Хакерская группировка Kimsuky из Северной Кореи атакует военные и промышленные организации в России, предупреждают компании по кибербезопасности. Весной она в попытке сбора конфиденциальной информации из аэрокосмических и оборонных компаний использовала тематику пандемии и рассылала мошеннические письма с данными о вакансиях. В «Ростехе», чьи структуры тоже могли подвергнуться атакам, подтвердили рост кибератак в последние полгода, но большинство из них были некачественно подготовлены.
Фото: Reuters
Северокорейская хакерская группировка Kimsuky заинтересовалась военными и промышленными организациями в России, рассказали “Ъ” эксперты по кибербезопасности. Весной хакеры воспользовались пандемией и проводили вредоносные рассылки, в том числе через социальные сети, для получения конфиденциальной информации из аэрокосмических и оборонных компаний, говорит руководитель отдела исследования сложных угроз Group-IB Анастасия Тихонова.
По данным Telegram-канала SecAtor, в апреле 2020 года Kimsuky атаковали «Ростех».
В «РТ-Информ» (дочерняя компания госкорпорации «Ростех», которая занимается информационной безопасностью) не подтвердили и не опровергли эту информацию, отметив увеличение количества инцидентов и кибератак на информационные ресурсы корпорации и ее организаций в период с апреля по сентябрь. Большинство атак были некачественно подготовлены и не несли существенной угрозы при их воздействии, однако это могло быть только подготовкой, «прощупыванием почвы» для нанесения более серьезного удара по информационной системе корпорации, полагают в компании. Группировка Kimsuky — «коллеги» северокорейской Lazarus по кибершпионажу (о всплеске атак Lazarus в России “Ъ” сообщал 23 июля).
Kimsuky известна под именами Velvet Chollima, Black Banshee, и начиная с 2010 года она активно атаковала объекты на территории Южной Кореи, но позже расширила географию атак, указывает Анастасия Тихонова.
По ее словам, Kimsuky предположительно атаковала военные организации в сфере производства артиллерийской техники и бронетехники в России, Украине, Словакии, Турции и Южной Корее.
Судя по доступным в интернете документам, в атаках использовался целенаправленный фишинг (мошеннические рассылки). Например, при атаке на турецкого производителя военной техники хакеры даже создали поддельную страницу авторизации в почтовом сервисе Outlook, которым пользовались сотрудники данной компании, чтобы получить их данные для входа в рабочую почту, указывает госпожа Тихонова.
Некоторые документы-приманки группировок, которые принято относить к Северной Корее, стали содержать данные о вакансиях в аэрокосмической и оборонной отраслях, что позволяет предположить, что промышленный шпионаж также вошел в сферу интересов этих групп, отмечает эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо. Если раньше подобные группировки занимались кибершпионажем, связанным с политикой, или коммерческими проектами (например, атакуя криптобиржи), то сейчас добавились новые цели, отмечает он.
Большинство целевых для этой группировки организаций находились в США и Южной Корее, уточняет ведущий специалист группы исследования угроз экспертного центра безопасности Positive Technologies (PT Expert Security Center) Денис Кувшинов. С точки зрения техник тактика и используемый инструментарий Kimsuky имеет пересечения с группами Lazarus и Konni, добавляет он.
Среди самых масштабных атак Kimsuky — взлом сети южнокорейского оператора 23 ядерных реакторов в 2014 году, в ходе которого группировка украла конфиденциальные документы и выкладывала их в Twitter-аккаунте «борцов с ядерной энергетикой с Гавайских островов».
В 2018–2019 годах Kimsuky атаковали американские исследовательские институты, специализирующиеся на вопросах денуклеаризации, и компании, связанные с криптовалютами. Подобное смешивание кибершпионажа и коммерческого взлома свойственно северокорейским группировкам, которые испытывают затруднения с финансированием, отмечается в Telegram-канале SecAtor. В марте-апреле Kimsuky атаковали Gmail-аккаунты сотрудников Совбеза ООН, сообщало американское издание ZDNet 30 сентября.