«Единый день экспертизы по анти-БПЛА»

СМИ: северокорейские хакеры нацелились на российскую оборонку

Тема: Авиация, ВМФ, ВПК, Армия

Хакерская группировка Kimsuky из Северной Кореи атаковала военные и промышленные организации в России. Как сообщает Коммерсант со ссылкой на компании по кибербезопасности, весной 2020 года участники этой группы в попытке сбора конфиденциальной информации из аэрокосмических и оборонных компаний использовали тематику пандемии и рассылали мошеннические письма с данными о вакансиях.

В госкорпорации "Ростех", чьи структуры тоже могли подвергнуться атакам, подтвердили изданию рост кибератак в последние полгода, но большинство из них были некачественно подготовлены.

Информационные технологии

В "РТ-Информ" (дочерняя компания госкорпорации "Ростех", которая занимается информационной безопасностью) считают, что предпринятые попытки атаки не несли существенной угрозы, однако это могло быть только подготовкой, "прощупыванием почвы" для нанесения более серьезного удара по информационной системе корпорации.

Группировка Kimsuky – "коллеги" по кибершпионажу северокорейской Lazarus, которая этим летом атаковала приложения российских трейдеров криптовалют. Kimsuky известна также под именами Velvet Chollima и Black Banshee. Начиная с 2010 года, члены группы активно атаковали объекты на территории Южной Кореи, но позже расширили географию.

По словам руководителя отдела исследования сложных угроз Group-IB Анастасии Тихоновой, Kimsuky предположительно атаковала военные организации в сфере производства артиллерийской техники и бронетехники в России, Украине, Словакии, Турции и Южной Корее.

Судя по доступным в интернете документам, в атаках использовался целенаправленный фишинг (мошеннические рассылки). Например, при атаке на турецкого производителя военной техники хакеры даже создали поддельную страницу авторизации в почтовом сервисе Outlook, которым пользовались сотрудники данной компании, чтобы получить их данные для входа в рабочую почту.

Некоторые документы-приманки группировок, которые принято относить к Северной Корее, стали содержать данные о вакансиях в аэрокосмической и оборонной отраслях, что позволяет предположить, что промышленный шпионаж также вошел в сферу интересов этих групп, отмечает эксперт по кибербезопасности "Лаборатории Касперского" Денис Легезо. Если раньше подобные группировки занимались кибершпионажем, связанным с политикой или коммерческими проектами, то сейчас добавились новые цели, отмечает он.

Большинство целевых для этой группировки организаций находились в США и Южной Корее, уточняет ведущий специалист группы исследования угроз экспертного центра безопасности Positive Technologies Денис Кувшинов.

Среди самых масштабных атак Kimsuky – взлом сети южнокорейского оператора 23 ядерных реакторов в 2014 году, в ходе которого группировка украла конфиденциальные документы и выкладывала их в Twitter-аккаунте "борцов с ядерной энергетикой с Гавайских островов".

В 2018–2019 годах участники Kimsuky атаковали американские исследовательские институты, специализирующиеся на вопросах денуклеаризации, и компании, связанные с криптовалютами. Подобное смешивание кибершпионажа и коммерческого взлома свойственно северокорейским группировкам, которые испытывают затруднения с финансированием. В марте и апреле 2020-го Kimsuky атаковала Gmail-аккаунты сотрудников Совбеза ООН.