Найнебезпечніші хакери Північної Кореї атакували європейські оборонні компанії

Як працює схема обману та на кого полюють хакери?

Кібератаки, виявлені фахівцями компанії ESET наприкінці березня, були частиною довготривалої кампанії під назвою "Operation DreamJob". Суть цієї операції полягає в тому, що північнокорейські хакери видають себе за рекрутерів великих компаній (реальних або вигаданих) і звертаються до співробітників організацій, що їх цікавлять, з привабливими пропозиціями щодо роботи. Мета – змусити ціль завантажити шкідливі файли, які нададуть зловмисникам доступ до систем компанії. Раніше цю тактику вже застосовували проти фірм у сфері криптовалют, розробників програмного забезпечення, журналістів та оборонних підприємств, включно з аерокосмічною галуззю, пише 24 Канал з посиланням на Bleeping Computer.

Останні атаки були спрямовані на трьох європейських виробників у секторі оборони: металообробну фірму в Південно-Східній Європі, виробника деталей для літаків і оборонну компанію в Центральній Європі. Назви компаній не розкривають, але всі ці підприємства виробляють військове обладнання, яке їхні країни постачають в Україну як військову допомогу.

Дві з цих компаній безпосередньо пов'язані з розробкою технологій для безпілотних літальних апаратів. Одна з них виготовляє критично важливі компоненти для дронів, а інша, за наявними даними, займається розробкою програмного забезпечення для них.

• Аналіз ланцюжка зараження показав, що атака починалася із запуску жертвою модифікованої версії легітимної програми або плагіна з відкритим кодом. Серед таких програм були MuPDF viewer, Notepad++, плагіни для WinMerge, TightVNC Viewer та інші. Для завантаження шкідливого програмного забезпечення хакери використовували техніку DLL sideloading, яка дозволяє приховати зловмисну активність за допомогою вразливої, але легальної програми, зазначили в звіті ESET.
• На наступному етапі шкідливий код розшифровувався і завантажувався безпосередньо в оперативну пам'ять комп'ютера, що ускладнювало його виявлення антивірусами.
• Кінцевим елементом атаки був троян віддаленого доступу (RAT) під назвою ScoringMathTea. Ця програма встановлювала зв'язок з командно-контрольним сервером хакерів і чекала на подальші інструкції.

Остання версія цього трояна підтримує 40 команд, що дає зловмисникам широкі можливості: від виконання команд на зараженому комп'ютері до встановлення нового шкідливого ПЗ. За даними ESET, функціонал трояна дозволяє маніпулювати файлами та процесами, збирати інформацію про систему жертви, відкривати TCP-з'єднання та виконувати нові команди, завантажені з сервера.

Експерти зазначають, що попри неодноразове викриття тактик "Operation DreamJob", цей метод соціальної інженерії залишається ефективним інструментом для північнокорейських хакерів.

Інтерес до технологій БПЛА зростає з кожним днем, тому не дивно, що КНДР прагне створити власний арсенал безпілотників, "натхненний" західними розробками.

Що відомо про Lazarus Group?

Угруповання Lazarus (також відоме як APT38, Hidden Cobra та Guardians of Peace) — це елітна група хакерів, яку спонсорує уряд Північної Кореї. Вважається, що вона діє щонайменше з 2009 року і несе відповідальність за низку масштабних кібератак, спрямованих на фінансові установи, криптовалютні біржі та урядові структури по всьому світу.​

Основною метою угруповання є генерація незаконних доходів для фінансування північнокорейського режиму, зокрема його ядерної та ракетної програм, в обхід міжнародних санкцій. За даними аналітиків, з 2017 року Lazarus Group вкрала з криптовалютної індустрії близько 6 мільярдів доларів. У самій Північній Кореї, за словами перебіжчика, підрозділ відомий як "Бюро 414".

Lazarus використовує різноманітні та складні методи для досягнення своїх цілей. Їхні операції часто поєднують технічну майстерність із методами соціальної інженерії.

Дослідники зазначають, що Lazarus складається з кількох команд різного рівня кваліфікації. Вони діють методично, але водночас більш безрозсудно, ніж інші державні хакерські групи, оскільки не бояться покарання з боку власного уряду.

Угруповання Lazarus несе відповідальність за одні з найзухваліших кіберпограбувань в історії. Ось хронологія їхніх основних атак:

• 2009, Operation Troy. Перша велика атака, що використала методи DDoS проти сайтів у США та Південній Кореї.​

• 2013, DarkSeoul. Атака на три південнокорейські компанії, фінансові установи та інтернет-провайдера, під час якої було використано шкідливе ПЗ для знищення даних.​

• 2016, пограбування банку в Бангладеш. Одна з найвідоміших операцій, під час якої хакери спробували викрасти майже 1 мільярд доларів з Центрального банку Бангладеш. Їм вдалося вивести 101 мільйон, перш ніж транзакції були зупинені.​

• 2022, злам Ronin Bridge. Lazarus викрали криптовалюту на суму 625 мільйонів доларів, що стало одним із найбільших пограбувань у криптоіндустрії.​

• 2024, хвиля атак на криптобіржі. Протягом року група здійснила кілька великих зламів, зокрема індійської біржі WazirX (235 мільйонів доларів) та японської DMM Bitcoin (308 мільйонів доларів).​

• 2025, атака на Bybit. У лютому 2025 року хакери здійснили успішну атаку на криптовалютну біржу Bybit, викравши 1,5 мільярда доларів.​

Останніми роками група активізувала кампанії, націлені на розробників Web3 та співробітників організацій, пов'язаних з ядерною енергетикою, що свідчить про розширення їхніх інтересів і можливостей.