Российские оборонные компании атаковали северокорейские хакеры

Северокорейская хакерская группировка Kimsuky заинтересовалась военными и промышленными организациями в России, рассказали эксперты по кибербезопасности.

Как сообщила «Коммерсанту» руководитель отдела исследования сложных угроз Group-IB Анастасия Тихонова, весной хакеры воспользовались пандемией и проводили вредоносные рассылки, в том числе через социальные сети, для получения конфиденциальной информации из аэрокосмических и оборонных компаний.

По данным Telegram-канала SecAtor, в апреле 2020 года Kimsuky атаковали «Ростех».

В «РТ-Информ» (дочерняя компания госкорпорации «Ростех», которая занимается информационной безопасностью) не подтвердили и не опровергли эту информацию, отметив увеличение количества инцидентов и кибератак на информационные ресурсы корпорации и ее организаций в период с апреля по сентябрь. Большинство атак были некачественно подготовлены и не несли существенной угрозы при их воздействии, однако это могло быть только подготовкой, «прощупыванием почвы» для нанесения более серьезного удара по информационной системе корпорации, полагают в компании. Группировка Kimsuky – «коллеги» северокорейской Lazarus по кибершпионажу.

Kimsuky известна под именами Velvet Chollima, Black Banshee, и начиная с 2010 года она активно атаковала объекты на территории Южной Кореи, но позже расширила географию атак, указывает Тихонова.

По ее словам, Kimsuky предположительно атаковала военные организации в сфере производства артиллерийской техники и бронетехники в России, Украине, Словакии, Турции и Южной Корее.

Судя по доступным в интернете документам, в атаках использовался целенаправленный фишинг (мошеннические рассылки). Например, при атаке на турецкого производителя военной техники хакеры даже создали поддельную страницу авторизации в почтовом сервисе Outlook, которым пользовались сотрудники данной компании, чтобы получить их данные для входа в рабочую почту.

Некоторые документы-приманки группировок, которые принято относить к Северной Корее, стали содержать данные о вакансиях в аэрокосмической и оборонной отраслях, что позволяет предположить, что промышленный шпионаж также вошел в сферу интересов этих групп, отмечает эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо.

Большинство целевых для этой группировки организаций находились в США и Южной Корее, уточняет ведущий специалист группы исследования угроз экспертного центра безопасности Positive Technologies (PT Expert Security Center) Денис Кувшинов. С точки зрения техник тактика и используемый инструментарий Kimsuky имеет пересечения с группами Lazarus и Konni, добавляет он.

Напомним, в 2018 году перебежчика из КНДР арестовали по обвинению в шпионаже и передаче секретных данных о южнокорейских военных иностранному агенту.