Хакерская группировка Kimsuky из Северной Кореи атакует военные и промышленные организации в России, а также в других странах. Об том сообщили «Коммерсантъ» эксперты по кибербезопасности.
По словам руководителя отдела исследования сложных угроз компании Group-IB Анастасии Тихоновой, весной этого года хакеры осуществляли вредоносные рассылки, в том числе через соцсети, для получения конфиденциальной информации из аэрокосмических и оборонных компаний. Злоумышленники для сбора нужных данных использовали тематику пандемии и рассылали мошеннические письма с информацией о вакансиях.
По словам эксперта, целью злоумышленников стали военные организации в сфере производства артиллерийской техники и бронетехники в России, на Украине, в Словакии, Турции и Южной Корее.
Что известно о хакерской группировке Kimsuky?
Хакерская группировка Kimsuky известна под именами Velvet Chollima и Black Banshee. С 2010 года ее представители начали активно атаковать объекты на территории Южной Кореи, а затем расширили свои действия на другие страны.
В течение двух последних лет группировка совершала атаки на американские исследовательские институты, специализирующиеся на вопросах денуклеаризации (сокращения арсеналов ядерного оружия), и компании, связанные с криптовалютами. Кроме того, в конце сентября 2020 года американское издание ZDNet сообщило об атаках хакеров на Gmail-аккаунты сотрудников Совбеза ООН в марте-апреле этого года. Одной из самых больших атак группировки является взлом сети южнокорейского оператора 23 ядерных реакторов. В 2014 году хакеры украли секретные документы и выложили их в Twitter «борцов с ядерной энергетикой с Гавайских островов».
По данным консалтинговой компании PricewaterhouseCoopers (PwC), которая отслеживает деятельность Kimsuky с 2018 года, в 2019 году северокорейские хакеры активно атаковали системы, связанные с правительством, национальной безопасностью, авиакосмической, оборонной и атомной промышленностью. Большинство атакуемых хакерами организаций находились в США и Южной Корее.
В апреле 2020 года Kimsuky атаковали «Ростех». Как отмечает «Коммерсантъ», в «РТ-Информ», дочерней компании госкорпорации, которая занимается информационной безопасностью, не подтвердили и не опровергли эту информацию, но при этом заявили об увеличении числа кибератак на информационные ресурсы «Ростеха» и его организаций в период с апреля по сентябрь 2020 года.
По словам Тихоновой, хакеры северокорейской группировки Kimsuky для получения конфиденциальной информации используют целенаправленный фишинг (мошеннические рассылки). Так, при атаке на турецкого производителя военной техники злоумышленники создали поддельную страницу авторизации в почтовом сервисе Outlook, которым пользовались сотрудники данной компании, чтобы получить их данные для входа в рабочую почту.
В свою очередь эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо отмечает, что хакеры также используют в своих документах-приманках данные о вакансиях в аэрокосмической и оборонной отраслях. По мнению эксперта, это свидетельствует об интересе хакеров к промышленному шпионажу.