fbpx

Hakerzy z Korei Północnej kupują oprogramowanie grupy TrickBot

Michał Misiura
hakerzy z korei połnocnej kupują szkodliwe oprogramowanie Zagrożenia

Firma SentinelOne opublikowała raport, z którego wynika, że cyberprzestępcy na usługach rządu Korei Północnej kupują dostęp do szkodliwego oprogramowania. Dostawcami są niezależni hakerzy z grupy TrickBot. 

Związki pomiędzy komercyjnymi hakerami oraz ich kuzynami opłacanymi przez władze są tak długie jak cyberprzestępczość. Administrator botnetu Dridex miał współpracować z rosyjskim wywiadem. To samo zarzucano twórcy szkodliwego oprogramowania GameOver, który miał dzielić się zdobytymi dokumentami. Teraz okazuje się, że podobną taktykę przyjęli hakerzy z północnokoreańskiej grupy Lazarus, którzy korzystają z dostępnych na czarnym rynku botnetów.

Botnety to potężne hakerskie imperia – sieć połączonych ze sobą, zainfekowanych jednym trojanem komputerów. Stojące za nimi grupy mogą wykorzystywać je do różnych celów takich jak rozsyłanie spamu, wirusów czy ataki DDoS. Często sprzedają też do nich dostęp. Zdarza się, że usługa działa bardzo sprawnie i ma lepszy support od niejednej legalnej firmy. Tak jest w przypadku TrickBotu, którego wykorzystanie przypisano w ostatnim czasie także hakerom opłacanym przez władze Korei Północnej.

Dlaczego jednak rządowi hakerzy korzystają z cudzego oprogramowania? Powodów jest kilka. Pierwszym może być zamaskowanie działalności wywiadowczej pod pozorem „zwyczajnych” hakerskich ataków nastawionych na zysk. Korzystanie z cudzego oprogramowania, zwłaszcza udostępnionego do sprzedaży, pozwala wtopić się w tłum. Ponadto jest ono coraz lepszej jakości, tak jak w przypadku Anchora – modułu TrickBota, który wykorzystują północnokoreańscy hakerzy.

Anchor jest połączeniem wielu zaawansowanych narzędzi, stworzonym aby infekować korporacyjne sieci. Niezwykle trudny do wykrycia, potrafi pozostawać niezauważony przez miesiące, podczas których wykrada informacje. Może zainstalować backdoory dla przyszłych infekcji i rozpłynąć się w powietrzu usuwając ślady swojej obecności. W raporcie firmy SentinelOne przedstawiono przypadek, w którym grupa Lazarus wykupiła dostęp do TrickBota, a następnie użyła modułu Anchor do przeprowadzenia właśnie tego rodzaju ataku na sieć nieujawnionej firmy.