Kimsuky позорные

Северокорейские хакеры атакуют российскую оборонку

Хакерская группировка Kimsuky из Северной Кореи атакует военные и промышленные организации в России, предупреждают компании по кибербезопасности. Весной она в попытке сбора конфиденциальной информации из аэрокосмических и оборонных компаний использовала тематику пандемии и рассылала мошеннические письма с данными о вакансиях. В «Ростехе», чьи структуры тоже могли подвергнуться атакам, подтвердили рост кибератак в последние полгода, но большинство из них были некачественно подготовлены.

Фото: Reuters

Фото: Reuters

Северокорейская хакерская группировка Kimsuky заинтересовалась военными и промышленными организациями в России, рассказали “Ъ” эксперты по кибербезопасности. Весной хакеры воспользовались пандемией и проводили вредоносные рассылки, в том числе через социальные сети, для получения конфиденциальной информации из аэрокосмических и оборонных компаний, говорит руководитель отдела исследования сложных угроз Group-IB Анастасия Тихонова.

По данным Telegram-канала SecAtor, в апреле 2020 года Kimsuky атаковали «Ростех».

В «РТ-Информ» (дочерняя компания госкорпорации «Ростех», которая занимается информационной безопасностью) не подтвердили и не опровергли эту информацию, отметив увеличение количества инцидентов и кибератак на информационные ресурсы корпорации и ее организаций в период с апреля по сентябрь. Большинство атак были некачественно подготовлены и не несли существенной угрозы при их воздействии, однако это могло быть только подготовкой, «прощупыванием почвы» для нанесения более серьезного удара по информационной системе корпорации, полагают в компании. Группировка Kimsuky — «коллеги» северокорейской Lazarus по кибершпионажу (о всплеске атак Lazarus в России “Ъ” сообщал 23 июля).

Kimsuky известна под именами Velvet Chollima, Black Banshee, и начиная с 2010 года она активно атаковала объекты на территории Южной Кореи, но позже расширила географию атак, указывает Анастасия Тихонова.

По ее словам, Kimsuky предположительно атаковала военные организации в сфере производства артиллерийской техники и бронетехники в России, Украине, Словакии, Турции и Южной Корее.

Судя по доступным в интернете документам, в атаках использовался целенаправленный фишинг (мошеннические рассылки). Например, при атаке на турецкого производителя военной техники хакеры даже создали поддельную страницу авторизации в почтовом сервисе Outlook, которым пользовались сотрудники данной компании, чтобы получить их данные для входа в рабочую почту, указывает госпожа Тихонова.

Некоторые документы-приманки группировок, которые принято относить к Северной Корее, стали содержать данные о вакансиях в аэрокосмической и оборонной отраслях, что позволяет предположить, что промышленный шпионаж также вошел в сферу интересов этих групп, отмечает эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо. Если раньше подобные группировки занимались кибершпионажем, связанным с политикой, или коммерческими проектами (например, атакуя криптобиржи), то сейчас добавились новые цели, отмечает он.

Большинство целевых для этой группировки организаций находились в США и Южной Корее, уточняет ведущий специалист группы исследования угроз экспертного центра безопасности Positive Technologies (PT Expert Security Center) Денис Кувшинов. С точки зрения техник тактика и используемый инструментарий Kimsuky имеет пересечения с группами Lazarus и Konni, добавляет он.

Среди самых масштабных атак Kimsuky — взлом сети южнокорейского оператора 23 ядерных реакторов в 2014 году, в ходе которого группировка украла конфиденциальные документы и выкладывала их в Twitter-аккаунте «борцов с ядерной энергетикой с Гавайских островов».

В 2018–2019 годах Kimsuky атаковали американские исследовательские институты, специализирующиеся на вопросах денуклеаризации, и компании, связанные с криптовалютами. Подобное смешивание кибершпионажа и коммерческого взлома свойственно северокорейским группировкам, которые испытывают затруднения с финансированием, отмечается в Telegram-канале SecAtor. В марте-апреле Kimsuky атаковали Gmail-аккаунты сотрудников Совбеза ООН, сообщало американское издание ZDNet 30 сентября.

Юлия Степанова

Картина дня

Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...