Северокорейские хакеры напомнили о себе

Практически одновременно с информацией об исторической встрече руководителей Северной и Южной Кореи, подарившей надежду на благополучное разрешение конфликта между странами, появилась и новость о том, что северокорейские хакеры пока не склонны демонстрировать такое же миролюбие. Исследователи компании McAfee сообщили об очередной масштабной операции группировки Lazarus Group (известной также как Hidden Cobra, Hastati Group, Group 77 и Labyrinth Chollima). Эта группировка известна целым рядом крупных акций, наиболее памятна из которых, вероятно, атака на Sony Studios в 2014 году. Специалисты сходятся во мнении, что атаки Lazarus совершаются именно из Северной Кореи.

На сей раз хакеры активизировались в середине марта и атаковали большое число компаний в 17 странах мира. В числе их жертв – организации финансовой сферы, сферы здравоохранения, индустрии развлечений, телекоммуникационные компании, а также объекты критической инфраструктуры. Первым шагом новой операции Lazarus, получившей название GhostSecret, стала атака на финансовые учреждения Турции. Специалисты McAfee смогли установить, что наряду с абсолютно новым вредоносным ПО хакеры использовали и инструменты, схожие с теми, которые были задействованы во взломе Sony Studios. По словам экспертов, атака продемонстрировала впечатляющие возможности организаторов с точки зрения развития инструментов и скорости проведения операции.

Интересно, что после того, как атака на турецкие финансовые организации была обнаружена, хакеры Lazarus не только не ушли в тень, но, напротив, активизировали свою деятельность. Эксперты предполагают, что киберпреступники торопились в максимальной степени использовать возможности своих новых зловредов, прежде чем они будут внесены в базы данных и начнут распознаваться защитным ПО. Также специалисты McAfee установили, что в качестве командных серверов операции GhostSecret использовались, в том числе, несколько скомпрометированных серверов Университета Таммасат в столица Таиланда Бангкоке. После соответствующего уведомления CERT Таиланда блокировал и конфисковал эти серверы.