Хакерская группировка из Северной Кореи атаковала российских учёных и экспертов в области внешней политики
Специалисты считают, что цель атак — получить доступ к закрытым сведениям о взаимодействии с КНДР.
Хакеры из северокорейской группировки Kimsuky рассылают фишинговые письма от имени известных в России экспертов по КНДР. В них содержится ссылка, при переходе по которой всплывает форма для ввода пароля и логина — похожую использует Windows для запароленных ресурсов. Об этом сообщает «Коммерсантъ» со ссылкой на доклад американской компании по кибербезопасности Proofpoint.
Директор по развитию бизнеса центра противодействия кибератакам Solar JSOC «Ростелеком-Солар» Алексей Павлов объяснил, что по предположению хакеров жертва должна ввести свои учётные данные. Они получат их в открытом виде, так как используется незащищённый http-протокол.
Одна из рассылок подписана именем директора Национального комитета по исследованию БРИКС Георгия Толорая. Он сообщил, что хакеры использовали подпись со старых писем. Среди тех, кто получал фишинговые письма, — глава азиатской программы Московского центра Карнеги Александр Габуев.
С фальшивых адресов, открытых на моё имя, идёт массовая рассылка. Кампания широкая, некоторые наиболее известные мои коллеги тоже страдают.
Георгий Толорай
директор Национального комитета по исследованию БРИКС
Опрошенные «Коммерсантом» эксперты считают, что цель таких атак — собрать разведданные, как Москва видит отношения с КНДР. Руководитель группы исследования сложных угроз Group-IB Анастасия Тихонова отметила, что Kimsuky будет «пробивать» данные конкретных чиновников и сотрудников научно-исследовательских организаций.
Габуев сообщил, что хакеры пытаются получить доступ к важной для аналитиков информации. «Они могут предполагать, что кто-то из экспертов общается с чиновниками, обсуждает эту тему в закрытых рассылках и так далее», — отметил он.
Как сообщают в самом докладе, цель атак до конца неизвестна. Хакеры также рассылали фишинговые письма в Южной Корее, Китае и странах Северной Америки.
Весной 2020 года хакеры из Kimsuky атаковали военные и промышленные организации в России, среди которых оказался «Ростех». Это было первым случаем, когда группировка пыталась получить данные не с объектов в Южной Корее.
Ответить с цитированием