KONNI backdoor
Az év elején a DCSO megfigyelt egy érdekes kártevőprogram-mintát, amelyet először 2024. január közepén töltöttek fel a VirusTotalra, és amelyről úgy véljük, hogy az orosz külügyminisztériumot célzó, Észak-Koreához köthető tevékenység része.
Úgy tűnik, hogy maga a rosszindulatú szoftver a KONNI, egy észak-koreai (KNDK) nexus eszköz, amelyet feltehetően már 2014 óta használnak. A KONNI használatát az orosz külügyminisztériumot Ministry of Foreign Affairs (MID) célzó, nagyon hasonló tevékenységben már korábban is megfigyelték különböző kutatók egy 2021-es kampányban.
Talán még érdekesebb azonban, hogy a mintát egy hátsó ajtóval ellátott orosz nyelvű szoftver telepítőjébe csomagolták. Ez egy olyan KONNI-szállítási technika, amelyet már korábban is megfigyeltenk: egy 2023-as mintát a nyilvánosan elérhető orosz állami adónyilvántartó szoftver, a Spravki BK (Справки БК) backdoor telepítőjén keresztül juttatak célba.
Ebben a kampányban a backdoor telepítő a Statistika KZU (Cтатистика КЗУ) nevű eszközhöz készült. Bár a kutatók nem találtak nyilvános hivatkozásokat az eszközre, a telepítési útvonalak, a fájl metaadatok és a telepítőhöz csatolt felhasználói kézikönyvek alapján azt gyanítják, hogy a szoftvert az orosz Külügyminisztérium (MID) belső használatára szánták, különösen a tengerentúli konzuli képviseletek éves jelentésfájljainak (КЗУ – консульские загранучреждения) biztonságos csatornán keresztül történő továbbítására a MID konzuli osztályára.
Amint azt a szakértők megjegyezték, a KNDK és Oroszország közötti úgynevezett vörös a vörösben tevékenység nyilvános feltárása és megvitatása az alapvető láthatósági korlátok miatt szükségszerűen korlátozott marad. A VirusTotal feltöltési dátumát figyelembe véve ez a megállapítás azt jelzi, hogy 2024 elejétől kezdve az ilyen tevékenység legalábbis továbbra is él és virul.
A megállapítás legérdekesebb aspektusa valószínűleg egy olyan hátsó ajtón keresztül telepített szoftver telepítésének kísérlete, amely kifejezetten az orosz külügyminisztérium belső használatára szánt eszköz, vagy annak álcázza magát. Akár törvényes, akár nem, a hátsó ajtón keresztül történő telepítés önmagában is a MID elleni rendkívül specifikus célzott támadásra utal a Statistika KZU bejelentett felhasználási célja miatt. Ez a tevékenység összhangban van a KONNI korábbi telepítésével, amely szintén kifejezetten a MID-et és annak személyzetét célozta meg.
Ez azt is jelzi, hogy a KNDK-nak a MID ellen irányuló, rendkívül specifikus célpontjai a jelek szerint a KNDK és Oroszország közelmúltbeli növekvő stratégiai közeledése ellenére is folytatódtak, összhangban a KNDK egyéb, stratégiai szempontból érzékeny orosz kormányzati és gazdasági szektorokat célzó fenyegető tevékenységével. Bizonyos mértékig ez nem meglepő; a növekvő stratégiai közelség várhatóan nem fogja teljesen felülírni a KNDK eddigi gyűjtési igényeit, és a KNDK-nak továbbra is szüksége van arra, hogy értékelni és ellenőrizni tudja az orosz külpolitikai tervezést és célkitűzéseket.