Взлом по науке

Российские ученые и эксперты, работающие в оборонке и промышленности, оказались бессильны перед северокорейской хакерской группировки Kimsuky

Взлом по науке

Северокорейская хакерская группировка Kimsuky, которая в прошлом году атаковала российскую оборонку и промышленность, переключилась на экспертов в области внешней политики, связанных с Кореей. Группировка рассылает фейковые письма от имени известных в отрасли людей. Россия — один из важных участников дипломатических движений вокруг КНДР, поэтому для северокорейской разведки важно иметь доступ к закрытым рассылкам, полагают атакованные эксперты.

Хакерская группировка Kimsuky, предположительно из Северной Кореи, атакует российских ученых, экспертов в области внешней политики и неправительственные организации, которые занимаются теми или иными вопросами взаимодействия с КНДР, обнаружила американская компания по кибербезопасности Proofpoint.

“Ъ” ознакомился с исследованием компании, из которого следует, что хакеры рассылают экспертам по Корее фишинговые письма, составленные от лица известных в РФ экспертов.

В письмах содержится ссылка, при переходе по которой пользователь видит окно для ввода логина и пароля. Эта форма похожа на всплывающее окно Windows для запароленных сетевых ресурсов. Жертва по плану злоумышленников должна ввести свои учетные данные, объяснил директор по развитию бизнеса центра противодействия кибератакам Solar JSOC «Ростелеком-Солар» Алексей Павлов. Поскольку используется незащищенный http-протокол, хакеры получают учетные данные в открытом виде.

Фото: Олег Харсеев, Коммерсантъ

В исследовании Proofpoint приводится пример такого письма на русском языке якобы от имени исполнительного директора Национального комитета по исследованию БРИКС Георгия Толорая. «С фальшивых адресов, открытых на мое имя, идет массовая рассылка»,— подтвердил он “Ъ”, уточнив, что подпись скопирована со старых писем. В последнее время тексты в англоязычных рассылках стали «совсем аутентичные, видно, привлекали носителей», отметил господин Толорая: «Кампания широкая, некоторые наиболее известные мои коллеги тоже страдают». Фишинговые письма получал и глава азиатской программы Московского центра Карнеги Александр Габуев.

Специалисты Positive Technologies фиксировали атаки Kimsuky с применением корейской тематики в августе, говорит глава отдела исследования угроз компании Денис Кувшинов.

В августе американская Malwarebytes Labs сообщала об обнаружении зараженных вирусом документов на русском языке. Речь идет о файлах «Региональные экономические контакты дальневосточной России с корейскими государствами (2010-е годы)» и «23-е заседание межправительственной Российско-монгольской комиссии по торгово-экономической, научно-технической эксплуатации» (проходило в РФ в 2021 году). Компания считала, что за документами стоит группировка APT37, которую связывают с северокорейским правительством.

За последний год Kimsuky довольно активно вела «кибершпионские операции не только против Южной Кореи, но и стран, которые ее поддерживают», считают эксперты Group-IB. Тематические атаки группировка совершает с 2018 года, уточнил Денис Кувшинов. В 2020 году она атаковала российские военные и промышленные организации (см. “Ъ” от 19 октября 2020 года).

Целью атак является сбор данных, полагают в Proofpoint.

Велики риски, что Kimsuky попытается целенаправленно «пробивать» и добывать ценные документы у конкретных чиновников и сотрудников научно-исследовательских организаций, отмечает руководитель группы исследования сложных угроз Threat Intelligence Group-IB Анастасия Тихонова. Kimsuky может включать зараженные компьютеры в ботсеть или красть доступ к криптокошелькам, предупреждает Денис Кувшинов.

С момента саммитов Ким Чен Ына с Дональдом Трампом и визита первого в РФ в 2019 году вокруг КНДР происходит много дипломатических движений, и Россия — важный участник процесса, поясняет господин Габуев: «Разумеется, для северокорейской разведки важно иметь источники, чтобы понимать, как в Москве видят имеющие отношение к КНДР сюжеты. Они могут предполагать, что кто-то из экспертов общается с чиновниками, обсуждает эту тему в закрытых рассылках и так далее». Хакеры, по его мнению, пытаются получить доступ к ценной для аналитиков информации.

Юлия Степанова


  • Текст составлен по материалам сети Интернет. Нашими источниками являются крупнейшие интернет-издания и соцсервисы, в том числе которые размещают сведения как о событиях, так и информацию (в т.ч. компромат, скандалы) про политиков, госслужащих и бизнесменов, их биографии, информацию об их деятельности и деятельности подконтрольных им организаций. Подтверждение всем размещенным у нас материалам можно найти в сети.
  • Приглашаем к сотрудничеству по размещению новостей и рекламы всех заинтересованных лиц. Подробнее в разделах РЕКЛАМА и РАЗМЕЩЕНИЕ НОВОСТЕЙ.

Взлом по науке

 

Деятели российской науки и специалисты, которые работают в оборонной промышленности и индустрии, оказались бессильны перед северокорейской группы кибервзломщиков Kimsuky

Взлом по науке

Северокорейская организация хакеров Kimsuky, которая в прошедшем году штурмовала российскую оборонную промышленность и индустрия, переключилась на профессионалов в области наружной политики, которые связаны с Кореей. Группировка рассылает липовые письма от имени узнаваемых в сферы людей. Российская Федерация — один из принципиальных участвующих дипломатических движений вокруг КНДР, потому для северокорейской разведки принципиально иметь доступ к закрытым рассылкам, считают атакованные специалисты.

Организация хакеров Kimsuky, вероятно из КНДР, штурмует деятелей российской науки, профессионалов в области наружной политики и неправительственные организации, занимающиеся теми либо другими вопросами сотрудничества с Северной Кореей, нашла организация из США по информационной безопасности Proofpoint.

ИД Коммерсант ознакомился с исследованием компании, из которого получается, что кибервзломщики рассылают профессионалам по Корее фишинговые письма, которые были составлены от лица узнаваемых в России профессионалов.

В письмах содержится ссылка, при переходе по которой пользователь видит окно для ввода логина и пароля. Данная форма походит на всплывающее окно Виндовс для запароленных сетевых ресурсов. Жертва по плану преступников обязана ввести свои учетные данные, объяснил руководитель по развитию бизнеса центра противодействия хакерским атакам Solar JSOC «Ростелеком-Солар» Алексей Павлов. Так как употребляется незащищенный http-протокол, кибервзломщики получают учетные данные в открытом виде.

Фото: Олег Харсеев, Коммерсантъ

В исследовании Proofpoint приводится пример этого письма на российском языке будто бы от имени исполнительного руководителя Государственного комитета по изучению БРИКС Георгия Толорая. «С липовых адресов, открытых на мое имя, идет масштабная рассылка»,— удостоверил он ИД Коммерсант, подчеркнув, что подпись скопирована со старых писем. За недавний период тексты в английских рассылках стали «совершенно подлинные, видно, завлекали носителей», отметил господин Толорая: «Кампания широкая, некоторые более популярные мои соратники тоже мучаются». Фишинговые письма получал и глава азиатской программы Столичного центра Карнеги Александр Габуев.

Спецы Positive Technologies фиксировали атаки Kimsuky с применением корейской темы в августе, гласит руководитель подразделения анализа угроз компании Денис Кувшинов.

В конце лета американская Malwarebytes Labs докладывала о нахождении заболевших документов на российском языке. Идет речь о файлах «Местные финансовые контакты дальневосточной Рф с корейскими странами (2010-е годы)» и «23-е совещание межправительственной Российско-монгольской комиссии по торгово-финансовой, научно-технической использования» (проходило в России в 2021 году). Компания думала, что за документами стоит группировка APT37, которую связывают с северокорейским кабинетом министров.

За последний год Kimsuky достаточно интенсивно вела «кибершпионские операции не лишь против Южной Кореи, да и государств, которые её поддерживают», уверены специалисты Group-IB. Направленные на определенную тематику атаки группировка совершает с 2018 года, сообщил Денис Кувшинов. В 2020 году она штурмовала военнослужащие России и промышленные организации (см. ИД Коммерсант от 19 октября 2020 года).

Задачей нападений является сбор данных, считают в Proofpoint.

Значительны опасности, что Kimsuky попробует преднамеренно «пробивать» и добывать ценные документы у определенных госслужащих и служащих научно-научных компаний, подчеркивает управляющий группы анализа трудных угроз Threat Intelligence Group-IB Анастасия Тихонова. Kimsuky может включать зараженные компы в ботсеть либо воровать доступ к криптокошелькам, предупреждает Денис Кувшинов.

Со времени саммитов Ким Чен Ына с Дональдом Трампом и приезда первого в России в 2019 году вокруг КНДР случается много дипломатических движений, и Российская Федерация — принципиальный участник процесса, объясняет господин Габуев: «Очевидно, для северокорейской разведки принципиально иметь источники, чтоб осознавать, как в столице России видят имеющие отношение в Северной Корее сюжеты. Они могут полагать, что кто-то из профессионалов разговаривает с государственными служащими, обсуждает данную тему в закрытых рассылках и т.д.». Кибервзломщики, согласно его убеждению, пробуют получить доступ к ценной для специалистов инфы.

Юлия Степанова