Shimoliy Koreyalik xakerlar tarixda birinchi marta Rossiyaga hujum qilishdi.
Hujumlar Lazarus guruhining arsenalidan KEYMARBLE orqa eshigidan foydalangan.
Rossiya ikki mamlakat o’rtasidagi do’stona munosabatlar tufayli uzoq vaqtdan beri Shimoliy Koreya xakerlari uchun nishon hisoblanib kelgan. Biroq, endi bu o’zgardi. Check Point tadqiqotchilari birinchi marta Shimoliy Koreyaning Lazarus kiberjinoyatchi guruhi tomonidan Rossiyadagi nishonlarga qilingan kiberhujumni hujjatlashtirdilar. Tadqiqotchilarning so’zlariga ko’ra, hujum Bluenoroff nomli Lazarus bo’linmasi tomonidan amalga oshirilgan. Bu bo’linma moliyaviy foyda olish vazifasini bajargan, yana bir bo’linma, Andariel, Janubiy Koreyaga kiberhujumlar amalga oshirish vazifasini bajargan. Mutaxassislar 2014-yilda Sony Pictures Entertainment serverlarining shov-shuvli xakerlik hujumi va Bangladesh Markaziy bankidan 81 million dollar o’g’irlanishini Bluenoroffga bog’lashadi.
Kiberjinoyatchilar tomonidan ishlatilgan zararli dastur, xususan, ko’p funksiyali KEYMARBLE orqa eshikli dasturi, Rossiyadagi nishonlarga qilingan kiberhujumlar ortida Lazarus turganligini ko’rsatadi. AQSh Ichki xavfsizlik departamenti uni uzatiladigan ma’lumotlar va aloqalarni buyruq va boshqaruv serveri bilan himoya qilish uchun XOR kriptografik algoritmidan foydalanadigan masofaviy kirish troyan (RAT) sifatida ta’riflaydi. KEYMARBLE masofaviy serverdan ko’rsatmalar oladi.
Yangi kampaniya nishonga olingan tizimlarni uch bosqichda yuqtirdi. Birinchidan, jabrlanuvchi zararli PDF va Word hujjatlarini o’z ichiga olgan ZIP arxivini o’z ichiga olgan elektron pochta xabarini oldi. Drobox’dan makroslarni faollashtirgandan so’ng, jabrlanuvchining kompyuteriga VBS skripti yuklab olindi. Ishga tushirilgandan so’ng, skript buzilgan serverdan CAB faylini yuklab oldi va uning foydali yuklamasini ishga tushirdi. Kampaniya davomida tajovuzkorlar ikkinchi bosqichni tashlab, Word hujjatidagi makroslarni orqa eshikning o’zini yuklab olish uchun o’zgartirdilar.
Savol tug’iladi: nima uchun Shimoliy Koreya do’stona davlatga hujum qilishi kerak? Albatta, boshqa birov shunchaki o’zini Shimoliy Koreyalik xakerlar sifatida ko’rsatgan bo’lishi mumkin, ammo bu holda Check Point mutaxassislari hujumlar ortida Lazarus turganiga aminlar.
