Северокорейская хакерская группировка Kimsuky атакует российских ученых, экспертов в области внешней политики и неправительственные организации, которые занимаются вопросами взаимодействия с КНДР. Об этом сообщает «Коммерсант» со ссылкой на анализ американской компании по кибербезопасности Proofpoint.
Согласно исследованию, хакеры рассылают экспертам по Корее фишинговые письма, составленные от лица известных в России экспертов. При переходе по ссылке, содержащейся в письмах, пользователю показывается окно для ввода логина и пароля.
Таким образом, хакеры могут получить учетные данные жертвы, рассказал директор по развитию бизнеса центра противодействия кибератакам Solar JSOC «Ростелеком-Солар» Алексей Павлов.
Например, одно из таких писем написано на русском языке якобы от имени исполнительного директора Национального комитета по исследованию БРИКС Георгия Толорая. Он подтвердил изданию, что от его имени рассылаются письма с фальшивых адресов. «Кампания широкая, некоторые наиболее известные мои коллеги тоже страдают», — сказал Толорая.
В частности, фишинговые письма получал глава азиатской программы Московского центра Карнеги Александр Габуев. По его мнению, хакеры пытаются получить доступ к ценной для аналитиков информации.
«Разумеется, для северокорейской разведки важно иметь источники, чтобы понимать, как в Москве видят имеющие отношение к КНДР сюжеты», — считает Габуев.
Руководитель группы исследования сложных угроз Group-IB Анастасии Тихоновой предположила, что Kimsuky попытается целенаправленно «пробивать» ценные документы у конкретных чиновников и сотрудников научно-исследовательских организаций.
Весной 2020 года хакеры из Kimsuky атаковали российские военные и промышленные организации. По данным экспертов, они проводили вредоносные рассылки, в том числе через социальные сети, чтобы заполучить конфиденциальную информацию из аэрокосмических и оборонных компаний.