После взлома — сжечь. Северная Корея запустила производство одноразовых вирусов

Северная Корея давно превратила вредоносные программы в конвейер, где каждый инструмент живёт недолго, но работает на конкретную задачу. Такой подход помогает Пхеньяну одновременно вести кибершпионаж, зарабатывать деньги и проводить разрушительные атаки, не смешивая каналы доступа, серверы и программный код.

Специалисты DomainTools пришли к выводу, что внешняя «раздробленность» северокорейского арсенала на деле говорит не о хаосе, а о зрелой системе. Вместо одной большой платформы КНДР, по их оценке, использует несколько параллельных линий разработки. Каждая линия заточена под свою цель, а потеря одного семейства вредоносных программ не разрушает всю систему целиком.

Причина такого подхода понятна. Международные санкции годами ограничивали доступ режима к валюте, а публикации спецслужб и действия правоохранительных органов сокращали срок жизни отдельных кампаний. Как только защитники раскрывают новый инструмент, поставщики защитных решений быстро добавляют признаки заражения в свои базы, и польза от программы резко падает. На этом фоне северокорейские операторы, как считают авторы текста, перестроили работу так, чтобы быстро сжигать инструменты и так же быстро заменять их новыми.

Для шпионажа, по этой схеме, применяют один набор средств. Такие кампании нацелены на министерства, оборонных подрядчиков, научные центры и аналитические организации. Главная задача – не шумная атака, а тихий и долгий сбор данных. В подобных операциях обычно используют сценарии на PowerShell или Visual Basic Script, вредоносные документы и постоянный контроль над почтой и учётными записями. Управление заражёнными машинами нередко маскируют под работу обычных облачных сервисов. С этим направлением чаще всего связывают группу Kimsuky.

Отдельная линия отвечает за кражу денег. Здесь темп намного выше, а риск разоблачения считается приемлемым. Целью становятся криптовалютные биржи, разработчики блокчейн-проектов, платформы децентрализованных финансов и цепочки поставок программ. В таких атаках применяют похитители кошельков, подмену содержимого буфера обмена, внедрение вредоносного кода в открытые пакеты и заражённые обновления. Инфраструктуру для подобных операций быстро меняют, не пытаясь сохранить надолго. С финансовым направлением чаще всего связывают Lazarus Group.

Третья линия нужна для демонстративных и разрушительных ударов. Здесь задача – не заработать и не сидеть в сети месяцами, а нанести заметный ущерб и подать политический сигнал. В ход идут программы-уничтожители данных и инструменты, похожие на программы-вымогатели. После проникновения операторы стараются как можно быстрее распространиться по сети и ударить сразу по многим системам. Такие кампании обычно увязывают с группой Andariel.

При всей разнице между направлениями специалисты видят и общие черты. В разных семействах вредоносных программ повторяются похожие методы упаковки, загрузчики и приёмы шифрования. Кампании по-прежнему часто начинаются не со сложного взлома, а с социальной инженерии, когда злоумышленники эксплуатируют доверие сотрудников. После входа в сеть северокорейские операторы любят прятать активность внутри привычных сервисов, облачных платформ и инструментов для разработки, чтобы трафик выглядел законным.

Авторы материала считают, что такая модель даёт КНДР сразу несколько преимуществ. Во-первых, потеря одного инструмента почти не мешает другим операциям. Во-вторых, разный код, разные серверы и разный почерк усложняют атрибуцию и замедляют ответные меры. Пока защитники разбираются, с какой именно кампанией имеют дело, другие линии уже продолжают работу.

Для служб безопасности вывод неприятный, но довольно прямой. Опираться только на сигнатуры вредоносных файлов уже недостаточно, потому что северокорейские группы быстро меняют код и упаковку. Гораздо важнее отслеживать поведение в сети, контроль учётных записей, подозрительную работу в облачных сервисах и атаки на цепочки поставок программ.

В тексте также сравнивают подход КНДР с другими государственными группировками. Российские, китайские и иранские операторы тоже обновляют инструменты и иногда отказываются от старых семейств вредоносных программ. Но, по оценке авторов, в северокорейской модели такой подход доведён почти до предела. Вредоносная программа здесь выглядит не как ценный актив, который нужно беречь как можно дольше, а как расходный материал. Потеряли один инструмент – сразу запускают следующий.

Именно поэтому разнообразие северокорейских вредоносных программ, как считают авторы исходного текста, нельзя считать признаком беспорядка. Речь, напротив, идёт о системе, которую изначально строили под постоянное давление, быстрые потери и необходимость параллельно решать разные государственные задачи.