SG.hu
Újságíróknak adják ki magukat az észak-koreai hackerek
Biztonsági kutatók arra figyelmeztettek, hogy az észak-koreai kormány által támogatott hackerek újságíróknak adják ki magukat, hogy stratégiai információkat gyűjtsenek az ország döntéshozatalának irányításához.
A SentinelLabs kutatói közölték, hogy az észak-koreai ügyek szakértőit célzó social engineering (megtévesztési) kampányt a Kimsuky nevű észak-koreai hackercsoporthoz kapcsolták. A 2012 óta működő csapat arról ismert, hogy célzott adathalász e-maileket használ, valamint érzékeny információkat gyűjt az észak-koreai rezsim nevében. A Kimsuky legutóbbi támadása az NK News, Észak-Koreáról szóló történeteket és elemzéseket közlő amerikai előfizetéses weboldal olvasóit célozta meg.
A hackerek Chad O'Carroll, az NK News alapítójának nevében hamisított Google Docs linkeket küldtek az NK News előfizetőinek, amely egy rosszindulatú weboldalra irányított át, amelyet kifejezetten az áldozat Google hitelesítő adatainak megszerzésére terveztek. Egyes esetekben a Kimsuky hackerek egy Microsoft Office dokumentumot is mellékeltek, amely a ReconShark rosszindulatú programot tartalmazta. Ez képes olyan információk kiszivárogtatására, mint például az eszközön használt észlelési mechanizmusok és magára az eszközre vonatkozó információk.
A SentinelLabs által megfigyelt másik támadás során a Kimsuky egy olyan e-mailt terjesztett, amely arra kérte az előfizetőket, hogy jelentkezzenek be egy hamisított NK News előfizetési szolgáltatásba. A felhasználók adataihoz való hozzáférés megszerzése "értékes betekintést nyújtana az észak-koreai hackereknek abba, hogy a nemzetközi közösség hogyan értékeli és értelmezi az Észak-Koreával kapcsolatos fejleményeket, hozzájárulva ezzel szélesebb körű stratégiai hírszerzési kezdeményezéseikhez" - írta Aleksandar Milenkoski, a SentinelLabs kutatója.
A SentinelLabs elemzése napokkal azután készült, hogy az amerikai és a dél-koreai kormány figyelmeztetést adott ki, miszerint a Kimsuky célzott támadásokat hajtott végre, hogy értékes információkat szerezzen az észak-koreai rezsim számára. A levelekben újságíróknak, akadémikusoknak, agytrösztök kutatóinak és kormányzati tisztviselőknek adták ki magukat, hogy az észak-koreai ügyekkel foglalkozó személyeket célba vegyék."Legitim forrásoknak adják ki magukat, hogy geopolitikai eseményekről, külpolitikai stratégiákról és Észak-Korea számára érdekes biztonsági fejleményekről gyűjtsenek hírszerzési információkat" - mondta Rob Joyce, az NSA kiberbiztonsági igazgatója. "Az oktatás és a tudatosság az első védelmi vonal ezekkel a social engineering támadásokkal szemben."
A SentinelLabs kutatói közölték, hogy az észak-koreai ügyek szakértőit célzó social engineering (megtévesztési) kampányt a Kimsuky nevű észak-koreai hackercsoporthoz kapcsolták. A 2012 óta működő csapat arról ismert, hogy célzott adathalász e-maileket használ, valamint érzékeny információkat gyűjt az észak-koreai rezsim nevében. A Kimsuky legutóbbi támadása az NK News, Észak-Koreáról szóló történeteket és elemzéseket közlő amerikai előfizetéses weboldal olvasóit célozta meg.
A hackerek Chad O'Carroll, az NK News alapítójának nevében hamisított Google Docs linkeket küldtek az NK News előfizetőinek, amely egy rosszindulatú weboldalra irányított át, amelyet kifejezetten az áldozat Google hitelesítő adatainak megszerzésére terveztek. Egyes esetekben a Kimsuky hackerek egy Microsoft Office dokumentumot is mellékeltek, amely a ReconShark rosszindulatú programot tartalmazta. Ez képes olyan információk kiszivárogtatására, mint például az eszközön használt észlelési mechanizmusok és magára az eszközre vonatkozó információk.
A SentinelLabs által megfigyelt másik támadás során a Kimsuky egy olyan e-mailt terjesztett, amely arra kérte az előfizetőket, hogy jelentkezzenek be egy hamisított NK News előfizetési szolgáltatásba. A felhasználók adataihoz való hozzáférés megszerzése "értékes betekintést nyújtana az észak-koreai hackereknek abba, hogy a nemzetközi közösség hogyan értékeli és értelmezi az Észak-Koreával kapcsolatos fejleményeket, hozzájárulva ezzel szélesebb körű stratégiai hírszerzési kezdeményezéseikhez" - írta Aleksandar Milenkoski, a SentinelLabs kutatója.
A SentinelLabs elemzése napokkal azután készült, hogy az amerikai és a dél-koreai kormány figyelmeztetést adott ki, miszerint a Kimsuky célzott támadásokat hajtott végre, hogy értékes információkat szerezzen az észak-koreai rezsim számára. A levelekben újságíróknak, akadémikusoknak, agytrösztök kutatóinak és kormányzati tisztviselőknek adták ki magukat, hogy az észak-koreai ügyekkel foglalkozó személyeket célba vegyék."Legitim forrásoknak adják ki magukat, hogy geopolitikai eseményekről, külpolitikai stratégiákról és Észak-Korea számára érdekes biztonsági fejleményekről gyűjtsenek hírszerzési információkat" - mondta Rob Joyce, az NSA kiberbiztonsági igazgatója. "Az oktatás és a tudatosság az első védelmi vonal ezekkel a social engineering támadásokkal szemben."