Северокорейские хакеры нацелились на российский ОПК — Naked Science
19 октября 2020, 16:00
Чаще всего хакеры предпринимают фишинговые атаки на электронные адреса сотрудников целевых предприятий. То есть рассылают специально подготовленные письма, основное назначение которых — получение личных данных персонала или сведений для авторизации на корпоративных ресурсах.

Весной 2020 года широкое распространение получили рассылки на тему пандемии коронавирусной инфекции Covid-19. А уже летом письма злоумышленников зачастую стали содержать вакансии для высококвалифицированных специалистов аэрокосмической и оборонной сфер. Недооценивать хитрость киберпреступников не стоит: как отмечают специалисты, на подобные приманки способны попасться даже внимательные люди.

Рассылаемые северокорейскими хакерами вредоносные документы и прочие элементы атаки часто подготовлены весьма качественно. Например, ссылка из письма с напоминанием о смене пароля может вести на сайт с дотошно воспроизведенным интерфейсом корпоративной почты. Отличить его от настоящего будет возможно только после внимательного изучения адресной строки и поиска одного-двух подмененных символов.

В первую очередь речь идет об одной из самых известных и старейших команд киберпреступников, базирующихся на территории Северной Кореи, — Kimsuky. О возросшей активности этих хакеров в отношении российского ОПК изданию "Коммерсантъ" рассказали представители ведущих отечественных компаний, занимающихся анализом угроз в сфере IT: руководитель отдела исследования сложных угроз Group-IB Анастасия Тихонова, эксперт по кибербезопасности "Лаборатории Касперского" Денис Легезо и ведущий специалист группы исследования угроз экспертного центра безопасности Positive Technologies ( PT Expert Security Center) Денис Кувшинов.

Свои комментарии предоставили и организации, которые, предположительно, стали мишенями хакеров. Например, в дочернем предприятии государственной корпорации "Ростех" — компании "РТ-Информ", занимающейся информационной безопасностью — источник атак не подтвердили, но признали, что их количество за последние полгода возросло. Стоит отметить, что эти инциденты специалисты охарактеризовали как некачественно подготовленные и не несущие опасности.
©Pixabay

Однако расслабляться рано. Нередко перед действительно серьезной попыткой взлома злоумышленники "прощупывают" защиту цели. Своеобразная разведка боем ведется с помощью распространенных методов фишинга, типовых атак и попыток реализации наиболее часто встречающихся уязвимостей. Таким образом хакеры получают необходимую информацию о реальной защищенности мишени и методах реакции ее службы безопасности.

Группировка Kimsuky ведет свою деятельность уже около восьми лет, ее основной специализацией ранее был корпоративный шпионаж в отношении американских и южнокорейских компаний, а также атаки на организации, связанные с криптовалютами. Судя по всему, география деятельности этих хакеров стала расширяться. В конце 2019 года Kimsuky "отметились" нападением на турецкого производителя военной техники, а теперь перешли и на российские предприятия.

Учитывая, что для жителей КНДР доступ в интернет — редкая привилегия, принято считать северокорейских хакеров действующими в интересах и при непосредственном одобрении местного правительства. Характерная особенность атак этих киберпреступников — не только кража данных для собственных целей, но и попытка заработать на ворованной информации.
naked-science.ru
© ФГУП «ГосНИИПП», 1989-2024