Северокорейская хакерская группировка Kimsuky атакует российских ученых, экспертов в области внешней политики и неправительственные организации, которые занимаются вопросами взаимодействия с КНДР. Об этом сообщает Коммерсантъ.
«Хакеры рассылают экспертам по Корее фишинговые письма, составленные от лица известных в РФ экспертов», — говориться в исследовании компании по кибербезопасности Proofpoint, с которым ознакомился «Ъ».
В письмах содержится ссылка, при переходе по которой пользователь видит окно для ввода логина и пароля. Эта форма похожа на всплывающее окно Windows для запароленных сетевых ресурсов.
«Жертва по плану злоумышленников должна ввести свои учетные данные. Поскольку используется незащищенный http-протокол, хакеры получают учетные данные в открытом виде», — объяснил директор по развитию бизнеса центра противодействия кибератакам Solar JSOC «Ростелеком-Солар» Алексей Павлов.
Фишинговые письма получали глава азиатской программы Московского центра Карнеги Александр Габуев и исполнительный директор Национального комитета по исследованию БРИКС Георгий Толорая.
«С фальшивых адресов, открытых на мое имя, идет массовая рассылка», — подтвердил Георгий, уточнив, что подпись скопирована со старых писем.
Руководитель группы исследования сложных угроз Threat Intelligence Group-IB Анастасия Тихонова считает, что велики риски, что Kimsuky попытается целенаправленно «пробивать» и добывать ценные документы у конкретных чиновников и сотрудников научно-исследовательских организаций. Kimsuky может включать зараженные компьютеры в ботсеть или красть доступ к криптокошелькам, предупреждает эксперт Group-IB Денис Кувшинов.
«Разумеется, для северокорейской разведки важно иметь источники, чтобы понимать, как в Москве видят имеющие отношение к КНДР сюжеты. Они могут предполагать, что кто-то из экспертов общается с чиновниками, обсуждает эту тему в закрытых рассылках и так далее», — добавил Александр Габуев.
Напомним, что по словам экспертов Group-IB Kimsuky за последний год довольно активно вела «кибершпионские операции не только против Южной Кореи, но и стран, которые ее поддерживают». Тематические атаки группировка совершает с 2018 года, уточнил Денис Кувшинов. В 2020 году она атаковала российские военные и промышленные организации.