В последние годы возрастающая роль криптовалют в мировой экономике привлекла внимание не только инвесторов и технологов, но и представителей киберпреступного мира и государственных хакерских групп. Южная Корея, одна из ведущих стран по развитию и внедрению блокчейн-технологий и криптовалют, оказалась в центре сложной и масштабной атаки со стороны северокорейских хакеров. Недавнее расследование, опубликованное компанией Kaspersky, раскрывает использование киберпреступной группировкой Kimsuky нового программного обеспечения под названием «Durian», предназначенного для нацеливания на криптовалютные компании и нарушение их работы. Kimsuky — одна из известных северокорейских хакерских групп, ранее ассоциировавшихся с кибершпионажем и атакой на государственные и частные организации Южной Кореи. Их деятельность направлена не только на экономическое вымогательство, но и на сбор разведывательных данных, что усиливает опасность подобных кибератак в геополитическом контексте.
Новый вредоносный код «Durian» представляет особую угрозу благодаря своей продвинутой структуре и способности обходить традиционные системы защиты. Согласно отчёту Kaspersky, «Durian» — это комплексный установщик, который развертывает несколько типов вредоносного ПО в заражённой системе. Среди них ключевым является бэкдор под названием «AppleSeed», дающий злоумышленникам глубокий контроль над устройствами жертв. Кроме того, в состав входят специальные инструменты прокси, например, «LazyLoad», а также легитимные программы, такие как Chrome Remote Desktop, используемые для скрытого удалённого доступа и управления заражёнными компьютерами. Такие инструменты позволяют киберпреступникам не только получать доступ, но и эффективно маскировать своё присутствие в сетях организаций.
Интересно, что инструмент «LazyLoad» ранее связывали с другой известной северокорейской группировкой — Lazarus Group, более крупной и печально известной в киберпреступном сообществе. Связь между Kimsuky и Lazarus, обнаруженная благодаря совместному использованию некоторых компонентов вредоносного ПО, свидетельствует об организованности и координации действий внутри северокорейского киберпространства. Lazarus, благодаря своим масштабным атакам на мировом уровне, в том числе на финансовые институты и криптовалютные биржи, в 2023 году смог похитить свыше 309 миллионов долларов, что составляло приблизительно 17% от всех украденных в криптомире средств за этот год. Сектор криптовалют в Южной Корее пользуется большим доверием и активно развивается, что привлекает внимание злоумышленников. В 2023 году совокупные потери в криптосфере из-за кибератак и эксплуатации уязвимостей превысили 1,8 миллиарда долларов, существенно угрожая стабильности и развитию индустрии.
Новая вредоносная программа «Durian» указывает на продолжающееся усиление кибератак, специально нацеленных на инфраструктуру криптовалютного сектора Южной Кореи, что требует принятия комплексных мер защиты на всех уровнях. Особенностью атаки с использованием «Durian» стала эксплуатация легитимного программного обеспечения, которое традиционно применяется криптофирмами для обеспечения безопасности и дистанционного доступа. Использование таких разрешённых инструментов позволяет хакерам обходить некоторые системы обнаружения и труднее выявляться антивирусными программами и сетевыми средствами мониторинга. Это свидетельствует о высокой степени планирования и уровне технической подготовки сообщников Kimsuky. Для защиты от таких продвинутых угроз рекомендуется уделять особое внимание всем программным компонентам, интегрированным в бизнес-процессы, а также регулярно обновлять средства безопасности и мониторить подозрительную активность в сети.
Важна также тщательная проверка поставляемого программного обеспечения и обучение сотрудников методам предотвращения фишинговых и иных социально-инженерных атак, которые часто служат точкой входа для вредоносного ПО. Появление программного обеспечения, такого как «Durian», демонстрирует трансформацию киберугроз и важность международного сотрудничества для противодействия вооружённым государственными хакерскими группами и киберпреступникам. Южнокорейские криптофирмы, несмотря на высокую технологическую оснащённость, остаются уязвимыми перед среднем и крупномасштабными атаками, нацеленными на кражу данных и финансовых средств. Хотя Северная Корея традиционно отрицает причастность к подобным кибератакам, технические данные и разведывательная аналитика указывают на активное участие группировок из этой страны в глобальном кибершпионаже и экономических преступлениях. Киберпреступность становится неотъемлемой частью современной «гибридной войны», где цифровые технологии выступают ареной для достижения стратегических и финансовых целей.
