Хакеры из КНДР, входящие в киберпреступную группировку Kimsuky, проводят атаки на российских ученых, дипломатов, экспертов в области внешней политики и журналистов. Об этом говорится в докладе американской компании по кибербезопасности Proofpoint.

В течение 2021 года хакеры из Kimsuky начали почти еженедельные кампании по краже учетных данных, указано в отчете. Объектами атак обычно становятся пользователи из России, Северной Америки и Китая, связанные с исследованиями, образованием, правительством, средствами массовой информации и другими организациями. Чаще всего киберпреступники рассылают фишинговые письма, маскируясь под ведущих корееведов-международников, представителей общественных организаций и российского МИДа.

В письмах содержится ссылка, при переходе по которой пользователь видит окно: «При загрузке страницы произошла ошибка. Введите логин и пароль от своего почтового ящика, чтобы продолжить работу с сервисом». Если жертва введет свои учетные данные, то они станут доступны злоумышленникам.

Авторы доклада отмечают, что чаще всего северокорейские хакеры действуют якобы от имени трех россиян:

  • дипломата и исполнительного директора Национального комитета по исследованию БРИКС Георгия Толорая,

  • кандидата исторических наук, востоковеда-корееведа и обозревателя англоязычной южнокорейской газеты Korea Times Андрея Ланькова,

  • кандидата политических наук и экс-советника посольства России в КНДР Александра Жебина.

Георгий Толорая подтвердил газете «Коммерсантъ», что злоумышленники действительно представляются его фамилией, когда ведут фишинговую рассылку.

«С фальшивых адресов, открытых на мое имя, идет массовая рассылка. <…> Кампания широкая, некоторые наиболее известные мои коллеги тоже страдают», – сказал он.

При этом дипломат отметил, что в последнее время тексты в англоязычных рассылках стали «совсем аутентичные». К их составлению, скорее всего, привлекали носителей языка, предположил востоковед.

Как еще маскируются северокорейские хакеры

При том что в действиях членов группировки Kimsuky прослеживается явная тенденция выдавать себя за российских граждан, они могут представляться и другими людьми. Так, один из наиболее заметных хакеров киберпреступной организации, упоминаемый в докладе Proofpoint как «субъект угрозы 406» (TA406), регулярно выдает себя за Муна Чон Ина – специального советника президента Южной Кореи по иностранным делам и национальной безопасности.

Иногда северокорейские хакеры могут также создавать фейковых персонажей и действовать уже от их имени. Так, TA406 был уличен в использовании электронной почты, на которую в соцсети LinkedIn зарегистирована учетная запись пользователя с ником tomas jimy. На странице злоумышленник представляется «исследователем в Стэнфордском университете». При этом поле с навыками пользователя заполнено на корейском языке.

Зачем они это делают?

Как предполагают эксперты Proofpoint, хакеры из Kimsuky совершают большинство своих атак с целью сбора данных. В этом ряду выделяется кампания, которую северокорейские киберпреступники проводили в марте 2021 года – «примерно в то же время», когда в КНДР проходили испытания ракет малой дальности. Тогда атаки были нацелены на некоторых российских «высокопоставленных выборных должностных лиц различных правительственных учреждений», «сотрудника консалтинговой фирмы», почтовый ящик совета директоров «крупного финансового учреждения», а также на различные госучреждения, связанные с оборонкой, правоохранительными органами, экономикой и финансами.

Такая разнонаправленность необычна для группировки, отмечают авторы доклада. Принимая во внимание время проведения этой кампании, можно предположить, что эти действия были скорее политическим сигналом, чем намерением собрать учетные данные.

Одной из главных причин интереса хакеров из КНДР к российским ученым и дипломатам могут быть непосредственные интересы северокорейской разведки, для которой важно иметь доступ к закрытым рассылкам. Такое предположение высказал глава азиатской программы Московского центра Карнеги Александр Габуев, который также получал фишинговые письма.

«Разумеется, для северокорейской разведки важно иметь источники, чтобы понимать, как в Москве видят имеющие отношение к КНДР сюжеты. Они могут предполагать, что кто-то из экспертов общается с чиновниками, обсуждает эту тему в закрытых рассылках и так далее», – сказал он в беседе с «Коммерсантом».

В 2020 году хакеры из Kimsuky уже были замечены за атаками на российские объекты – тогда они провели несколько кампаний, направленных на военные и промышленные организации в РФ. По словам руководителя отдела исследования сложных угроз Group-IB Анастасии Тихоновой, тогда злоумышленники пытались получить конфиденциальную информацию из аэрокосмических компаний.