Хакерский журнал рассекретил методы северокорейской APT-группировки. След идёт от самого Пхеньяна

Phrack Kimsuky Linux khook Северная Корея кибершпионаж руткит
Хакерский журнал рассекретил методы северокорейской APT-группировки. След идёт от самого Пхеньяна
Phrack Kimsuky Linux khook Северная Корея кибершпионаж руткит

Исполняемые файлы и сертификаты открыли доступ к закрытым данным госструктур и частных компаний.

image

В свежем выпуске хакерского журнала Phrack опубликован масштабный архив , связанный с деятельностью северокорейских киберпреступных группировок . В утечку попали методы эксплуатации, данные о взломанных системах и Linux-руткит , который демонстрирует высокий уровень скрытности и возможностей.

Авторы публикации отмечают, что часть материалов указывает на китайскую группировку, атакующую госструктуры и частные компании в Южной Корее и на Тайване, однако при этом обнаружено множество совпадений с операциями известного северокорейского коллектива Kimsuky.

В архиве присутствуют сертификаты, дающие доступ к закрытым сетям, а также скриншоты разработки активных бэкдоров. Особую опасность представляет тот факт, что в наборе есть исполняемые вредоносные файлы под разные платформы, которые в случае запуска могут нанести серьёзный ущерб.

Руткит, проанализированный в варианте 2025 года, написан как загружаемый модуль ядра Linux на базе библиотеки khook. Эта архитектура позволяет перехватывать системные вызовы на уровне ядра, обходя стандартные механизмы обнаружения.

Вредоносное ПО скрывает себя из списка lsmod, прячет процессы, сетевую активность и файлы автозагрузки в каталогах /etc/init.d и /etc/rc.d. Активация происходит при получении специального пакета на любом порту, после чего открывается зашифрованный канал для запуска командной оболочки, передачи файлов, настройки прокси или построения цепочек из нескольких хостов.

Для повышения незаметности добавлены меры антианализа: история команд перенаправляется в /dev/null, исключаются тайм-ауты, а всё сетевое взаимодействие проходит в зашифрованном виде.

По данным экспертов, модуль устанавливается в систему под видом компонента tracker-fs в каталоге /usr/lib64, маркируется как неподписанный (по умолчанию под именем vmwfxs) и использует для связи нестандартный сокет /proc/acpi/pcicard. Его слабым местом является жёсткая привязка к конкретным версиям ядра, из-за чего обновления могут ломать его работу. Тем не менее, руткит маскирует трафик под легитимные сервисы вроде SSH или веб-портов, обходя межсетевые экраны.

Обнаружение подобных угроз затруднено, но возможно. Для автоматического поиска используются специализированные инструменты, которые способны фиксировать скрытые файлы, невидимые процессы и признаки модификации ядра.

Ручная проверка включает просмотр логов dmesg или /var/log/kern.log для фиксации неподписанных модулей, анализ подозрительных путей через прямые системные вызовы, а также аудит systemd-служб, в частности tracker-fs.service. На уровне бинарей в /usr/include/tracker-fs/tracker-efs встречаются подозрительные строки, указывающие на вредоносный характер программы. Даже несмотря на сокрытие от стандартных утилит ps и ss, специальные средства позволяют выявить активные процессы.

Функции руткита расширяются поддержкой многоступенчатых соединений, использованием SOCKS5-прокси и замедленным выводом пакетов для обхода мониторинга. При компрометации рекомендуется изоляция системы и полная её перестройка, поскольку при доступе уровня root нельзя гарантировать целостность среды. Эксперты советуют сосредоточиться на универсальных техниках поиска, а не на сигнатурных индикаторах, которые легко меняются.

Опубликованный архив ещё раз подчеркнул, что инструментарий, создаваемый на уровне государств, достигает высокой степени скрытности и эффективности. На фоне роста атак такого уровня администраторы Linux-систем должны уделять особое внимание мониторингу , чтобы выявлять аномалии и предотвращать долгосрочные проникновения.