Когда Дэниел ДеПетрис, базирующийся в США аналитик по международным отношениям, в октябре получил электронное письмо от директора аналитического центра 38 North с заказом статьи, казалось, что все идет как обычно.
Но оказалось, что это не так.
По словам причастных к делу и трех исследователей в области кибербезопасности, отправитель на самом деле был северокорейским шпионом.
Вместо того, чтобы заразить его компьютер и украсть конфиденциальные данные, как это обычно делают хакеры, отправитель, похоже, пытался выяснить, что американский аналитик думает о проблемах национальной безопасности в Северной Корее.
Эксперты по кибербезопасности подозревают, что хакеры нацелены на советников и аналитиков, имеющих влияние на людей в высших эшелонах власти, чтобы лучше понять, куда движется западная политика в отношении Северной Кореи.
Группа хакеров, которую исследователи окрестили Thallium или Kimsuky, среди прочего, уже давно использует электронные письма для «целевого фишинга», которые обманом заставляют цели сообщать пароли или щелкать вложения или ссылки, которые заражены вредоносным ПО.
Однако теперь, похоже, просто просят исследователей или других экспертов высказать свое мнение или написать отчет.
Согласно электронным письмам среди других поднятых вопросов были вопросы о возможной реакции Китая в случае нового ядерного испытания.
«Злоумышленники добились огромного успеха с помощью этого очень простого метода», — сказал Джеймс Эллиотт из Microsoft Threat Intelligence Center (MSTIC), добавив, что новая тактика впервые появилась в январе.
В отчете правительственных агентств США по кибербезопасности за 2020 год говорится, что Thallium работает с 2012 года и «скорее всего, северокорейский режим поручил ему глобальную миссию по сбору разведданных».
Злоумышленники получают информацию прямо из первых уст и им не нужно сидеть и делать интерпретации, потому что они получают ее непосредственно от эксперта.
НОВАЯ ТАКТИКА
Северокорейские хакеры хорошо известны своими атаками на миллионы долларов, нападениями на Sony Pictures из-за фильма, который считается оскорбительным для ее лидера, и кражей данных у фармацевтических и оборонных компаний, иностранных правительств и других организаций.
В других атаках Thallium и другие хакеры тратили недели или месяцы на то, чтобы установить доверительные отношения с целью, прежде чем отправлять вредоносное программное обеспечение.
Но, по словам Microsoft, в некоторых случаях группа теперь взаимодействует с экспертами, не отправляя вредоносные файлы или ссылки даже после того, как они вошли в доверие.
Эта тактика может быть быстрее, чем взлом чьей-либо учетной записи и просмотр их электронной почты, обходит традиционные программы технической безопасности, которые сканируют и помечают сообщения с вредоносными элементами, и позволяет шпионам получить прямой доступ к мыслям экспертов.
«Нам, как защитникам в области информационной безопасности, очень трудно остановить эти электронные письма», — сказал он, добавив, что в большинстве случаев все сводится к тому, чтобы получатель мог понять, что его разводят.
Выдача себя за другое лицо является распространенным методом для шпионов во всем мире, но по мере того, как изоляция Северной Кореи углубляется из-за санкций и нарастающего напряжения в регионе, западные спецслужбы считают, что Пхеньян стал особенно полагаться на кибер-атаки.
В отчете за март 2022 года группа экспертов, расследующая уклонение Северной Кореи от санкций ООН, отнесла усилия Thallium к числу действий, которые «представляют собой шпионаж, направленный на информирование и помощь» в уклонении страны от санкций.
Северокорейцы пытаются получить откровенное мнение от аналитических центров, чтобы лучше понять политику США в отношении своей страны и то, куда она может двигаться.
