Власти США и Южной Кореи выпустили предупреждение об активности северокорейской хак-группы Kimsuky (она же APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Thallium, Nickel Kimball и Velvet Chollima). Злоумышленники атакуют медиа-организации, аналитические и исследовательские центры, а также научные учреждения, выдавая себя за журналистов и ученых.
Совместное заявление было подготовлено ФБР, Государственным департаментом США, АНБ, а также Национальной разведывательной службой Южной Кореи, Национальным полицейским управлением и Министерством иностранных дел страны.
«Некоторые целевые организации могут не принимать во внимание угрозу, исходящую от этих кампаний с использованием социальной инженерии, либо не считая свои исследования и коммуникации конфиденциальными, либо не зная о том, что эти кампании подпитывают кибершпионаж в целом, — пишут эксперты. — Однако Северная Корея в значительной степени полагается на разведданные, полученные в ходе этих фишинговых кампаний, <…> а успешные компрометации позволяют Kimsuky создавать более надежные и эффективные электронные письма для целевого фишинга, которые затем можно использовать против более серьезных и важных целей».
Предупреждение гласит, что Kimsuky тщательно планируют свои фишинговые атаки, используя email-адреса, похожие на адреса реальных людей, и создавая убедительный, реалистичный контент для установления связи со своей целью.
Так, во многих случаях хакеры выдавали себя за журналистов и писателей, которые якобы стремятся лучше разобраться в текущих политических событиях на Корейском полуострове, северокорейской оружейной программе, переговорах с США, позиции Китая и многом другом.
Фишинговые письма зачастую замаскированы под приглашения на интервью, опросы, а также запросы на получение отчетов или ознакомление с документами. Первые письма обычно вообще не содержат малвари или каких-либо вложений, поскольку их цель — завоевание доверия жертвы, а не быстрый взлом.
ФБР отмечает, что, несмотря на все усилия хакеров, в письмах на английском языке порой прослеживается характерная структура, а также они могут содержать целые выдержки из предыдущего общения жертвы с легитимными контактами, которые ранее были украдены. Кроме того, адреса, используемые для отправки фишинговых писем, имитируют адреса реальных людей и организаций, но почти всегда содержат малозаметные «опечатки».
Следует отметить, что на прошлой неделе Южная Корея ввела новые санкции против членов Kimsuky, так как они предположительно причастны к недавнему запуску Северной Кореей спутника-шпиона. Сам запуск закончился неудачей: ракета-носитель и полезная нагрузка упали в море.
Согласно заявлению южнокорейских властей, участники Kimsuky прямо или косвенно участвовали в разработке спутника, «похищая передовые технологии из области разработки оружия, спутников и космической отрасли».
