Эксперты по компьютерной безопасности из фирмы FireEye пришли к выводу, что хакеры из Северной Кореи использовали "уязвимость нулевого дня" в текстовом ПО, чтобы взломать серверы правительства Южной Кореи. Злоумышленники нашли уязвимость в программе, популярной среди высших чиновников Сеула, и взломали её до экстренного патча. Через офисное ПО Hangul они получили доступ к десяткам тысяч отчетов и других документов, доступных южнокорейскому правительству.
Вычислить место, из которого была организована атака, очень сложно. Но FireEye уверяет, что использованная инфраструктура указывает на одно из хакерских подразделений Северной Кореи. Злоумышленники использовали специфический бэкдор Hangman, способный принимать и отсылать зашифрованные файлы, скрытно собирая данные в системе. Такой же бэкдор был применен подчиненными Ким Чен Ына в июньском взломе, получившем кодовое имя Macktruck. Также остатки кода из Hangman был найден в другом бэкдоре – PeachPit – ответственность за создание которого аналогично возлагается на северных корейцев. Всё это указывает на одного виновника.
Вероятно, оба вредоносных кода были написаны специальным "Бюро 121". Оно отвечает за северокорейские секретные военно-кибернетические операции. Кодовое имя впервые стало известно общественности в декабре 2014, когда была взломана компьютерная сеть компании Sony Pictures. Тогда КНДР потребовала, чтобы Sony не показывала фильм "Интервью", высмеивающий Ким Чен Ына. Агентство Reuters провело расследование и выяснило, что за атакой стоит эта организация.
В "Бюро 121" работает около 1800 человек, и его ячейки расположены по всему миру. Подразделение, наполненное самыми умными IT-специалистами в стране, является частью большого конгломерата, организовывающего слежку за "врагами" КНДР. Хакеры, стоявшие за десятками последних взломов серверов и сетей, считаются элитой среди северокорейских военных и героями своей страны.
