Хакеры из DarkHotel APT переключились на политиков Северной Кореи

Хакерская группировка DarkHotel перешла на новый уровень кибершпионажа, заразив компьютеры корейских политиков.

Хакерская группировка DarkHotel хорошо известна из-за взлома Wi-Fi сетей в дорогих отелях и шпионажа за руководителями крупных компаний. Впервые о DarkHotel заговорили в ноябре 2014 года, после отчета Лаборатории Каперского о целенаправленных атаках в Азии. В арсенале хакеров присутствовали инструменты для взлома Wi-Fi сетей, несколько эксплоитов для уязвимостей нулевого дня, а также P2P web-сайты. Примерно через год группировка начала использовать новую технологию взлома и эксплоит из набора Hacking Team.

Согласно отчету Bitdefender, хакеры из DarkHotel APT вышли на политическую арену. В сентябре 2016 года аналитики Bitdefender получили доступ к образцу вредоноса, доставляемого жертве посредством фишинговой рассылки. Целенаправленная атака получила название Inexmar.

Исследователи полагают, что целями в данной APT-кампании были политики из Северной Кореи. Фишинговое письмо содержало файл с названием “Pyongyang e-mail lists — September 2016,”, содержащее список email-адресов и контактов различных организаций в столице Северной Кореи. После попадания на систему, вредонос маскировался под библиотеку OpenSSL и подключался к C&C серверу для получения дальнейших указаний. Если зараженная система не соответствовала требованиям вредоноса, атака останавливалась. В противном случае с C&C сервера скачивалось дополнительное ПО. На момент анализа атаки, C&C сервер был отключен, поэтому исследователям не удалось выяснить подробности атаки и предположенные цели.

По мнению экспертов, подобного рода атаки не совсем характерны для группировки DarkHotel.

С подробным отчетом Bitdefender можно ознакомиться здесь .