Киберпреступники используют социальную инженерию, чтобы плотно втереться в доверие к жертвам.
Спецслужбы США и Южной Кореи предупреждают о кибератаках, которые совершают северокорейские хакеры против аналитических центров, учебных заведений и СМИ, занимающихся вопросами КНДР. За атаками стоит группа Kimsuky, также известная как APT43, Black Banshee и Velvet Chollima.
«Северная Корея сильно зависит от разведывательной информации, полученной из этих специализированных рассылок», — заявил Роб Джойс, директор по кибербезопасности NSA. Он добавил, что хакеры «имитируют легитимные источники, чтобы собирать информацию о геополитических событиях, стратегиях внешней политики и развитии безопасности, которые интересуют КНДР на Корейском полуострове».
Целью Kimsuky является получение незаконного доступа к разведданным и прочей ценной геополитической информации для северокорейского правительства. Группа активна с 2012 года и подчиняется Главному разведывательному управлению КНДР.
Основным методом Kimsuky в последних атаках является социальная инженерия, в частности, специализированные фишинговые рассылки. Хакеры выдавали себя за журналистов, учёных, исследователей или чиновников, работающих по вопросам Северной Кореи, путём создания электронных адресов, похожих на адреса реальных людей.
Хакеры также использовали поддельные версии настоящих сайтов или приложений для кражи логинов и паролей жертв. После этого злоумышленники заражали целевые компьютеры вредоносными программами, такими как BabyShark, дающими необходимый доступ, а также возможность пересылать все письма из почтового ящика жертвы на свой контролируемый адрес.
Данные о жертвах и индикаторах атак Kimsuky
Предупреждение следует за недавними санкциями , наложенными Министерством финансов США на четыре организации и одного человека, которые занимаются злонамеренными действиями в киберпространстве, а также схемами сбора средств, направленными на поддержку стратегических приоритетов Северной Кореи.
Спецслужбы США и Южной Кореи рекомендуют обращать внимание на описанные выше признаки вредоносных действий Kimsuky и с особой бдительностью реагировать на электронные письма с непроверенным отправителем. Ведомства советуют не открывать любые подозрительные документы из облачных хранилищ и вложений к письму. А если документ выглядит легитимным, то стоит всё равно перестраховаться — не включать макросы и прочее активное содержимое, если это вдруг потребовалось после открытия документа.
Ладно, не доказали. Но мы работаем над этим