Киберпреступные группировки из России и Северной Кореи используют общую хакерскую инфраструктуру

Два наиболее активных государственно связанных киберпреступных формирования — российская группа Gamaredon и северокорейский коллектив Lazarus — оказались задействованы в использовании общих ресурсов, следует из нового исследования, опубликованного в четверг, 21 ноября.

Специалисты компании Gen Digital выявили совпадающие приемы и общую инфраструктуру, которую задействуют обе группы.

Это открытие «не имеет прецедентов», отметил директор по анализу киберугроз Gen Digital Михал Салат. «Я не припоминаю случаев, когда две страны сотрудничали в атаках класса Advanced Persistent Threat», — сказал он, имея в виду сложные, длительные операции, которые обычно проводят структуры, связанные с государством.

Если эти данные подтвердятся, это будет означать новый уровень координации между Москвой и Пхеньяном.

Группу Gamaredon связывают с Федеральной службой безопасности России; с начала вторжения в 2022 году она активно атакует украинские правительственные сети, преследуя в основном разведывательные цели. Lazarus, хорошо известная северокорейская хакерская структура, занимается как шпионажем, так и киберпреступностью ради финансовой выгоды.

Отслеживая использование Gamaredon каналов Telegram для обмена серверами управления вредоносным ПО, аналитики обнаружили, что один из таких серверов одновременно использовался и группировкой Lazarus. На другом сервере, который контролировала Gamaredon, исследователи выявили скрытую версию вредоносной программы, связанной с Lazarus. Этот файл почти полностью совпадал с типичными инструментами Lazarus. Государственные хакерские группы крайне редко размещают или распространяют чужое вредоносное ПО.

По мнению экспертов, такие совпадения свидетельствуют о том, что обе структуры, вероятно, используют общие ресурсы и вполне могут сотрудничать напрямую. В минимальном варианте это говорит о том, что одна группа сознательно копирует другую.

Салат добавил, что Gamaredon может изучать и методы Lazarus. Последняя известна тем, что использует поддельные вакансии для обмана жертв и занимается хищением криптовалюты — ключевого источника дохода для Северной Кореи, находящейся под жесткими международными санкциями.

Москва и Пхеньян в последние годы наращивали сотрудничество, включая военное. Западные спецслужбы считают, что Северная Корея отправила в Россию тысячи военнослужащих для поддержки войны против Украины. Украинские власти в прошлом месяце заявили, что северокорейские военнослужащие запускали беспилотники через границу, а украинская военная разведка на прошлой неделе сообщила, что КНДР направит в Россию тысячи рабочих для производства дронов.