Специалисты сообщили об атаке северокорейских хакеров на российских ученых

Хакерская северокорейская группировка Kimsuky атакует российских ученых, политологов и неправительственные организации, которые занимаются вопросами взаимодействия с КНДР, сообщил «Коммерсантъ» со ссылкой на американскую компанию по кибербезопасности Proofpoint. 

Хакеры рассылают российским экспертам по Северной Корее фишинговые письма, составленные от лица известных в России экспертов. В письме есть ссылка, при нажатии на которую открывается окно для ввода логина и пароля, похожая на всплывающее окно Windows для запароленных ресурсов в интернете. Директор по развитию бизнеса центра противодействия кибератакам Solar JSOC «Ростелеком-Солар» Алексей Павлов пояснил, что, по плану злоумышленников, жертва должна ввести свои данные. Из-за использования незащищенного http-протокола хакеры получают учетные данные в открытом виде. 

Специалисты привели в исследовании пример такого письма якобы от имени исполнительного директора Национального комитета по исследованию БРИКС Георгия Толорая. Он подтвердил изданию, что от его имени массово рассылают фальшивые письма, его подпись скопировали из старых писем. 

Глава отдела исследования угроз Positive Technologies Денис Кувшинов рассказал, что специалисты компании зарегистрировали атаки Kimsuky в августе. Группировка совершает тематические атаки с 2018 г.: в 2020 г. она атаковала российские военные и промышленные компании. По мнению Proofpoint, это делается для сбора данных. Руководитель группы исследования сложных угроз Threat Intelligence Group-IB Анастасия Тихонова добавила, что есть большие риски, что группировка попытается целенаправленно «пробивать» и добывать у конкретных чиновников ценные документы.