Увеличение активности северокорейской хакерской группы заставило компанию Mandiant повысить её статус до высшего уровня киберугрозы, а ФБР выпустить предупреждение о данной группировке. По данным компании и агентства, эта группа давно стремится получать разведывательные данные о военной обороне и исследованиях и разработках, но с тех пор расширила свои цели.
Mandiant, подразделение по кибербезопасности Google Cloud, в отчёте, опубликованном в четверг, сообщила, что недавно переименованная группа APT45 расширила свои операции по распространению вымогательского ПО — что редкость для северокорейских групп — и теперь нацелена на медицинские и финансовые учреждения и энергетические компании.
ФБР планирует выпустить соответствующее уведомление и провести пресс-конференцию в четверг, посвящённую деятельности хакеров.
Mandiant, ранее называвшая эту группу Andariel или UNC614, утверждает, что она активна с как минимум 2009 года. Присвоение обозначения «APT» — сокращение от «Advanced Persistent Threat» (продвинутая устойчивая угроза) — обусловлено ростом уровня её изощрённости и увеличением числа жертв. По данным Mandiant, APT45 действует в интересах правительства Северной Кореи.
«Повышение статуса Andariel до APT45 отражает возрастающую осведомлённость о деятельности группы,» заявил Майкл Барнхарт, главный аналитик Mandiant в Google Cloud, в письменном заявлении для CyberScoop.
«Эта возрастающая осведомлённость — естественное следствие их всё более сложных атак и увеличивающегося числа жертв в различных секторах,» добавил он. «Andariel демонстрирует постоянную способность проводить масштабные, значимые кибероперации, нацеленные на критическую инфраструктуру и стратегические отрасли, часто включая утечки данных, развертывание вымогательского ПО и сложные шпионские тактики.»
Участие правительства и ФБР
Mandiant сообщила, что работает с ФБР и другими правительственными агентствами для отслеживания хакеров. В консультативном документе ФБР будет изложено, как APT45 нацеливается на информацию о различных технологиях, от танков до беспилотников и систем противоракетной обороны, а также государственных ядерных объектов.
«Многие достижения Северной Кореи в области военных возможностей в последние годы можно напрямую отнести к успешным шпионским операциям APT45 против правительств и оборонных организаций по всему миру,» отметил Барнхарт в отдельном заявлении. «Когда Ким Чен Ын требует лучшие ракеты, эти ребята крадут для него чертежи.»
Финансовая мотивация
Согласно Mandiant, мотивы APT45 постепенно сместились в сторону финансово мотивированных операций. Группа изначально сосредоточилась на медицинских и фармацевтических компаниях в ранние стадии пандемии COVID-19, но продолжила нацеливаться на эти сектора и после того, как другие группы переключились на другие цели. Это, возможно, указывает на указание собирать такую информаци, подчеркивает vpnРоссия.
Гари Фреас, старший аналитик Mandiant в Google Cloud, отметил, что, хотя компания подозревает, что деньги, полученные в таких атаках, возвращаются в северокорейский режим, основной целью группы не является генерация дохода.
«Увидев успехи других групп в атаках с использованием вымогательского ПО против медицинских организаций, APT45 начала использовать то же самое готовое вымогательское ПО и требовать выкупы, сопоставимые с другими публично сообщенными инцидентами — независимо от размера жертвы,»
Гари Фреас
История внимания со стороны правительства США
Это не первый раз, когда данная хакерская группа привлекает внимание правительства США. В 2019 году Управление по контролю за иностранными активами Министерства финансов США объявило о санкциях против неё. Управление сослалось на деятельность хакеров, направленную против бизнеса и государственных учреждений, включая атаки на правительство Южной Кореи, кражу информации с банковских карт и взлом сайтов онлайн-азартных игр.
Группа также известна под другими названиями, такими как Plutonium и Onyx Sleet.
Активизация деятельности северокорейской хакерской группы APT45 вызывает серьёзную обеспокоенность у специалистов по кибербезопасности и правоохранительных органов. Повышение её статуса до высшего уровня угрозы отражает возрастающую сложность атак и увеличение числа пострадавших, что требует усиленного внимания и мер со стороны международного сообщества.
Активность со стороны киберпреступников из КНДР явно усилилась в первой половине 2024 года, совсем недавно всплыла информация о BeaverTail — вредоносном ПО на JavaScript, которое крадёт данные с устройств клиентов.
Наш процесс рецензирования основан на тщательном исследовании и объективности. Все материалы проходят многоуровневую проверку на соответствие высоким стандартам качества и точности, обеспечивая надёжную информацию для принятия обоснованных решений.
Леся – ведущий дата-аналитик в проекте VPRussia, обладает более чем 5-летним опытом в области анализа данных и разработки аналитических решений. С образованием в области математики и компьютерных наук, Леся специализируется на использовании Python, R и SQL для обработки и анализа больших данных. Её ключевые задачи включают сбор и анализ данных о пользователях VPN-сервисов, разработку моделей для оценки их эффективности, а также создание отчетов и визуализаций для команды и руководства.