Predstavljajući se kao novinari Glasa Amerike, sjevernokorejski hakeri su kontaktirali stručnjake za bezbjednosne politike i ekspanziju nuklearnog oružja, informacije su do kojih je došla američka kompanija za sajber bezbjednost Mandiant, podružnica Gugla.
Prema njihovom izvještaju, onlajn špijuni su pokušavali da prikupe obavještajne podatke o stavu međunarodnih zvaničnika prema vladi Kim Jong Una u Pjongjangu. Oni navode da je to dio obrasca lažnog predstavljanja i imitiranja novinara velikih medijskih organizacija, koji je primjećen u skorije vrijeme.
Sajber-špijunska grupa poznata pod nazivima APT43, Kimsuki i Talijum, u poslednjih nekoliko mjeseci je imala još takvih pokušaja. Njeni članovi su se predstavljali kao novinari i ciljali na vladine organizacije u SAD i Južnoj Koreji, kao i na akademike i analitičare.
Geri Fris, viši analitičar Mandianta, rekao je za Glas Amerike da je neko iz APT43 oponašao najmanje sedam novinara iz pet medijskih kuća.
"Vidjeli smo uspjeh u prikupljanju osjetljivih informacija povezanih s poslovima Korejskog poluotoka" poput toga da su pojedinci koji su bili meta odgovarali na pitanja o raspoloženju Zapada prema aktivnostima Sjeverne Koreje, uključujući nuklearno širenje i lansiranje projektila, rekao je Fris.
U imejlu od 14. oktobra 2022. godine, u koju je Mandiant imao uvid, pošiljalac se lažno predstavio kao novinar Glasa Amerike i postavio nekoliko pitanja o sjevernokorejskim programima testiranja projektila i nuklearnog oružja, uključujući: “Da li bi Japan povećao budžet za odbranu i proaktivniju politiku odbrane?"
Od primaoca poruke je zatraženo da "pošalje odgovore u roku od pet dana".
Glas Amerike je "upoznat da su zlonamjerni akteri pokušali da se lažno predstavljaju kao naši novinari u nastojanjima da dobiju informacije od trećih strana, uključujući i pitanja o nuklearnoj ekspanziji", rekao je Najdžel Gibs, portparol Glasa Amerike. "To je nešto o čemu vodimo računa i posvećujemo posebnu pažnju verifikaciji našeg identiteta, kao i edukovanju izvora o potencijalnim imitatorima."
Iz Mandianta su naveli da su posljednjih mjeseci bili u kontaktu sa matičnom agencijom Glasa Amerike, USAGM-om, u vezi sa slučajem lažnog predstavljanja u ime novinara Glasa Amerike.
"Povjerenje između naših novinara i njihovih izvora je imperativ", izjavila je direktorica javnih poslova USAGM-a Lori Moj. “USAGM se mnogo trudi da zaštititi sigurnost i integritet komunikacijskih alata naših novinara."
Prema njenim riječima, USAGM koristi brojne raspoložive alate i usluge, uključujući pronalaske slučajeva lažnih predstavljanja i lažnih naloga na društvenim mrežama, te vodi računa da su slike koje izlaze u javnosti provjerene i povezane s resursima agencije:
“Takođe, obezbjeđujemo sveobuhvatnu bezbjednost IT sistema, koje se tiču potencijalnih opasnosti za naše novinare. USAGM osigurava enkriptovanu opremu, višestruku verifikaciju za pristup sistemima i rutinski prati ranjivosti i spoljne prijetnje.”
Lažni imejlovi, za koje se tvrdilo da potiču od novinara korejske redakcije Glasa Amerike, često su stizali na adrese akademika, zvaničnika i drugih osoba, od kojih se navodno tražio komentar. U nekim slučajevima, primaoci tih poruka kontaktirali su biro Glasa Amerike u Seulu, gdje su dobili odgovor da upiti nisu autentični.
"Naš tim je bio meta raznih agresivnih pokušaja krađe identiteta, uključujući lažno predstavljanje, tokom proteklih nekoliko godina", rekao je Dong Hjuk Li, šef Korejske redakcije Glasa Amerike. “Desetak novinara iz mog tima, uključujući mene, bili su meta.”
Ranije ovog mjeseca, Mandiant je takođe otkrio da je ista hakerska grupa u imejlu slala prilog za koji se činilo da dolazi od regruta Njujork Tajmsa.
U posljednjih nekoliko godina dogodile su se slične aktivnosti povezane s Pjongjangom, uključujući pokušaj krađe identiteta usmjeren na novinare u Južnoj Koreji, u kojoj se pošiljaoc predstavljao kao scenarist Korejskog radiodifuznog sistema, tražeći informacije o Sjevernoj Koreji.
"Hakeri koje sponzorišu države redovno ciljaju ili se predstavljaju kao novinari", rekao je za Glas Amerike Žozef Bodnar, istraživač i analitičar Alijanse za zaštitu demokratije. "Novinari imaju informacije i pristup koji većina ljudi nema. Pretvaranje u novinara može biti jednostavan način da hakeri steknu i iskoriste povjerenje svoje mete.”
Kompanija za kibernetičku bezbjednost Prufpoint je prošle godine objavila izvještaj u kojem se detaljno opisuju napori hakera koje sponzirušu države, iz Sjeverne Koreje, Kine, Irana i Turske, da špijuniraju ili se lažno predstavljaju kao novinari, uglavnom iz SAD.
"Ovi hakeri mogu biti nemarni, slati poruke s netačnom gramatikom ili pogrešno napisanim riječima", kaže Bodnar. “Pretraživanje Gugla može otkriti da novinar za kojeg se predstavljaju ne postoji ili da koristi drugačiju imejl adresu. Postoje osnovne prakse kibernetičke bezbjednosti koje mogu pomoći ljudima u odbrani od ove prijetnje."
Zamjenik portparola Stejt Departmenta, Vedant Patel, u srijedu je rekao da, iako ne može govoriti o konkretnim događajima koji se odnose na Glas Amerike i Njujork Tajms, "naravno da je Sjeverna Koreja poznata po preduzimanju niza destabilizirajućih i zlonamjernih koraka. To je nešto povodom čega smo oprezni.”
Sjeverna Koreja "često koristi zlonamjerne kibernetičke aktere iz države kako bi stvorila prihod za režim dok izbjegava sankcije", izjavila je za Glas Amerike Katrina Čizman, major Nacionalne sajber misije SAD. "Sajber akteri Sjeverne Koreje to čine nizom nedopuštenih sredstava, kao što su krađa kriptovaluta, pranje novca, rensomver i lažne aktivnosti sjevernokorejskih IT radnika u inostranstvu."
Kimsuki APT grupa najvjerovatnije djeluje od 2012. godine, navode iz Agencije za kibernetičku bezbjednost i bezbjednost infrastrukture SAD. Prema obavještajnim analitičarima, grupa je primarno fokusirana na sprovođenje finansijski motivisanog kibernetičkog kriminala kako bi podržala sjevernokorejsku vladu.
Tokom pandemije koronavirusa, grupa je usmjerila pažnju na farmaceutske i druge zdravstvene kompanije. Ostale aktivnosti u koje je APT43 navodno umiješan uključuju registraciju veb domena koje bi trebale izgledati kao legitimne veb stranice, uključujući i onu za američki univerzitet Kornel.
Grupa je takođe koristila štetne aplikacije za krađu korisničkih imena i šifri, te za generisanje kriptovaluta.
"APT43 je izuzetno dobar u uvjeravanju svojih meta", kaže Fris, analitičar Mandianta i dodaje:
“Vidjeli smo kako APT43 pravi imejl naloge koji izgledaju slično nalozima novinara ili analitičara, dok istovremeno ima lažne domene koje takođe izgledaju slično pravim domenama medija koje imitiraju. Dodaju te domene u potpise svojih imejlova, tako da čak i ako žrtva postane sumnjičava i posjeti domenu koju hostira APT43, ona će izgledati kao prava stranica s vijestima.”