Šioje srityje dirbančios bendrovės „FireEye“ pranešime sakoma, kad neseniai nustatyta grupė APT38 yra atskiras darinys, bet susijęs su kitomis Šiaurės Korėjos vykdomomis kompiuterinių įsilaužimų operacijomis. Pasak tyrėjų, šios grupės tikslas – parūpinti lėšų izoliuotam Pchenjano režimui.
„FireEye“ tyrėjai pažymėjo, kad APT38 yra viena iš kelių įsilaužėlių grupių, priklausančių vadinamajam „Lazarus“ tinklui, bet pasižyminti unikaliais gebėjimais ir priemonėmis, padėjusiomis įvykdyti atakų, tapusių vienais didžiausių kada nors surengtų kibernetinių vagysčių.
„Jie yra grupė kibernetinių nusikaltėlių, turinčių įgūdžių vykdyti kibernetinio šnipinėjimo kampaniją“, – per Vašingtone surengtą spaudos konferenciją sakė bendrovės prezidentė žvalgybos reikalams Sandra Joyce.
Pasak jos, vienas iš APT38 ypatumų – kad ši grupė paprastai kelis mėnesius, o kai kada – net iki dvejų metų ruošdavosi prasiskverbti ir rinkdavo informaciją apie savo taikinių sistemas, kol galiausiai įvykdydavo puolimus. Ekspertai sakė, kad per APT38 atakas iš puolamų bankų siekta neteisėtai pervesti daugiau kaip 1 mlrd. JAV dolerių.
„Jie skirdavo laiko organizacijos ypatumams perprasti“, – sakė S. Joyce.
„FireEye“ atstovė aiškino, kad įsilaužėliams sėkmingai įvykdžius ataką „jie atsitraukdami panaudodavo niokojančias programas“, kad paslėptų savo pėdsakus ir kad aukoms būtų sudėtingiau išsiaiškinti, kas atsitiko.
„Neatidėliotina būtinybė“
S. Joyce sakė, kad „FireEye“ nusprendė viešai paskelbti apie šią grėsmę dėl „neatidėliotinos būtinybės“, nes ši grupė veikiausiai tebeveikia, ir jos „neatgrasė jokios diplomatinės pastangos“.
Yra žinoma, kad ATP38 veikia mažiausiai nuo 2014 metų ir kad nuo to laiko grupė sugebėjo įsilaužti į daugiau kaip 16 organizacijų mažiausiai 11-oje šalių, rašoma „FireEye“ ataskaitoje.
Kai kurių žinomų atakų taikiniais tapo Vietnamo bankas TP, nukentėjęs 2015-aisiais, Bangladešo bankas (2016), Taivane įsikūręs Tolimųjų Rytš tarptautinis bankas (2017) ir šiemet užpultas Meksikos „Bancomext“ bei Čilės „Banco de Chile“.
S. Joyce sakė, kad ši grupė pagal veiklos mastą ir išteklius atitinka „valstybės lygio veikėją“, bet nepateikė informacijos, kiek žmonių joje darbuojasi.
„FireEye“ tyrimų grupės narė Nalani Fraser sakė, kad APT38 nuo 2014 metų mėgino pavogti mažiausiai 1,1 mlrd. dolerių ir kad šiai grupei pavyko perimti „šimtus milijonų dolerių – remiantis duomenimis, kuriuos galime patvirtinti“.
Saugumo ekspertai sakė, kad Šiaurės Korėjoje veikiančios įvairios kibernetinių įsilaužėlių grupės tikriausiai dalijasi savo ištekliais – įskaitant kuopeles, užsiimančias šnipinėjimu, ir kitas, vykdančias kitokio pobūdžio atakas.
Šiek tiek informacijos apie APT38 buvo atskleista praeitą mėnesį paskelbtame viename JAV baudžiamajame ieškinyje prieš kompiuterių įsilaužėlį Park Jin Hyoką, siejamą su išpirkos reikalaujančio viruso „WannaCry“ išplitimu ir ataka prieš JAV kino studiją „Sony Pictures“.
Tačiau Park Jin Hyokas tikriausiai atliko tik menką vaidmenį APT38 veikloje, kurios „dėmesys sutelktas į misiją vogti pinigus, reikalingus Šiaurės Korėjos režimui finansuoti“, aiškino S. Joyce.
Tyrėjai nurodė, kad APT38 naudojo labai įmantrias priemones, įskaitant apgaulingus elektroninius laiškus, siekdama užsitikrinti prieigą prie taikinių. Be to, grupė naudodavosi vadinamosiomis „girdyklomis“ (watering holes) – įsilaužėlių valdomais iš pažiūros įtarimo nekeliančiais tinklalapiais, pritaikytais paskleisti žalingas programas, leidžiančias atakų organizatoriams surinkti daugiau duomenų ir užsitikrinti prieigą.
Dalis šios schemos būdavo apgaulingos tapatybės, esą susijusios su gerai žinomomis nevyriausybinėmis organizacijomis ir fondais, pasitelkiamos pinigams vogti. Kai kuriais atvejais būdavo manipuliuojama tarptautine tarpbankinių atsiskaitymų sistema SWIFT.