Cyberbezpieczeństwo
Nowy sposób na pozyskiwanie cennych informacji. Hakerzy podszywają się pod dziennikarzy
Cyberprzestępcy z grupy Kimsuky podszywają się pod dziennikarzy i naukowców, aby w ten sposób sprawniej prowadzić działania socjotechniczne i zdobywać informacje o wartości wywiadowczej m.in. z think-tanków, uczelni, mediów i centrów badawczych.
Grupa hakerska Kimsuky znana również jako APT43 i pracująca na zlecenie rządu Korei Północnej znalazła nowy sposób na usprawnienie działań socjotechnicznych i pozyskiwania informacji o znaczeniu wywiadowczym.
Cyberszpiedzy działający w ramach tego gangu podszywają się pod dziennikarzy i naukowców - twierdzą amerykańskie służby, w tym FBI i NSA. Przed działaniami tego rodzaju ostrzegają również Departament Stanu USA, ale i narodowa służba wywiadowcza Korei Południowej, tamtejsze ministerstwo spraw zagranicznych, jak i policja.
Zaawansowany rekonesans
Ich zdaniem Kimsuky to część północno-koreańskiego Generalnego Biura Rekonesansu , a celem hakerów działających w oparciu o sprytną socjotechnikę jest pozyskiwanie danych o znaczeniu wywiadowczym.
Podszywając się pod dziennikarzy i naukowców, cyberprzestępcy przygotowują sobie grunt do prowadzenia kampanii spear-phishingowych i atakują podmioty takie, jak uczelnie, think-tanki, instytuty badawcze oraz media.
Kampanie grupy hakerskiej APT43, znanej także jako Thallium czy Velvet Chollima, mają trwać co najmniej od 2012 r. - ostrzegają organy i wskazują, że przez cały ten czas mamy do czynienia z północno-koreańskim szpiegostwem.
Czytaj też
Lekceważenie zagrożenia
Serwis Bleeping Computer cytuje wspólne ostrzeżenie przed aktywnością hakerów, w którym zwraca się uwagę, że dla wielu osób związanych z np. środowiskiem naukowym, zagrożenie może nie wydawać się zbyt duże. Jego lekceważenie to jednak błąd w myśleniu - choć z perspektywy np. pracownika uniwersytetu dana korespondencja może wydawać się nieistotna i nie zawierać danych wrażliwych, należy pamiętać o tym, że przeprowadzona z sukcesem kampania socjotechniczna i zdobycie przyczółka na komputerze ofiary może posłużyć cyberprzestępcom do prowadzenia kolejnych działań w ramach szerszych operacji szpiegowskich.
Jak czytamy, Korea Północna w dużej mierze opiera swoje działania na informacjach wywiadowczych zdobywanych właśnie przez cyberszpiegów, atakujących często analityków, lub ekspertów zajmujących się polityką.
Każdy atak, który kończy się dla hakerów sukcesem, pozwala hakerom lepiej opracowywać kolejne oszukańcze wiadomości, które można wykorzystywać przeciwko coraz „poważniejszym" celom - pisze serwis.
Czytaj też
Jak działają hakerzy?
Instytucje wywiadowcze ostrzegają, że Kimsuky doskonali technikę swojego działania od wielu lat, szczególnie w zakresie socjotechniki. Podszywając się pod dziennikarzy i badaczy, o wiele łatwiej im pozyskiwać informacje na temat analiz dotyczących polityki i poglądów Zachodu na kwestie związane z Koreą Północną, a także Chinami - zwracają uwagę.
Przykładową przynętą, jaką zarzucają oszuści, są np. zaproszenia do wywiadów, wzięcia udziału w badaniu lub prośba o napisanie raportu na konkretny temat (interesujący hakerów wywiadowczo) na zlecenie. Pierwsze e-maile, które dostają ofiary, zazwyczaj nie zawierają żadnego złośliwego oprogramowania. Jeśli pozostają bez odpowiedzi, to cyberprzestępcy ponawiają próbę kontaktu po kilku dniach - za każdym razem korespondencja wygląda bardzo wiarygodnie, bo wysyłana jest z wykorzystaniem spoofingu, jednak - kiedy uważnie przyjrzymy się nagłówkom - zobaczymy drobne, bardzo inteligentnie dobrane literówki.
Jak się chronić?
Bleeping Computer wskazuje, że bardzo istotnym elementem ochrony przed działaniem hakerów Kimsuky jest zablokowanie makr w dokumentach przesyłanych przez e-mail, ostrożność z załącznikami pochodzącymi z nieznanych nam serwerów oraz platform, a także wykorzystywanie silnych haseł oraz uwierzytelniania wieloskładnikowego wszędzie tam, gdzie to możliwe.
W przypadku korespondencji, która rzekomo pochodzi od mediów lub instytucji, warto każdorazowo sprawdzić, czy istotnie mamy do czynienia z prawdziwą próbą kontaktu - na przykład przez wizytę na stronie internetowej danej redakcji czy uczelni i potwierdzenie zgodności informacji kontaktowych podawanych przez osobę, która do nas pisze, z tymi, które można znaleźć w witrynie.
Ostatnim dobrym sposobem na to, aby lepiej chronić się przed tego rodzaju socjotechniką, jest zaproszenie osoby, która chce nas przekonać do współpracy, na krótką rozmowę wideo - powinno to rozwiać wątpliwości w kwestii tego, czy naprawdę mamy do czynienia z tym, za kogo podaje się autor lub autorka wysyłanych do nas e-maili.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].