Кибершпионов заинтересовала Северная Корея

Исследователи Cisco Talos сообщили об обнаружении нового зловреда, получившего наименование KONNI. Говоря точнее, новым он стал только для самих исследователей и широкой публики. Вообще же KONNI существует не менее трех лет и использовался как минимум в четырех кибершпионских операциях – по одному разу в 2014 и 2016 годах и уже дважды в 2017.

Зловред представляет собой троян удаленного доступа (RAT) с большим набором кибершпионских возможностей. Он распространяется преимущественно во вложениях к фишинговым сообщениям электронной почты и способен похищать и передавать на командные серверы файлы с инфицированных систем, делать снимки экрана, осуществлять клавиатурный шпионаж и исполнять произвольный код на компьютерах жертв. По словам специалистов Cisco Talos, создатели KONNI постоянно совершенствуют вредоносное ПО, дополняя его все новыми функциями.

Тот факт, что столь опасный зловред три года ускользал от внимания исследователей, объясняется, вероятнее всего, тем, что масштаб кибершпионских кампаний, в которых он использован, весьма ограничен. Судя по всему, тех, кто стоит за созданием и распространением KONNI, чрезвычайно интересует Северная Корея. Зловред атакует почти исключительно международные организации, дипломатические миссии и частных лиц, имеющих тесные связи с КНДР.