3 Мировая Война. Кибершпионаж 2022

Опубликовано 12 декабря 2022 года.
Источник: REUTERS. Автор: Джош Смит.

Северокорейские кибершпионы применяют новую тактику: обманом заставляют иностранных экспертов писать для них исследования

СЕУЛ, 12 декабря (Рейтер) - Когда Дэниел Депетрис, американский аналитик по иностранным делам, получил в октябре электронное письмо от директора аналитического центра 38 North, заказавшего статью, казалось, что все идет как обычно.

Это было не так.

По словам участников и трех исследователей кибербезопасности, отправителем на самом деле был подозреваемый северокорейский шпион, ищущий информацию.

Вместо того, чтобы заразить его компьютер и украсть конфиденциальные данные, как это обычно делают хакеры, отправитель, по-видимому, пытался выведать его мнение о проблемах безопасности Северной Кореи, выдавая себя за директора 38 North Дженни Таун.


"Я понял, что это не было законно, как только я связался с человеком с дополнительными вопросами и узнал, что на самом деле никакого запроса не было сделано, и что этот человек также был целью", - сказал Депетрис агентству Рейтер, ссылаясь на Town. "Итак, я довольно быстро понял, что это была широкомасштабная кампания".

Электронное письмо является частью новой и ранее не сообщавшейся кампании подозреваемой северокорейской хакерской группы, по словам экспертов по кибербезопасности, пяти целевых лиц и электронных писем, рассмотренных Reuters.

Эксперты по кибербезопасности подозревают, что хакеры нацелены на людей, которые имеют влияние в иностранных правительствах, чтобы лучше понять, куда движется западная политика в отношении Северной Кореи.

Хакерская группа, которую исследователи окрестили Thallium или Kimsuky, среди других имен, уже давно использует электронные письма с “фишингом”, которые обманом заставляют цели выдавать пароли или переходить по вложениям или ссылкам, загружающим вредоносное ПО. Однако теперь, похоже, также просто просят исследователей или других экспертов высказать свое мнение или написать отчеты.


Согласно электронным письмам, рассмотренным агентством Reuters, среди других поднятых вопросов была реакция Китая в случае нового ядерного испытания; и может ли быть оправдан "более спокойный" подход к северокорейской "агрессии".

"Злоумышленники добились огромного успеха с помощью этого очень, очень простого метода", - сказал Джеймс Эллиотт из Центра анализа угроз Microsoft (MSTIC), который добавил, что новая тактика впервые появилась в январе. "Злоумышленники полностью изменили процесс".

MSTIC заявила, что выявила "нескольких" северокорейских экспертов, которые предоставили информацию аккаунту злоумышленника из Таллия.

В отчете правительственных агентств кибербезопасности США за 2020 год говорится, что Thallium работает с 2012 года и "скорее всего, северокорейский режим поручил ему глобальную миссию по сбору разведданных".

По данным Microsoft, таллий исторически предназначался для государственных служащих, аналитических центров, ученых и правозащитных организаций.

"Злоумышленники получают информацию непосредственно из первых уст, если хотите, и им не нужно сидеть сложа руки и делать интерпретации, потому что они получают ее непосредственно от эксперта", - сказал Эллиотт.

НОВАЯ ТАКТИКА
Северокорейские хакеры хорошо известны своими атаками на миллионы долларов, нацеленными на Sony Pictures из-за фильма, который считается оскорбительным для ее лидера, и кражей данных у фармацевтических и оборонных компаний, иностранных правительств и других.

Посольство Северной Кореи в Лондоне не ответило на запрос о комментариях, но отрицает свою причастность к киберпреступности.

В других атаках Thallium и другие хакеры тратили недели или месяцы на то, чтобы установить доверительные отношения с целью, прежде чем отправлять вредоносное программное обеспечение, сказал Сахер Науман, главный аналитик по анализу угроз в BAE Systems Applied Intelligence.

Но, по словам Microsoft, группа теперь также взаимодействует с экспертами в некоторых случаях, даже не отправляя вредоносные файлы или ссылки даже после ответа жертв.

По словам Эллиотта, эта тактика может быть быстрее, чем взлом чьей-либо учетной записи и просмотр их электронной почты, обходит традиционные программы технической безопасности, которые сканируют и помечают сообщения с вредоносными элементами, и позволяет шпионам напрямую получать доступ к мышлению экспертов.

"Для нас, защитников, очень, очень трудно остановить эти электронные письма", - сказал он, добавив, что в большинстве случаев все сводится к тому, что получатель может разобраться в этом.

Таун сказала, что в некоторых сообщениях, якобы от нее, использовался адрес электронной почты, который заканчивался на ".live", а не ее официальный аккаунт, который заканчивается на ".org", но была скопирована ее полная строка подписи.

В одном случае, по ее словам, она была вовлечена в сюрреалистический обмен электронной почтой, в котором подозреваемый злоумышленник, выдававший себя за нее, включил ее в ответ.

Депетрис, сотрудник отдела приоритетов в области обороны и обозреватель нескольких газет, сказал, что электронные письма, которые он получил, были написаны так, как если бы исследователь просил представить статью или комментарии к проекту.

"Они были довольно изощренными, с логотипами аналитических центров, прикрепленными к корреспонденции, чтобы все выглядело так, как будто расследование является законным", - сказал он.

Примерно через три недели после получения поддельного электронного письма от 38 North другой хакер выдал себя за него, отправив другим людям электронное письмо с просьбой ознакомиться с черновиком, сказал Депетрис.

В этом электронном письме, которым ДеПетрис поделился с Reuters, предлагается 300 долларов за рецензирование рукописи о ядерной программе Северной Кореи и запрашиваются рекомендации для других возможных рецензентов. Эллиот сказал, что хакеры никогда никому не платили за свои исследования или ответы и никогда не собирались этого делать.

СБОР ИНФОРМАЦИИ
Выдача себя за другого является распространенным методом для шпионов по всему миру, но поскольку изоляция Северной Кореи усилилась из-за санкций и пандемии, западные спецслужбы считают, что Пхеньян стал особенно зависим от кибератак, сообщил агентству Рейтер один из источников в сфере безопасности в Сеуле, выступая на условиях анонимности для обсуждения вопросов разведки.

В отчете за март 2022 года группа экспертов, которая расследует уклонение Северной Кореи от санкций ООН, перечислила усилия Таллия в числе видов деятельности, которые "представляют собой шпионаж, направленный на информирование и содействие" уклонению страны от санкций.

Таун сказал, что в некоторых случаях злоумышленники заказывали документы, а аналитики предоставляли полные отчеты или рецензии на рукописи, прежде чем поняли, что произошло.

Депетрис сказал, что хакеры спросили его о проблемах, над которыми он уже работал, включая реакцию Японии на военные действия Северной Кореи.

В другом электронном письме, якобы от репортера японской Kyodo News, спрашивался 38-летний сотрудник Северной Кореи, как, по их мнению, война на Украине повлияла на мышление Северной Кореи, и задавались вопросы о политике США, Китая и России.

"Можно только предполагать, что северокорейцы пытаются получить откровенные мнения от аналитиков, чтобы лучше понять политику США в отношении Севера и к чему она может привести", - сказал Депетрис.