Поддерживаемые государством северокорейские хакеры, по видимости, сотрудничают с восточноевропейскими киберпреступниками, выяснила компания SentinelOne.
Согласно опубликованному в среду докладу компании, хакерская группировка Lazarus Group, которую американские судебные власти обвиняют в организации утечки электронной переписки компании Sony Pictures и краже миллионов долларов из Центрального банка Бангладеш, получила доступ к некоторым из своих жертв благодаря банде киберпреступников под названием TrickBot.
Как отмечает Виталий Кремез из SentinelOne, Lazarus сотрудничает с «самой искушенной и изобретательной российской бот-сетью».
Ранее уже отмечались признаки возможного сотрудничества между Lazarus и TrickBot. Так, в апреле исследователь из BAE рассказала о теории, что киберпреступники продают Lazarus доступ к скомпрометированным организациям.
В июле подразделение японской телекоммуникационной компании NTT, специализирующееся на кибербезопасности, выдвинуло предположение, что Северная Корея может сотрудничать с хакерами из Lazarus и TrickBot.
Кремез заявляет, что ему удалось найти доказательства этой связи. TrickBot контактировала с сервером Lazarus всего за несколько часов до того, как этот сервер использовали для взлома чилийской межбанковской системы ранее в этом году. Власти США также возлагают ответственность за этот взлом на Северную Корею.
По словам Кремеза, TrickBot, скорее всего, сдает свои сервисы в аренду северокорейцам или работает на комиссии.
Эту точку зрения разделяет и Ассаф Дахан из бостонской компании Cybereason, которая в среду публикует собственный доклад о деятельности Trickbot. Ознакомившись с материалами SentilOne, он счел выводы компании достоверными. Он также убежден, что киберпреступникам известно, что они имеют дело с северокорейским правительством. «Волнует ли их это – другой вопрос», – отмечает он.