AlienVault отмечает некоторые противоречивые характеристики во вредоносном ПО, что затрудняет выяснение его автора, цели и вероятных изменений. В своем докладе исследователь сообщил: «Неясно, что мы видим: или ранний тест вероятной атаки или просто процесс майнинга, когда владельцы оборудования предупреждены о происходящем. С одной стороны, образец содержит сообщения, созданные для отладки, которые избегал бы злоумышленник. Но он также содержит поддельные имена файлов, которые являются попыткой избежать обнаружения установленного программного обеспечения для майнинга».
Отмечая "необычайно легко вычисляемый" предполагаемый университет-получатель, возможно, что автор не из КНДР или получатель средств на самом деле совсем не тот, что кажется.
Отчет AlienVault рассматривает возможные сценарии: «В настоящее время адрес хоста barjuok.ryongnamsan.edu.kp. не открывается. Это означает, что в большинстве сетей программное обеспечение не может отправлять намайненную криптовалюту авторам. Возможно, что: приложение предназначено для работы в другой сети, например, в самом университете; используемый адрес больше не существует; использование северокорейского сервера - трюк, чтобы обмануть исследователей безопасности».
AlienVault также отмечает, что, если все-таки правительство Северной Кореи ответственно за операцию, то это может стать частью перехода на использование криптовалюты для «обеспечения финансовой сферы» в свете санкций против страны.
В конце декабря генеральный директор американской компании по кибербезопасности Crowdstrike сообщил журналистам, что правительство Северной Кореи похищает и хранит криптовалюту.
Уникальность
Перевод специально для MMGP.COM
