Исследователи информационной безопасности из FireEye Джосайя Кимбл и Цзян Гэньвэй рассказали о том, что хакеры из Северной Кореи используют уязвимость нулевого дня в текстовом процессоре, популярном у правительства Южной Кореи. Это было зафиксировано экспертами после выхода обновления, которое исправляет уязвимость в Hangul Word Processor.
Определить источник кибератак максимально точно не представляется возможным, но работа преступников имеет сходство с методами хакеров из Северной Кореи. Злоумышленники пользуются бэкдором Hangman, позволяющим осуществлять отправку и прием зашифрованных файлов и команд. Как выяснилось из анализа Hangman, бэкдор связан с командно-контрольной инфраструктурой, использованной кибератаки Macktruck, которая была проведена северокорейскими хакерами. Кроме того, часть исходного кода Hangman была найдена в бэкдоре PeachPit, также применяемом хакерами из КНДР.
По мнению исследователей, Hangman и Macktruck являются разработко одних и тех же или связанных хакеров. Под ударом злоумышленников находятся сеульские правительственные системы, применяющие Hangul. Власти КНДР неоднократно подозревали в финансовой поддержке хакерских группировок. Именно эту страну называют причастной к кибернападению против Sony Pictures.
В августе этого года крупная южнокорейская электростанция подверглась атаке с применением вируса, который удаляет информацию для загрузки операционной системы, которая располагается в первых секторах жесткого диска. Как заявляют эксперты, вредоносное программное обеспечение заразило целевые системы, используя уязвимость в Hangul Word Processor.