Wywiad Korei Płn. ma nową taktykę pozyskiwania danych

Cyberprzestępcy działający w ramach operacji szpiegowskich Korei Północnej sięgnęli po nowe sposoby pozyskiwania informacji. Jedna z realizowanych przez nich kampanii opiera się na wysyłaniu fałszywych ofert zleceń zachodnim analitykom.

Celem działań gangu Thallium znanego również jako Kimsuky jest nie pozyskanie – jak to bywa w klasycznych operacjach cyberszpiegowskich – danych do logowania we wrażliwych systemach informatycznych czy wykradanie innych informacji, ale skłonienie specjalistów, aby wykonali „zlecenie" napisania analizy, komentarza lub opinii na dany temat.

Jak Korea Północna rozszerza działania wywiadowcze

Reuters opisuje e-maile, które miało otrzymać pięć osób, do których północnokoreańscy hakerzy zwrócili się z propozycją „zlecenia".

Wśród tematów, których miały dotyczyć zamawiane przez nich analizy, znalazły się m.in. reakcja Chin na kolejną próbę jądrową reżimu, a także odbioru przez Koreę Północną wojny w Ukrainie. Zlecenia zawierały również pytania dotyczące polityki USA, Chin i Rosji w różnych wymiarach.

Zdaniem związanego z zespołem Microsoft Threat Intelligence Center Jamesa Elliotta, cytowanego przez Reutersa, atakujący w ten sposób odnieśli sporo sukcesów, a sama metoda działania jest bardzo prosta. Firma Microsoft twierdzi, że zidentyfikowała już „wielu" ekspertów zajmujących się sprawami Korei Północnej, którzy w ten sposób dostarczyli wiedzy i informacji grupie Thallium, a co za tym idzie – reżimowi Kim Dzong Una.

Każda z osób, do której trafiły e-maile z propozycją „zlecenia", ma wpływ na kształtowanie opinii publicznej w sprawach relacji międzynarodowych oraz polityki państw względem Korei Północnej – podkreślają badacze Microsoftu.

Kim są cyberszpiedzy z grupy Thallium?

Reuters przypomina, że gang ten działa od co najmniej 2012 roku i najprawdopodobniej wykonuje zadania zlecone przez reżim północnokoreański, ukierunkowane na globalne działania wywiadowcze, w tym – gromadzenie informacji.

Thallium w przeszłości atakowało pracowników sektora administracji publicznej w różnych krajach, podobnie jak i naukowców akademickich, think-tanki i ośrodki badawcze, a także organizacje zajmujące się ochroną praw człowieka.

Nowa taktyka grupy znacząco ułatwia jej wykonywanie tych zadań – zamiast pozyskiwać informacje, które dopiero trzeba zinterpretować i przetworzyć, zamawiając „analizę" u niczego nie podejrzewającego eksperta, cyberprzestępcy dostają już „gotowy produkt". Nie trzeba go dodatkowo interpretować, obrabiać, nie trzeba też samodzielnie wyciągać wniosków i „wczuwać się" w perspektywę państw zachodnich, gdy mowa o stosunku do Korei Północnej – wszystko jest już „podane na tacy".

Socjotechnika króluje

Zdaniem ekspertów z Microsoftu, Thallium opracowało nową taktykę do tego stopnia sprawnie, że nie potrzeba tu angażować złośliwego oprogramowania ani wykradania danych do skrzynek mailowych specjalistów, którzy mają stać się „narzędziem" w rękach cyberszpiegów – wystarczy nawiązanie przyjaznej relacji oraz zlecenie napisania raportu, opinii lub komentarza na zadany temat.

Koncern Microsoft zaznacza, że bardzo trudno jest powstrzymać tego rodzaju działania, gdyż e-maile wysyłane przez cyberprzestępców nie wpadają w filtry, które mają wychwytywać złośliwą korespondencję.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].