Как сообщила «Коммерсанту» руководитель отдела исследования сложных угроз Group-IB Анастасия Тихонова, весной хакеры воспользовались пандемией и проводили вредоносные рассылки, в том числе через социальные сети, для получения конфиденциальной информации из аэрокосмических и оборонных компаний.
По данным Telegram-канала SecAtor, в апреле 2020 года Kimsuky атаковали «Ростех».
В «РТ-Информ» (дочерняя компания госкорпорации «Ростех», которая занимается информационной безопасностью) не подтвердили и не опровергли эту информацию, отметив увеличение количества инцидентов и кибератак на информационные ресурсы корпорации и ее организаций в период с апреля по сентябрь. Большинство атак были некачественно подготовлены и не несли существенной угрозы при их воздействии, однако это могло быть только подготовкой, «прощупыванием почвы» для нанесения более серьезного удара по информационной системе корпорации, полагают в компании. Группировка Kimsuky – «коллеги» северокорейской Lazarus по кибершпионажу.
Kimsuky известна под именами Velvet Chollima, Black Banshee, и начиная с 2010 года она активно атаковала объекты на территории Южной Кореи, но позже расширила географию атак, указывает Тихонова.
По ее словам, Kimsuky, предположительно, атаковала военные организации в сфере производства артиллерийской техники и бронетехники в России, Украине, Словакии, Турции и Южной Корее.
Судя по доступным в интернете документам, в атаках использовался целенаправленный фишинг (мошеннические рассылки). Например, при атаке на турецкого производителя военной техники хакеры даже создали поддельную страницу авторизации в почтовом сервисе Outlook, которым пользовались сотрудники данной компании, чтобы получить их данные для входа в рабочую почту.
Некоторые документы-приманки группировок, которые принято относить к Северной Корее, стали содержать данные о вакансиях в аэрокосмической и оборонной отраслях, что позволяет предположить, что промышленный шпионаж также вошел в сферу интересов этих групп, отмечает эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо.
Большинство целевых для этой группировки организаций находились в США и Южной Корее, уточняет ведущий специалист группы исследования угроз экспертного центра безопасности Positive Technologies (PT Expert Security Center) Денис Кувшинов. С точки зрения техник тактика и используемый инструментарий Kimsuky имеет пересечения с группами Lazarus и Konni, добавляет он.
Напомним, в 2018 году перебежчика из КНДР арестовали по обвинению в шпионаже и передаче секретных данных о южнокорейских военных иностранному агенту.