Эксперты рассказали об атаках северокорейских хакеров на военные и промышленные объекты в России

19 октября 2020 года

Северокорейская хакерская группировка Kimsuky осуществила ряд атак на военные и промышленные организации в России. Об этом пишет газета "Коммерсант" со ссылкой на экспертов в сфере кибербезопасности.

По словам руководителя отдела исследования сложных угроз компании Group-IB Анастасии Тихоновой, весной этого года хакеры из Kimsuky активно занимались вредоносными рассылками, в том числе через социальные сети, для получения конфиденциальной информации из аэрокосмических и оборонных компаний. По данным Telegram-канала SecAtor, среди целей хакеров была госкорпорация "Ростех", но в "РТ-информ" ("дочка" "Ростеха", занимающаяся вопросами кибербезопасности) эту информацию не подтвердили и не опровергли. При этом в компании признали, что с апреля по сентябрь количество кибератак на информационные ресурсы корпорации и ее организаций увеличилось. В "РТ-информ" добавили, что в большинстве своем атаки не несли серьезной угрозы, но не исключено, что хакеры просто вели подготовку и искали слабые места.

Как сообщила Тихонова, группировка Kimsuky, как и более известная северокорейская группа хакеров Lazarus, занимается кибершпионажем. Эта группа также известна под именами Velvet Chollima и Black Banshee. С 2010 года хакеры из Kimsuky атаковали объекты в Южной Корее, но позднее география их атак была расширена. Предположительно, эта группа стоит за атаками на военные организации в сфере производства артиллерийской техники и бронетехники в России, Украине, Словакии, Турции и Южной Корее.

В своих атаках хакеры использовали специально подготовленные фишинговые страницы. Так, для атаки на турецкое оборонное предприятие киберпреступники создали поддельную страницу авторизации в почтовом сервисе Outlook, которым пользовались сотрудники компании, чтобы получить их данные для доступа к почте.

В свою очередь ведущий специалист группы исследования угроз экспертного центра безопасности Positive Technologies Денис Кувшинов сообщил, что большинство целевых для группировки организаций находились в США и Южной Корее, а методы Kimsuky похожи на методы хакеров из Lazarus и Konni.

В числе наиболее известных атак Kimsuky можно назвать взлом сети южнокорейского оператора 23 ядерных реакторов в 2014 году. Тогда хакеры смогли похитить конфиденциальные документы, которые позднее были опубликованы в Twitter. В 2018-2019 годах группировка атаковала американские исследовательские институты, специализирующиеся на вопросах денуклеаризации, а также компании, связанные с криптовалютами. Такое разделение свойственно именно северокорейским хакерам, которые сами добывают финансирование для шпионской деятельности. Недавно группировка Kimsuky также атаковала Gmail-аккаунты сотрудников Совбеза ООН.