Недавно опубликованные материалы из свежего выпуска популярного хакерского журнала Phrack содержат сенсационный массив сведений, раскрывающих деятельность нескольких известных киберпреступных группировок, связанных с Северной Кореей.
Архив содержит детальные инструкции по эксплойтам, подробные отчёты о взломах важных информационных систем и примеры использования специализированного Linux-рутука – мощного инструмента для глубокого проникновения в сети государственных учреждений и крупных коммерческих организаций.
Исследователи обнаружили связь между обнаруженными материалами и китайской хакерской группой, активно действующей против правительственных структур и корпораций Южной Кореи и Тайваня. Однако многие элементы указывают на причастность северокорейской группировки Kimsuky, известной своими сложными кампаниями по шпионажу и вымогательству.
Одним из самых тревожных аспектов утечки являются цифровые сертификаты, предоставляющие злоумышленникам несанкционированный доступ к внутренним сетям жертв.
Кроме того, опубликованы изображения экранов разработки опасных бэкдоров и рабочие образцы исполняемых файлов для различных платформ, способных запускаться незаметно и наносить значительный вред системам.
Анализируя данный руткит, эксперты отметили его способность устанавливать себя в виде якобы безобидного компонента tracker-fs в стандартной директории /usr/lib64, скрываясь под названием типа «vmwfxs».
Это делает угрозу особенно опасной, так как её трудно обнаружить обычными средствами. Руткит также маскируется под обычные сервисы, такие как SSH или HTTP-трафик, тем самым избегая внимания со стороны защитных решений.
Для выявления таких инцидентов специалисты рекомендуют автоматические решения, способные находить скрытые угрозы и предупреждать администратора о возможных нарушениях безопасности. Также возможна ручной метод проверки, включающий тщательный анализ журналов операционной системы, изучение подозрительных служб и отслеживание активности неизвестных процессов.
Зловред обладает множеством продвинутых функций, включая поддержку сложных цепочек соединений, использование прокси-серверов и замедление передачи данных, позволяющее избегать обнаружения даже опытными специалистами. Единственным надежным способом устранения последствий заражения является полное восстановление системы после изоляции заражённого узла.
Таким образом, данная публикация подчеркнула растущую сложность современных угроз и необходимость постоянного повышения уровня защиты критически важной инфраструктуры, особенно в свете постоянно увеличивающегося числа целенаправленных атак высокого уровня сложности.