Американские эксперты по информационной безопасности обнаружили атаки предположительно северокорейских хакеров на сотрудников МИД России. В декабре хакеры разослали новогоднее поздравление с вредоносным файлом с почты одного из сотрудников министерства, скомпрометированной в ходе предыдущих атак. Если за атаками действительно стоит КНДР, отмечают эксперты, их могли спровоцировать декабрьские предложения РФ к США и НАТО о моратории на размещение ракет средней и меньшей дальности в Европе.
Фото: Виктор Агаев, Коммерсантъ
Фото: Виктор Агаев, Коммерсантъ
“Ъ” ознакомился с исследованиями американских компаний по кибербезопасности Cluster25 (входит в DuskRise Inc.) и Black Lotus Labs (входит в Lumen Technologies), в которых сказано об атаках предположительно северокорейской хакерской группировки Konni на российский дипломатический сектор в преддверии новогодних праздников.
По данным Black Lotus Labs, в октябре началась фишинговая кампания, нацеленная на сотрудников МИДа: им были разосланы архивы с документами, в которых предлагалось предоставить информацию о статусе вакцинации, или ссылки на загрузку поддельной «Программы для регистрации привитых в федеральном регистре вакцинированных». В результате оказалась скомпрометирована учетная запись одного из сотрудников МИДа (mshhlystova@mid.ru), с которой 20 декабря хакеры отправили фишинговое письмо замминистра, курирующему нераспространение и контроль над вооружениями, Сергею Рябкову на адрес SRyabkov@mid.ru, написано в исследовании. Этот адрес принадлежит секретариату замминистра, указано на сайте министерства. “Ъ” направил запрос в МИД.
Письмо с зараженным трояном архивом «поздравление.zip» 20 декабря направлено и посольству РФ в Индонезии якобы от посольства в Сербии, отметили в Cluster25. В Black Lotus Labs уточнили, что определили двух получателей рассылки, но их наверняка больше.
Это продолжение кампании, которая началась в августе: тогда хакеры рассылали зараженные вирусом документы на русском языке по корейской тематике, а в ноябре — письма от имени российских экспертов, которые занимаются вопросами взаимодействия с КНДР (см. “Ъ” от 23 ноября 2021 года).
Исследователи могли получить примеры писем с сервиса VirusTotal (VT), который анализирует подозрительные файлы,— туда было загружено письмо хакеров в день атаки 20 декабря, говорит руководитель группы исследования угроз Group-IB Анастасия Тихонова. В результате, пояснила она, индикаторы компрометации стали доступны вендорам по безопасности, что позволило защитить от угрозы другие организации.
400 миллионов долларов
заработала северокорейская хакерская группировка Lazarus за 2021 год, по оценке Chainalysis
Атака была направлена на сотрудников, которые взаимодействуют с Индонезией, либо тех, кто отвечает за отношения с США, отметила госпожа Тихонова: «Хакеры из Северной Кореи могли быть недовольны итогами встречи представителей США и Южной Кореи осенью 2021 года в Джакарте по теме возвращения КНДР за стол переговоров, и возможно, хотели бы быть в курсе переписки участников встречи».
У МИДа много документов, интересных любой разведке, полагает глава азиатской программы Московского центра Карнеги Александр Габуев.
По его словам, если за атаками действительно стоит КНДР, их могли спровоцировать предложения России к США и НАТО в декабре, которые затрагивают, в частности, вопрос моратория на размещение ракет средней и меньшей дальности в Европе: «Для КНДР все это представляет живейший интерес, поскольку вооруженные силы России и США находятся в непосредственной близости от северокорейской территории».
Атаки группы Konni (APT37) известны с 2017 года, и группа уже использовала документы, связанные с отношениями России и КНДР, причем тексты брала из публичных источников, отметил руководитель отдела исследования угроз Positive Technologies Денис Кувшинов. Из ее тактик эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо выделяет рассылку поврежденного pdf-файла, который получатель не сможет открыть, и в ответ на его обращение злоумышленники под видом ридера направляют программу с вирусом.