Εδώ και περίπου πέντε χρόνια, μια προηγουμένως άγνωστη ομάδα από hackers από τη Βόρεια Κορέα, με το όνομα APT43, διεισδύει σε κυβερνητικούς φορείς, επιστημονικά ιδρύματα και think tanks στην Αμερική, την Ευρώπη, την Ιαπωνία και τη Νότια Κορέα.
Οι συγκεκριμένοι hackers ασχολούνται με δραστηριότητες κατασκοπείας, καθώς και εγκληματικές επιχειρήσεις με οικονομικό κίνητρο (κυρίως για να δημιουργήσουν κεφάλαια για τις κακόβουλες ενέργειές τους).
Οι αναλυτές της Mandiant έχουν αναφέρει με μεγάλη βεβαιότητα ότι οι κακόβουλες δραστηριότητες της APT43 χρηματοδοτούνται από το κράτος και ότι οι στόχοι της ευθυγραμμίζονται ακριβώς με τους γεωπολιτικούς στόχους της Βόρειας Κορέας.
Δείτε επίσης: Crown Resorts: Παραβιάστηκε από το Clop ransomware μέσω GoAnywhere zero-day
NASA: Θέλει να στείλει αστροναύτες στον Άρη έως το 2035
Γιατί αναβάλλεται η εκτόξευση του Europa Clipper;
Ανακαλύψτε τον Μικροσκοπικό Εξωπλανήτη κοντά στο Άστρο του Μπαρναρντ
“Πιο συγκεκριμένα, η Mandiant αξιολογεί με μέτρια σιγουριά ότι η APT43 σχετίζεται με το Reconnaissance General Bureau (RGB), την κύρια υπηρεσία πληροφοριών της χώρας“, εξηγεί η νέα έκθεση της Mandiant.
Από τα τέλη του 2018, οι ερευνητές παρακολουθούν επιμελώς τις δραστηριότητες της APT43. Ωστόσο, μέχρι πρόσφατα δεν είχαν αποκαλύψει λεπτομερείς πληροφορίες σχετικά με αυτή την κακόβουλη ομάδα απειλών.
APT43 hackers: Δραστηριότητες κατασκοπείας
Οι απότομες αλλαγές στις κατασκοπευτικές επιχειρήσεις της APT43 είναι μια ένδειξη ότι οι hackers ακολουθούν εντολές που βασίζονται σε ένα ευρύτερο, ολοκληρωμένο σχέδιο – αυτό υποδηλώνει ότι τους έχουν ανατεθεί συγκεκριμένοι στόχοι και κατευθύνσεις.
Εδώ και χρόνια, η ομάδα από τη Βόρεια Κορέα έχει στρέψει την προσοχή της σε κυβερνητικά γραφεία, ξένες πρεσβείες και προξενεία, think tanks και ερευνητικά κέντρα, πανεπιστήμια με εμπειρογνώμονες σε κορεατικά θέματα, καθώς και σε άλλες σημαντικές οντότητες στη Νότια Κορέα, τις ΗΠΑ, την Ευρώπη και την Ιαπωνία.
Η APT43 στέλνει προσεκτικά σχεδιασμένα spear-phishing emails προκειμένου να προσεγγίσει τους στόχους της. Αυτά τα παραπλανητικά μηνύματα οδηγούν τους χρήστες σε ψεύτικους ιστότοπους που μιμούνται σελίδες σύνδεσης γνωστών υπηρεσιών και παροτρύνουν τα θύματα να εισαγάγουν τα credentials τους.
Αφού αποκτήσει τα credentials, η APT43 συνδέεται σε λογαριασμούς για να ξεκινήσει τη συλλογή πληροφοριών. Χρησιμοποιεί, επίσης, τις επαφές των θυμάτων για να επεκτείνει τις επιθέσεις phishing.
Δείτε επίσης: IcedID: Νέες παραλλάγες μεταδίδουν malware
“Η ομάδα ενδιαφέρεται πρωτίστως για πληροφορίες που αναπτύσσονται και αποθηκεύονται στον στρατό και την κυβέρνηση των ΗΠΑ, για την αμυντική βιομηχανική βάση (DIB) και τις πολιτικές έρευνας και ασφάλειας που αναπτύχθηκαν από ακαδημαϊκά ιδρύματα με έδρα τις ΗΠΑ και think tanks που επικεντρώνονται στην πολιτική πυρηνικής ασφάλειας“, εξηγεί η έκθεση της Mandiant.
“Η APT43 έχει εκδηλώσει ενδιαφέρον για παρόμοιες βιομηχανίες εντός της Νότιας Κορέας, ειδικά μη κερδοσκοπικούς οργανισμούς και πανεπιστήμια που επικεντρώνονται σε παγκόσμιες και περιφερειακές πολιτικές, καθώς και επιχειρήσεις που μπορούν να παρέχουν πληροφορίες σχετικά με αγαθά των οποίων οι εξαγωγές στη Βόρεια Κορέα έχουν περιοριστεί“. Παραδείγματα τέτοιων αγαθών περιλαμβάνουν όπλα, οχήματα μεταφοράς, μηχανήματα, καύσιμα και μέταλλα.
Η Mandiant έχει, επίσης, εντοπίσει κακόβουλες εφαρμογές Android που χρησιμοποιούνται από την APT43 και στοχεύουν Κινέζους χρήστες που επιδιώκουν να λάβουν δάνεια σε crypto. Στην πραγματικότητά, όμως, καταλήγουν με κλεμμένα τα ψηφιακά τους assets από τους δράστες.
Συσχετίσεις με άλλες ομάδες
Στο παρελθόν, η δραστηριότητα της APT43 είχε συνδεθεί από άλλους ερευνητές με την Kimsuky ή τη Thalium. Επιπλέον, είχαν υπάρξει αναφορές που έλεγαν ότι η APT43 χρησιμοποιούσε κακόβουλο λογισμικό παρόμοιο με αυτό που χρησιμοποιούσε η ομάδα hacking Lazarus.
Επιπλέον, οι κακόβουλοι φορείς χρησιμοποίησαν το Lonejogger, ένα εργαλείο κλοπής crypto που έχει συνδεθεί με άλλες ομάδες.
Η APT43 έχει επίσης το δικό της σύνολο προσαρμοσμένων κακόβουλων προγραμμάτων που δεν χρησιμοποιούνται από άλλους παράγοντες απειλών, όπως τα “Pencildown,” “Pendown,” “Venombite,” και “Egghatch” downloaders, τα “Logcabin” και “Lateop” (“BabyShark”), και το “Hangman” backdoor.
Δείτε επίσης: Η παραβίαση της Latitude Financial Services επηρεάζει 14 εκατ. πελάτες
Εκτός από αυτά, η ομάδα απειλών έχει επίσης χρησιμοποιήσει δημόσια διαθέσιμα εργαλεία όπως τα “gh0st RAT”, “QuasarRAT” και “Amadey”.
Η Mandiant αναμένει ότι η APT43 θα συνεχίσει να είναι μια εξαιρετικά ενεργή ομάδα απειλής. Η κατασκοπεία στον κυβερνοχώρο είναι μια αυξανόμενη απειλή για την παγκόσμια ασφάλεια και απαιτεί άμεση προσοχή. Η κλίμακα και η πολυπλοκότητα αυτής της απειλής απαιτούν μια συντονισμένη προσέγγιση από κυβερνήσεις, οργανισμούς και άτομα για την προστασία ευαίσθητων πληροφοριών και ζωτικής σημασίας υποδομής. Η καταπολέμηση της κυβερνοκατασκοπείας απαιτεί συνεχή επαγρύπνηση και επενδύσεις σε μέτρα κυβερνοασφάλειας, διεθνή συνεργασία και ευαισθητοποίηση του κοινού για προστασία από μελλοντικές επιθέσεις στον κυβερνοχώρο.
Πηγή: www.bleepingcomputer.com