После взлома — сжечь. Северная Корея запустила производство одноразовых вирусов
NewsMakerКак заставить весь мир гадать, кто именно совершил кибератаку.
Северная Корея давно превратила вредоносные программы в конвейер, где каждый инструмент живёт недолго, но работает на конкретную задачу. Такой подход помогает Пхеньяну одновременно вести кибершпионаж, зарабатывать деньги и проводить разрушительные атаки, не смешивая каналы доступа, серверы и программный код.
Специалисты DomainTools пришли к выводу , что внешняя «раздробленность» северокорейского арсенала на деле говорит не о хаосе, а о зрелой системе. Вместо одной большой платформы КНДР, по их оценке, использует несколько параллельных линий разработки. Каждая линия заточена под свою цель, а потеря одного семейства вредоносных программ не разрушает всю систему целиком.
Причина такого подхода понятна. Международные санкции годами ограничивали доступ режима к валюте, а публикации спецслужб и действия правоохранительных органов сокращали срок жизни отдельных кампаний. Как только защитники раскрывают новый инструмент, поставщики защитных решений быстро добавляют признаки заражения в свои базы, и польза от программы резко падает. На этом фоне северокорейские операторы, как считают авторы текста, перестроили работу так, чтобы быстро сжигать инструменты и так же быстро заменять их новыми.
Для шпионажа, по этой схеме, применяют один набор средств. Такие кампании нацелены на министерства, оборонных подрядчиков, научные центры и аналитические организации. Главная задача – не шумная атака, а тихий и долгий сбор данных. В подобных операциях обычно используют сценарии на PowerShell или Visual Basic Script, вредоносные документы и постоянный контроль над почтой и учётными записями. Управление заражёнными машинами нередко маскируют под работу обычных облачных сервисов. С этим направлением чаще всего связывают группу Kimsuky .
Северная Корея давно превратила вредоносные программы в конвейер, где каждый инструмент живёт недолго, но работает на конкретную задачу. Такой подход помогает Пхеньяну одновременно вести кибершпионаж, зарабатывать деньги и проводить разрушительные атаки, не смешивая каналы доступа, серверы и программный код.
Специалисты DomainTools пришли к выводу , что внешняя «раздробленность» северокорейского арсенала на деле говорит не о хаосе, а о зрелой системе. Вместо одной большой платформы КНДР, по их оценке, использует несколько параллельных линий разработки. Каждая линия заточена под свою цель, а потеря одного семейства вредоносных программ не разрушает всю систему целиком.
Причина такого подхода понятна. Международные санкции годами ограничивали доступ режима к валюте, а публикации спецслужб и действия правоохранительных органов сокращали срок жизни отдельных кампаний. Как только защитники раскрывают новый инструмент, поставщики защитных решений быстро добавляют признаки заражения в свои базы, и польза от программы резко падает. На этом фоне северокорейские операторы, как считают авторы текста, перестроили работу так, чтобы быстро сжигать инструменты и так же быстро заменять их новыми.
Для шпионажа, по этой схеме, применяют один набор средств. Такие кампании нацелены на министерства, оборонных подрядчиков, научные центры и аналитические организации. Главная задача – не шумная атака, а тихий и долгий сбор данных. В подобных операциях обычно используют сценарии на PowerShell или Visual Basic Script, вредоносные документы и постоянный контроль над почтой и учётными записями. Управление заражёнными машинами нередко маскируют под работу обычных облачных сервисов. С этим направлением чаще всего связывают группу Kimsuky .