За последние полгода специалисты по кибербезопасности в России зафиксировали увеличение количества кибератак на организации оборонной промышленности, осуществляемых хакерскими группами из Северной Кореи. Хотя до настоящего времени ни одна из них не привела к успеху, это может свидетельствовать о подготовке к более масштабным взломам.
Наиболее распространенным методом атак со стороны злоумышленников является фишинг, направленный на электронные почтовые ящики сотрудников компаний. Суть этой тактики заключается в отправке тщательно разработанных писем, целью которых является кража персональных данных работников или получение доступа к корпоративным системам.
В 2020 году, с наступлением весны, стали широко распространены электронные письма, посвященные пандемии коронавирусной инфекции Covid-19. К лету письма от злоумышленников всё чаще содержат предложения о работе для опытных специалистов в области аэрокосмической и оборонной промышленности. Эксперты предупреждают, что недооценивать изощренность киберпреступников не следует, поскольку даже внимательные люди могут стать жертвами таких уловок.
Вредоносные документы и другие компоненты атак, распространяемые северокорейскими хакерами, нередко отличаются высоким уровнем подготовки. Так, ссылка в электронном письме, якобы содержащем напоминание о необходимости смены пароля, может перенаправлять пользователя на веб-ресурс с тщательно скопированным дизайном корпоративной почты. Выявление подделки возможно лишь при детальном рассмотрении адресной строки и обнаружении незначительных изменений.
Прежде всего, речь идет об одной из наиболее известных и давних группировок киберпреступников, действующей на территории Северной Кореи, — Kimsuky. По информации, предоставленной изданию «Коммерсантъ», зафиксирована повышенная активность хакеров, нацеленной на предприятия российского оборонно-промышленного комплекса» рассказали представители ведущих отечественных компаний, занимающихся анализом угроз в сфере IT: возглавляет отдел, занимающийся изучением сложных угроз Group-IB Анастасия Тихонова, эксперт по кибербезопасности из «Лаборатории Касперского», Денис Легезо и ведущий специалист группы исследования угроз экспертного центра безопасности Positive Technologies (PT Expert Security Center) Денис Кувшинов.
В числе прочих свои замечания предоставили организации, которые, вероятно, подверглись атакам хакеров. Так, в компании «РТ-Информ», дочернем предприятии государственной корпорации «Ростех» и специализирующейся на информационной защите, источник атак не был подтвержден, однако в компании отметили увеличение их числа за последние полгода. Специалисты охарактеризовали эти происшествия как неквалифицированные и не представляющие угрозы.
Несмотря на это, говорить о завершении работы преждевременно. Зачастую, перед непосредственной попыткой несанкционированного доступа, злоумышленники проводят предварительное изучение системы защиты объекта. Эта своеобразная проверка возможностей осуществляется с использованием известных техник фишинга, стандартных атак и попыток эксплуатации наиболее распространенных уязвимостей. Благодаря этому хакеры получают сведения о фактическом уровне защищенности объекта и способах реагирования его службы безопасности.
Группировка Kimsuky ведет свою деятельность уже около восьми лет, ее основной специализацией ранее был корпоративный шпионаж в отношении американских и южнокорейских компаний, а также атаки на организации, связанные с криптовалютами. Судя по всему, география деятельности этих хакеров стала расширяться. В конце 2019 года Kimsuky «хакеры заявили об атаке на турецкую компанию, занимающуюся производством военной техники, и теперь они же переключили свое внимание на российские предприятия.
Поскольку доступ к всемирной сети для граждан Северной Кореи – исключительное преимущество, обычно предполагается, что северокорейские хакеры действуют в соответствии с интересами и по прямому указанию правительства. Отличительной чертой действий этих киберпреступников является не только похищение данных в личных целях, но и стремление извлекать выгоду из полученной информации.