Северокорейская хакерская группировка Kimsuky, атаковавшая в прошлом году российскую оборонку и промышленность, нацелилась на политологов и ученых, исследующих КНДР. Об этом пишет «Коммерсант» со ссылкой на компанию по кибербезопасности Proofpoint.
Начиная с января 2021 года Proofpoint практически еженедельно наблюдала попытки группировки похитить учетные данные лиц и организаций в госучреждениях и сферах, связанных с образованием и наукой, говорится в исследовании. Как правило, группировка рассылает фейковые письма от имени российских дипломатов, ученых, представителей МИД России и организаций, связанных с правами человека.
В качестве примера Proofpoint приводит пример письма на русском языке якобы от имени исполнительного директора Национального комитета по исследованию БРИКС Георгия Толорая. «С фальшивых адресов, открытых на мое имя, идет массовая рассылка», — подтвердил ученый «Коммерсанту». Он сообщил, что его подпись скопирована со старых писем, и отметил, что тексты в англоязычных рассылках в последнее время стали «совсем аутентичные, видно, привлекали носителей».
В письмах содержится ссылка, при переходе по которой всплывает окно для ввода логина и пароля. Если они будут введены, то хакеры получают учетные данные в открытом виде, поскольку используется незащищенный http-протокол, объяснил изданию директор по развитию бизнеса центра противодействия кибератакам Solar JSOC «Ростелеком-Солар» Алексей Павлов.
По мнению главы азиатской программы Московского центра Карнеги Александра Габуева, который также получал фишинговые письма от хакеров, для северокорейской разведки важно иметь источники, чтобы понимать, как в Москве видят имеющие отношение к КНДР сюжеты. «Они могут предполагать, что кто-то из экспертов общается с чиновниками, обсуждает эту тему в закрытых рассылках и так далее», — сказал он изданию.
Хакерские атаки Северной Кореи в мире воспринимают не менее серьезно, чем ее ядерные разработки: это две сильные стороны государства-изгоя. Считается, что киберармия КНДР начала формироваться еще во времена Ким Чен Ира, но только при его сыне Ким Чен Ыне о северокорейских хакерах заговорили за пределами экспертного сообщества. «КНДР использовала киберпространство для проведения всё более продвинутых атак с целью похитить деньги у финансовых организаций и криптовалютных бирж», — свидетельствует закрытый доклад ООН, попавший в распоряжение Reuters.
Всего таким образом Пхеньян получил около $2 млрд, которые пошли в том числе на финансирование разработки оружия массового поражения. Активность северокорейских хакеров зафиксировали в 17 странах, в основном их целью было получение прибыли.
Наиболее известной северокорейской группой является Lazarus. Именно они стоят за попыткой хищения из Центрального банка Бангладеш и компрометацией банков в Польше, выводом денег через систему SWIFT из банков Banco de Chile и Bancomext, атакой на межбанковскую сеть Redbanc и за многим другим. Расследование Bloomberg свидетельствует: северокорейские хакеры — такие же рабочие пчелы, как большинство их сограждан.
Так как к Интернету в Северной Корее подключено ничтожно малое число компьютеров, местным киберпреступникам на службе у государства приходится работать из-за рубежа, в основном — из Китая.