Северокорейские хакеры взламывают российских экспертов

Источник
Фишинговая рассылка приходит с фальшивых аккаунтов. 
Северокорейская хакерская группировка Kimsuky, которая в прошлом году атаковала российскую оборонку и промышленность, переключилась на экспертов в области внешней политики, связанных с Кореей. Группировка рассылает фейковые письма от имени известных в отрасли людей. Россия — один из важных участников дипломатических движений вокруг КНДР, поэтому для северокорейской разведки важно иметь доступ к закрытым рассылкам, полагают атакованные эксперты.

Хакерская группировка Kimsuky из Северной Кореи атакует российских ученых, экспертов в области внешней политики и неправительственные организации, которые занимаются теми или иными вопросами взаимодействия с КНДР, обнаружила американская компания по кибербезопасности Proofpoint.

“Ъ” ознакомился с исследованием компании, из которого следует, что хакеры рассылают экспертам по Корее фишинговые письма, составленные от лица известных в РФ экспертов.

В письмах содержится ссылка, при переходе по которой пользователь видит окно для ввода логина и пароля. Эта форма похожа на всплывающее окно Windows для запароленных сетевых ресурсов. Жертва по плану злоумышленников должна ввести свои учетные данные, объяснил директор по развитию бизнеса центра противодействия кибератакам Solar JSOC «Ростелеком-Солар» Алексей Павлов. Поскольку используется незащищенный http-протокол, хакеры получают учетные данные в открытом виде.

В исследовании Proofpoint приводится пример такого письма на русском языке якобы от имени исполнительного директора Национального комитета по исследованию БРИКС Георгия Толорая. «С фальшивых адресов, открытых на мое имя, идет массовая рассылка»,— подтвердил он “Ъ”, уточнив, что подпись скопирована со старых писем. В последнее время тексты в англоязычных рассылках стали «совсем аутентичные, видно, привлекали носителей», отметил господин Толорая: «Кампания широкая, некоторые наиболее известные мои коллеги тоже страдают». Фишинговые письма получал и глава азиатской программы Московского центра Карнеги Александр Габуев.

Специалисты Positive Technologies фиксировали атаки Kimsuky с применением корейской тематики в августе, говорит глава отдела исследования угроз компании Денис Кувшинов.

В августе американская Malwarebytes Labs сообщала об обнаружении зараженных вирусом документов на русском языке. Речь идет о файлах «Региональные экономические контакты дальневосточной России с корейскими государствами (2010-е годы)» и «23-е заседание межправительственной Российско-монгольской комиссии по торгово-экономической, научно-технической эксплуатации» (проходило в РФ в 2021 году). Компания считала, что за документами стоит группировка APT37, которую связывают с северокорейским правительством.

За последний год Kimsuky довольно активно вела «кибершпионские операции не только против Южной Кореи, но и стран, которые ее поддерживают», считают эксперты Group-IB. Тематические атаки группировка совершает с 2018 года, уточнил Денис Кувшинов. В 2020 году она атаковала российские военные и промышленные организации (см. “Ъ” от 19 октября 2020 года).

Целью атак является сбор данных, полагают в Proofpoint.

Велики риски, что Kimsuky попытается целенаправленно «пробивать» и добывать ценные документы у конкретных чиновников и сотрудников научно-исследовательских организаций, отмечает руководитель группы исследования сложных угроз Threat Intelligence Group-IB Анастасия Тихонова. Kimsuky может включать зараженные компьютеры в ботсеть или красть доступ к криптокошелькам, предупреждает Денис Кувшинов.

С момента саммитов Ким Чен Ына с Дональдом Трампом и визита первого в РФ в 2019 году вокруг КНДР происходит много дипломатических движений, и Россия — важный участник процесса, поясняет господин Габуев: «Разумеется, для северокорейской разведки важно иметь источники, чтобы понимать, как в Москве видят имеющие отношение к КНДР сюжеты. Они могут предполагать, что кто-то из экспертов общается с чиновниками, обсуждает эту тему в закрытых рассылках и так далее». Хакеры, по его мнению, пытаются получить доступ к ценной для аналитиков информации.
Персоны Компании
Телеграм-канал Компромат 2.0.: сообщения от 24.11.2021
Сообщения канала за 24 ноября 2021 года.
Телеграм-канал Горчица: сообщения от 23.11.2021
Сообщения канала за 23 ноября 2021 года.
Илья Сачков отпросился у Путина домой
Совладелец Group-IB Илья Сачков, арестованный по обвинению в госизмене, заявил, что он инженер, а не предатель, и попросил отпустить его из СИЗО под домашний арест.
Фальшивые QR-коды мошенники поставили на поток
Четвертая волна ковида стала для России наиболее смертельной. При этом мошенники развернули торговлю поддельными сертификатами. 
Торговцы смертью: Как в России устроен рынок поддельных сертификатов о вакцинации от CoViD-19
Четвертая волна ковида стала для России наиболее смертельной. Ежедневно заболевает почти 40 тысяч человек, умирает больше тысячи. При этом мошенники развернули торговлю фальшивыми QR-кодами
Минздрав поддал контрафакту ускорение
Борьба ведомства с курильщиками привела к еще большему росту незаконного оборота сигарет.
Вирус-шифровальщик заразил в три раза больше, чем год назад
Российские компании все больше платят хакерам.
Телеграм-канал Банкста: сообщения от 02.11.2021
Сообщения канала за 02 ноября 2021 года.
Европейский «COVID-паспорт» можно прикупить всего за 300 баксов
К каким последствиям может привести покупка фальшивых документов.
Телеграм-канал ВЧК ОГПУ: сообщения от 31.10.2021
Сообщения канала за 31 октября 2021 года.
Илью Сачкова оставили в «Лефортово»
Мосгорсуд отклонил жалобу на арест основателя Group-IB. 
Илье Сачкову не дают читать газеты в «Лефортово»
Арестованный основатель Group-IB пожаловался на условия в СИЗО.
Twitch слил всех, и русских стримеров тоже
После утечки данных стриминговой платформы Twitch хакер выложил на анонимном форуме исходный код сервиса, зашифрованные пароли пользователей, а также данные о выплатах стримерам. 
Илья Сачков все же изменил с родиной
Следствие подобрало обвинение для арестованного совладельца Group-IB.
Телеграм-канал Банкста: сообщения от 06.10.2021
Сообщения канала за 06 октября 2021 года.
Телеграм-канал Горчица: сообщения от 06.10.2021
Сообщения канала за 06 октября 2021 года.
Телеграм-канал ВЧК ОГПУ: сообщения от 06.10.2021
Сообщения канала за 06 октября 2021 года.
Совладелец Group-IB пока не думает уезжать из страны
28 сентября по подозрению в госизмене был арестован глава Group-IB Илья Сачков, и управление компанией перешло к его партнеру — Дмитрию Волкову.