Хакеры из КНДР атаковали оборонные предприятия России
Хакерская группировка Kimsuky из Северной Кореи атакует военные и промышленные организации в России, передает zakon.kz со ссылкой на "Коммерсант".
Весной хакеры воспользовались пандемией и проводили вредоносные рассылки, в том числе через социальные сети, для получения конфиденциальной информации из аэрокосмических и оборонных компаний, говорит руководитель отдела исследования сложных угроз Group-IB Анастасия Тихонова.
По данным Telegram-канала SecAtor, в апреле 2020 года Kimsuky атаковали "Ростех". В "РТ-Информ" (дочерняя компания госкорпорации "Ростех", которая занимается информационной безопасностью) не подтвердили и не опровергли эту информацию, отметив увеличение количества инцидентов и кибератак на информационные ресурсы корпорации и ее организаций в период с апреля по сентябрь. Большинство атак были некачественно подготовлены и не несли существенной угрозы при их воздействии, однако это могло быть только подготовкой, "прощупыванием почвы" для нанесения более серьезного удара по информационной системе корпорации, полагают в компании. Группировка Kimsuky — "коллеги" северокорейской Lazarus по кибершпионажу.
Kimsuky известна под именами Velvet Chollima, Black Banshee, и начиная с 2010 года она активно атаковала объекты на территории Южной Кореи, но позже расширила географию атак, указывает Анастасия Тихонова. По ее словам, Kimsuky предположительно атаковала военные организации в сфере производства артиллерийской техники и бронетехники в России, Украине, Словакии, Турции и Южной Корее. Судя по доступным в интернете документам, в атаках использовался целенаправленный фишинг (мошеннические рассылки). Например, при атаке на турецкого производителя военной техники хакеры даже создали поддельную страницу авторизации в почтовом сервисе Outlook, которым пользовались сотрудники данной компании, чтобы получить их данные для входа в рабочую почту, указывает госпожа Тихонова.
Некоторые документы-приманки группировок, которые принято относить к Северной Корее, стали содержать данные о вакансиях в аэрокосмической и оборонной отраслях, что позволяет предположить, что промышленный шпионаж также вошел в сферу интересов этих групп, отмечает эксперт по кибербезопасности "Лаборатории Касперского" Денис Легезо. Если раньше подобные группировки занимались кибершпионажем, связанным с политикой, или коммерческими проектами (например, атакуя криптобиржи), то сейчас добавились новые цели, отмечает он.
Большинство целевых для этой группировки организаций находились в США и Южной Корее, уточняет ведущий специалист группы исследования угроз экспертного центра безопасности Positive Technologies (PT Expert Security Center) Денис Кувшинов. С точки зрения техник тактика и используемый инструментарий Kimsuky имеет пересечения с группами Lazarus и Konni, добавляет он.
Среди самых масштабных атак Kimsuky — взлом сети южнокорейского оператора 23 ядерных реакторов в 2014 году, в ходе которого группировка украла конфиденциальные документы и выкладывала их в Twitter-аккаунте "борцов с ядерной энергетикой с Гавайских островов". В 2018–2019 годах Kimsuky атаковали американские исследовательские институты, специализирующиеся на вопросах денуклеаризации, и компании, связанные с криптовалютами. Подобное смешивание кибершпионажа и коммерческого взлома свойственно северокорейским группировкам, которые испытывают затруднения с финансированием, отмечается в Telegram-канале SecAtor. В марте-апреле Kimsuky атаковали Gmail-аккаунты сотрудников Совбеза ООН, сообщало американское издание ZDNet 30 сентября.