладе Организации Объединенных Наций подсчитано, что северокорейские хакеры украли более 2 миллиардов долларов. Деньги были использованы в первую очередь для финансирования режима. Северокорейские хакеры успешно собирают деньги для власти путем их кражи из финансовых учреждений и криптовалютных бирж.
Как безобидные сообщения в LinkedIn превратились в реальную киберугрозу
В конце прошлого года ряд сотрудников аэрокосмических и военных компаний в Великобритании, Европе и на Ближнем Востоке получили вроде безобидные сообщения в LinkedIn. В них, якобы рекрутер конкурирующей компании, предлагал работу на новом месте.
Мы приветствуем таких профессионалов. Хотим пригласить вас на работу к нам
Тем из инженеров, кто проявил любопытство и положительно ответил на предложение, были направлены просьбы побольше рассказать о себе, загрузив несколько файлов. Мол, это просто необходимо, чтобы предоставить им работу, в соответствии с квалификацией.
Поскольку ваш профессиональный уровень очень высокий, мы намерены предложить работу над новым, очень важным проектом
Выбранные жертвы получали письма с «вложением». В файле был список свободных вакансий с высокой заработной платой. Однако, в то время, как инженеры выбирали для себя место новой и высокооплачиваемой работы, в их компьютеры незаметно внедрилось вредоносное ПО, позволившее хакерам просматривать все файлы и электронные письма.
Естественно, что и рекрутер, и прибыльные вакансии – оказались хакерской атакой, запущенной с одной лишь целью. «Уговорить» пользователя открыть письмо, активировав тем самым вирус.
Как только хакеры получили доступ к компьютеру своей жертвы, поддельные профили LinkedIn исчезли.
Точно известно об одном инциденте:
- используя доступ к учетной записи электронной почты жертвы, хакеры нашли выставленный инженером неоплаченный счет;
- хакер повторно, от имени жертвы, отправил письмо, указав иные реквизиты для оплаты;
- деньги попали на счет хакерской группы.
Вы думаете за этим стоит преступное сообщество Даркнета? Как бы не так….
Компании по кибербезопасности ESET и финской F-Secure обнаружили, что сообщения были отправлены Лазарем (Lazarus), печально известной северокорейской хакерской группой, которая в 2014 году сумела взломать серверы Sony Pictures, а в 2017 году кардинально затруднила работу Национальной службы здравоохранения Великобритании во время атаки вымогателей WannaCry.
Хакерство для финансирования строительства ракет Северной Кореей
Эта кибератака является типичным примером уникального подхода Северной Кореи к хакерству. Наряду с попытками взлома государственных сайтов для политических целей, легионы хакеров не гнушаются совершать дерзкие кибер-ограбления банков.
Отрезанная почти от всех мировых финансовых систем, Северная Корея в течение многих лет использует незаконные методы, обеспечивающие приток валюты. Пхеньян поддерживает хакерские группы, совершающие ограбления цифровых банков.
Однако, эти недавние взломы - лишь «мелочь» в сравнении с самыми дерзкими кибератаками из Северной Кореи. В 2016 году его хакеры использовали учетные данные SWIFT сотрудников центрального банка Бангладеш, чтобы отправить серию запросов на перевод в Федеральный Резервный банк Нью-Йорка.
Они сняли 81 миллионов $ со счетов Центрального банка. Попытка вывести еще более 850 миллионов $, сорвалась из-за глупой оплошности.
Deutsche Bank и ФРС все же успели поднять тревогу. Служащие Deutsche Bank увидели грамматическую ошибку в платежке, остановили транзакцию.
Хакеры Пхеньяна явно связаны с киберпреступлениями в банках по всему миру, с кражами из банкоматов и обналичиванием украденных средств.
Они регулярно покупают вредоносные программы с подпольного рынка Даркнета. Некоторые из этих сделок по приобретению программных инструментов для фишинговых атак были зафиксированы во время пандемии.
В последние годы их внимание переключилось на более доступную цель - криптовалюты. Северокорейские хакеры взломали бесчисленное количество криптовалютных бирж, украв сотни миллионов долларов виртуальных валют.
В конце 2018 года северокорейские хакеры «представляли» себя потенциальными клиентами криптовалютной биржи. Массово рассылались письма ее сотрудникам. Внутри – были файлы с вредоносным ПО. Что и обеспечивало им доступ на серверы этих компаний.
Внедрив вирусы, хакеры украли 234 миллиона $ в виде цифровых монет (биткоин и Dogecoin). Криптовалюты могут перемещаться за пределами традиционных банковских сетей мира. Правда, правоохранительные органы по всему миру нашли способы, как отслеживать их движение.
Им приходится использовать более сложные схемы, чтобы замаскировать движение цифровых денег – вплоть до дробления «суммы» и многочисленных переводов.
А еще совсем недавно киберслужбы всех стран считали китайских и российских хакеров самой большой проблемой. Северная Корея и Иран относились к более слабым противникам.
Виртуальная кража в магазине
Кибератаки из Северной Кореи не прекратились и во время пандемии коронавируса:
1. Claire's, сеть модных аксессуаров, объявила 20 марта, что она закроет все свои магазины во время введенного карантина. В течение нескольких часов северокорейский хакер уже приобрел веб-домен claires-assets.com.
2. Спустя месяц компания по кибербезопасности Sansec обнаружила, что хакерам удалось внедрить фрагмент вредоносного кода на сайт main Claire. В итоге, учетные данные банковских карт покупателей тайно перехватывались. Это длилось несколько недель.
Подобные веб-скимминговые атаки просты по своей природе. Но требуют от хакеров использования передовых технических навыков. Они стремятся получить доступ к бэкенд-серверу веб-магазина, связанным с ним ресурсам или сторонним виджетам. Здесь они устанавливают, а затем запускают, вредоносный код на интерфейсе магазина.
Код загружается только на странице выписки и автоматически регистрирует данные платежной карты по мере их ввода в формы оформления заказа. Эти данные затем эксфильтрируются на удаленный сервер, откуда хакеры собирают их и продают на подпольных рынках киберпреступности.
Веб-скимминговые атаки обычно требуют от хакеров наличия большой инфраструктуры для размещения вредоносного кода или запуска точек сбора.
Эксперты по безопасности предупреждают, что представление о северокорейских хакерах, как о программистах, способных лишь взломать сеть, украсть немного денег и сбежать, не соответствует действительности.
Они становятся все более изощренными. Внедряют вредоносное ПО с расчетом на длительное пребывание в IT-сети жертвы, препятствуют любым попыткам отслеживания своего перемещения в системе.
Вместо того чтобы просто «схватить» деньги и сбежать, они теперь надежно удаляют любые доказательства того, что когда-либо были внутри сетей, прежде чем уйти с наживой.
Это новая проблема для экспертов по безопасности, которые тратят время и значительные деньги, пытаясь защитить сети от хакеров. Нет никаких признаков того, что северокорейские хакеры сократили свои виртуальные ограбления банков во время пандемии. Нет сомнений, что уровень их профессионализма растет.
Источник - https://darknet.global/kak-armiya-hakerov-severnoj-korei-ukrala-2-milliarda/