Северокорейские хакеры взламывают российских экспертов

Северокорейская хакерская группировка Kimsuky, которая в прошлом году атаковала российскую оборонку и промышленность, переключилась на экспертов в области внешней политики, связанных с Кореей. Группировка рассылает фейковые письма от имени известных в отрасли людей. Россия — один из важных участников дипломатических движений вокруг КНДР, поэтому для северокорейской разведки важно иметь доступ к закрытым рассылкам, полагают атакованные эксперты.

Хакерская группировка Kimsuky из Северной Кореи атакует российских ученых, экспертов в области внешней политики и неправительственные организации, которые занимаются теми или иными вопросами взаимодействия с КНДР, обнаружила американская компания по кибербезопасности Proofpoint.

“Ъ” ознакомился с исследованием компании, из которого следует, что хакеры рассылают экспертам по Корее фишинговые письма, составленные от лица известных в РФ экспертов.

В письмах содержится ссылка, при переходе по которой пользователь видит окно для ввода логина и пароля. Эта форма похожа на всплывающее окно Windows для запароленных сетевых ресурсов. Жертва по плану злоумышленников должна ввести свои учетные данные, объяснил директор по развитию бизнеса центра противодействия кибератакам Solar JSOC «Ростелеком-Солар» Алексей Павлов. Поскольку используется незащищенный http-протокол, хакеры получают учетные данные в открытом виде.

В исследовании Proofpoint приводится пример такого письма на русском языке якобы от имени исполнительного директора Национального комитета по исследованию БРИКС Георгия Толорая. «С фальшивых адресов, открытых на мое имя, идет массовая рассылка»,— подтвердил он “Ъ”, уточнив, что подпись скопирована со старых писем. В последнее время тексты в англоязычных рассылках стали «совсем аутентичные, видно, привлекали носителей», отметил господин Толорая: «Кампания широкая, некоторые наиболее известные мои коллеги тоже страдают». Фишинговые письма получал и глава азиатской программы Московского центра Карнеги Александр Габуев.

Специалисты Positive Technologies фиксировали атаки Kimsuky с применением корейской тематики в августе, говорит глава отдела исследования угроз компании Денис Кувшинов.

В августе американская Malwarebytes Labs сообщала об обнаружении зараженных вирусом документов на русском языке. Речь идет о файлах «Региональные экономические контакты дальневосточной России с корейскими государствами (2010-е годы)» и «23-е заседание межправительственной Российско-монгольской комиссии по торгово-экономической, научно-технической эксплуатации» (проходило в РФ в 2021 году). Компания считала, что за документами стоит группировка APT37, которую связывают с северокорейским правительством.

За последний год Kimsuky довольно активно вела «кибершпионские операции не только против Южной Кореи, но и стран, которые ее поддерживают», считают эксперты Group-IB. Тематические атаки группировка совершает с 2018 года, уточнил Денис Кувшинов. В 2020 году она атаковала российские военные и промышленные организации (см. “Ъ” от 19 октября 2020 года).

Целью атак является сбор данных, полагают в Proofpoint.

Велики риски, что Kimsuky попытается целенаправленно «пробивать» и добывать ценные документы у конкретных чиновников и сотрудников научно-исследовательских организаций, отмечает руководитель группы исследования сложных угроз Threat Intelligence Group-IB Анастасия Тихонова. Kimsuky может включать зараженные компьютеры в ботсеть или красть доступ к криптокошелькам, предупреждает Денис Кувшинов.

С момента саммитов Ким Чен Ына с Дональдом Трампом и визита первого в РФ в 2019 году вокруг КНДР происходит много дипломатических движений, и Россия — важный участник процесса, поясняет господин Габуев: «Разумеется, для северокорейской разведки важно иметь источники, чтобы понимать, как в Москве видят имеющие отношение к КНДР сюжеты. Они могут предполагать, что кто-то из экспертов общается с чиновниками, обсуждает эту тему в закрытых рассылках и так далее». Хакеры, по его мнению, пытаются получить доступ к ценной для аналитиков информации.