Фахівці ІБ-компанії Intel 471 виявили зв'язок між кіберопераціями, що приписують північнокорейським і російським кіберзлочинцям.
За даними ІБ-експертів, північнокорейське кіберзлочинне угруповання Lazarus відповідальне за такі великі інциденти, як атаки здирницького ПЗ WannaCry, кіберпограбування банку Бангладеш, атаки на криптовалютні біржі і десятки урядових та оборонних організацій по всьому світу.
Як повідомляють фахівці Intel 471, кіберзлочинці з КНДР підтримують тісні відносини з російськомовними колегами, в тому числі з операторами трояна Dridex і TrickBot. Оператором Dridex є угруповання TA505 або Evil Corp, яке імовірно має зв'язок з Росією. Крім іншого, вона відповідальна за кібератаки здирницького ПЗ Locky, Bart і DoppelPaymer, а також шкідливого ПЗ Cobalt Strike, FlawedAmmyy, BackNet, ServHelper і SDBbot RAT. У свою чергу, російськомовне угруповання TrickBot є оператором трояна Dyre.
Згідно зі звітом Intel 471, шкідливе ПЗ, яке використовується виключно північнокорейськими хакерами, «швидше за все, доставляється через доступ до мереж, який забезпечувався російськомовними кіберзлочинцями».
TA505, і TrickBot є, за словами експертів, угрупованнями «першого ешелону», які мають хорошу репутацію і користуються великою довірою в кіберзлочинному світі. Те ж саме стосується і північнокорейських хакерів.
TrickBot це сервіс «шкідливе ПЗ як послуга» (malware-as-a-service, MaaS), доступ до якого надається тільки довіреним клієнтам.
«Як встановили фахівці Intel 471, доступ до сервісу можуть отримати тільки кіберзлочинці вищого рівня з перевіреною репутацією. Репутація досягається шляхом покупки і продажу продуктів, товарів і послуг. Навіть для того, щоб дізнатися, з ким можна поговорити про доступ до TrickBot, потрібно проявити себе і мати хорошу репутацію на підпільних форумах », — повідомили дослідники.
Список доступного на підпільних форумах шкідливого ПЗ, яке використовувалося північнокорейськими хакерами, включає здирницьке ПЗ Hermes і вимагач Ryuk що базується на його коді. Більш того, попередні звіти показали, що шкідливим ПЗ Lazarus заражені системи, які раніше заражені Emotet і TrickBot.
Відповідно до звітів NTT Security і SentinelOne, існує зв'язок між TrickBot і доставкою використовуваного Lazarus шкідливого ПЗ PowerBrace і PowerRatankba. Швидше за все, відзначають дослідники, клієнти TrickBot пов'язані з північнокорейськими хакерами.