LinkedIn, GitHub и фатальная неосторожность — как поймали хакеров, связанных с КНДР

Хакеры из Северной Кореи считаются одними из самых опасных в мире. Но даже у них бывают провалы — и иногда настолько грубые, что их ловят по собственной неосторожности. Группировка Lazarus Group, связанная с властями КНДР, допустила несколько серьёзных ошибок в операционной безопасности, которые позволили аналитикам раскрыть их методы и даже местоположение.

Роковая небрежность: хакер без VPN и китайский след

Один из участников Lazarus Group совершил непростительную для профессионала ошибку — не использовал VPN при выходе в сеть. Это позволило исследователям из BitMEX вычислить его реальное местоположение — городской округ Цзясин в Китае.

Как это произошло? Всё началось с LinkedIn. Хакер связался с сотрудником компании под предлогом сотрудничества в сфере NFT, а затем попытался заставить его запустить вредоносный код через GitHub. Этот метод — фишинг через соцсети — стал визитной карточкой Lazarus Group. Но в этот раз что-то пошло не так.

"Мы обнаружили, что один из злоумышленников работал без VPN, что позволило нам установить его реальный IP-адрес", — сообщили в BitMEX.

Базы данных, алгоритмы и странные просчёты

Помимо утечки местоположения, аналитики получили доступ к платформе Supabase, которую хакеры использовали для управления базами данных. Там обнаружились:

Алгоритмы отслеживания, применяемые группировкой.
Связь между разными членами команды - от низкоквалифицированных социнженеров до опытных взломщиков.

Исследователи предположили, что внутри Lazarus Group есть подгруппы с разным уровнем подготовки. Одни занимаются фишингом и социальной инженерией, другие ищут уязвимости в коде. И если вторые работают аккуратно, то первые иногда допускают ошибки уровня дилетантов.