В следующий раз
Kimsuky выступили в конце 2014 года и шоу получилось громким. Они взломали сеть южнокорейской компании
Korea Hydro and Nuclear Power (KHNP), являющейся оператором 23 ядерных реакторов в
Южной Корее. И хотя власти сразу же заявили, что пострадали только «некритические» сегменты сети, вскоре стало ясно, что хакеры ухитрились украсть массу конфиденциальной информации, хотя и не смогли добраться до технологических сетей.
Kimsuky стали разыгрывать ту же сценку, которую ранее в 2014 году
показали Lazarus при взломе
Sony Pictures Entertainment, - изображать из себя долбанутых борцов за что-то там, которые осуществили взлом из идеологических соображений.
Lazarus представлялись хакерской группой
Guardians of Peace, а
Kimsuky завели от имени «
борцов с ядерной энергетикой с Гавайских островов» Twitter-аккаунт «Who am I = No Nuclear Power», в котором начали сливать украденные у
KHNP сведения.
Для начала хакеры опубликовали персональные данные сотрудников компании и несколько конфиденциальных документов, среди которых были руководство по управлению ядерными реакторами
Wolsong и чертежи трубопровода реактора
Wolsong №1. После этого «борцы с ядерной энергетикой» потребовали закрыть к католическому Рождеству три ядерных реактора, иначе они продолжат публикацию украденных данных. Естественно, что реакторы никто закрывать не стал.
В марте северокорейские разведчики продолжили веселиться в стиле офицера-контрразведчика из фильма ДМБ - «денег предлагал, но не дал». Они опубликовали в том же
Twitter требование денежной выплаты за приостановку дальнейшей публикации информации
KHNP, но ни способа передачи денег, ни даже требуемую сумму не указали. В конце концов
Kimsuky слили в
Twitter чертежи южнокорейского атомного реактора
1400.
Доподлинно неизвестно, было ли все это запланировано с самого начала или северокорейцы импровизировали по ходу дела, после того как не сумели пробиться к технологичесим сетям
KHNP. Но звон по
Южной Корее пошел что надо.
После этого
Kimsuky ушли в тину на долгих четыре года. По крайней мере, никто не смог с достаточной степенью достоверности идентифицировать их активность. А в 2018 году они вернулись с операциями
BabyCoin и
MysteryBaby, в ходе которых пытались внедрить инфостилеры на компьюетры южнокорейских пользователей. Однако, мы не будем на них останавливаться, там нет ничего особенного.
Между этими операциями северокорейские хакеры ухитрились очень неловко напасть на академические учреждения США, эта кибероперация получила название
Stolen Pencil. Неловкость заключалась в низком техническом уровне атаки, в ходе которой, к примеру, для осуществления удаленного доступа хакеры использовали
Microsoft RDP (удаленный рабочий стол), а не какой-нибудь RAT. В одном случае корейский оператор, видимо с устали, забыл переключить назад корейскую раскладку клавиатуры. Вместе с тем, возможно, что за такой стояла не
Kimsuky, а другая, менее скилованная, хакерская группа.
С конца 2018 по весну 2019 года
Kimsuky атаковали американские исследовательские институты, специализирующиеся на вопросах денуклеаризации. В ходе атаки они использовали оригинальный вредонос
BabyShark, который распространялся посредством фишингового письма от имени реально существующего в США специалиста по ядерным технологиям. Спустя пару месяцев атака распространилась на компании, связанные с криптовалютами. Подобное поведение по смешиванию кибершпионажа и коммерческого взлома вообще свойственно северокорейским APT, которые периодически испытывают затруднения с финансированием. Достаточно вспомнить
Lazarus с их
попыткой украсть миллиард долларов.
Продолжение следует.
#APT #Kimsuky
