Дослідники безпекових загроз повідомляють, що до експертів із ядерної безпеки та нерозповсюдження зброї, звернулись особи, які видавали себе за журналістів Голосу Америки, але які, за підозрами, є північнокорейськими хакерами. За словами дослідників, це не поодинокий випадок, коли такі особи видають себе за репортерів із провідних інформаційних організацій.
Згідно зі звітом Mandiant, американської фірми з кібербезпеки та дочірньої компанії Google, онлайн-шпигуни намагалися зібрати розвідувальні дані про позицію міжнародних чиновників щодо уряду Кім Чен Ина в Пхеньяні.
Це остання відома спроба за останні місяці групи кібершпигунства, відомої як APT43, Kimsuky або Thallium, яка видавала себе за журналістів і націлювалася на урядові організації в Сполучених Штатах і Південній Кореї, а також науковців та аналітиків.
Особи із АРТ43 видавали себе щонайменше за сімох журналістів із п’яти інформаційних організацій, повідомив Голосу Америки в середу старший аналітик Mandiant Гері Фріс.
«Ми досягли успіху в зборі конфіденційної інформації, пов’язаної зі справами Корейського півострова», наприклад, шахраї розпитували тих, з ким контактували про настрої Заходу щодо діяльності Північної Кореї, включаючи розповсюдження ядерної зброї та запуски ракет, сказав Фріас.
В одному електронному листі від 14 жовтня 2022 року, отриманому Mandiant, відправник, видаючи себе за репортера Голосу Америки, поставив кілька запитань, пов’язаних із програмами випробувань ракет і ядерної зброї Північної Кореї, зокрема: «Чи збільшить Японія оборонний бюджет і активізує оборонну політику?"
Одержувача попросили «надіслати відповіді протягом 5 днів».
Голосу Америки “відомо, що зловмисники намагалися видати себе за наших журналістів у спробах отримати інформацію від третіх сторін, у тому числі щодо питань розповсюдження ядерної зброї, – сказав Найджел Гіббс, речник Голосу Америки. – Ми пам’ятаємо про це, і особливо ретельно представляємось та повідомляємо про можливих імітаторів».
Mandiant повідомила, що протягом останніх місяців спілкувалась з USAGM щодо ймовірної операції Північної Кореї з намаганнями видати себе за репортерів Голосу Америки.
"Довіра між нашими журналістами та їхніми джерелами є обов'язковою, - сказала директор зі зв'язків із громадськістю USAGM Лорі Мой. – USAGM докладає максимум зусиль, щоб захистити безпеку та цілісність інструментів комунікації наших журналістів. Ми використовуємо низку служб управління репутацією, включаючи ідентифікацію підроблених облікових записів у соціальних мережах".
Мой продовжила: «Ми також забезпечуємо надійну безпеку ІТ-системи, щоб зміцнити безпеку наших журналістів. USAGM надає зашифроване обладнання, забезпечує багатофакторну автентифікацію для доступу до систем і регулярно відстежує вразливості та зовнішні загрози».
Фальшиві електронні листи, які нібито надійшли від репортерів Корейської служби Голосу Америки, часто йшли науковцям, офіційним особам та іншим особам із проханням про коментар. У деяких випадках одержувачі цих електронних листів зверталися до сеульського бюро "Голосу Америки" й отримували інформацію про те, що запити були неавтентичними.
«Протягом останніх кількох років наша команда була об’єктом різноманітних агресивних спроб фішингу, зокрема видавання себе за іншу особу», — сказав Дон Хюк Лі, керівник Корейської служби Голосу Америки. «Дюжина репортерів з моєї команди, включно зі мною, потрапили під ціль. Наскільки я пам’ятаю, ми повідомляли ІТ-службу агентства або службу безпеки (USAGM), якщо потрібно, про кожен випадок».
Раніше цього місяця Mandiant також виявив, що та сама хакерська група розповсюдила вкладення до електронного листа, який, як видається, був надісланий рекрутером для The New York Times.
У минулі роки подібну діяльність пов’язували з Пхеньяном, включаючи фішинг проти журналістів у Південній Кореї, коли відправник видавав себе за сценариста Корейської телерадіомовної системи, шукаючи інформацію про Північну Корею.
«Спонсоровані державою хакери регулярно націлюються на журналістів або видають себе за них, — сказав Голосу Америки Джозеф Боднар, дослідник Alliance for Securing Democracy. – Репортери мають інформацію та доступ, яких немає у більшості людей. Маскування під журналістів може бути легким способом для хакерів завоювати та використати довіру цілі».
Proofpoint, фірма з кібербезпеки, минулого року опублікувала звіт, в якому детально описала зусилля державних хакерів у Північній Кореї, а також Китаї, Ірані та Туреччині, щоб шпигувати або видати себе за американських журналістів.
«Ці хакери можуть бути недбалими, надсилаючи повідомлення з граматичними помилками, — сказав Боднар. – Пошук у Google може виявити, що репортера, за якого вони видають себе, не існує або він має іншу адресу електронної пошти. Існують основні методи кібербезпеки, які можуть допомогти людям захиститися від цієї загрози».
У середу в Державному департаменті головний заступник речника Ведант Пател сказав, що, хоча він не може торкнутися конкретних подій, пов’язаних із виданням себе за персонал New York Times, Голосу Америки, «звичайно, КНДР відома тим, що вживає низку дестабілізуючих і зловмисних кроків. Ми уважно за цим слідкуємо".
КНДР - Корейська Народно-Демократична Республіка - офіційна назва Північної Кореї.
Північна Корея «часто використовує зловмисних кіберакторів національних держав, щоб отримати дохід для режиму, уникаючи санкцій, — сказала Голосу Америки майор Національної кібернетичної місії США Катріна Чізман. – Кіберактори КНДР роблять це за допомогою ряду незаконних засобів, таких як крадіжка криптовалюти, відмивання грошей, програми-вимагачі та шахрайська діяльність ІТ-працівників КНДР за кордоном».
За даними Агентства з кібербезпеки та безпеки інфраструктури США, група Kimsuky APT, швидше за все, працює з 2012 року. Згідно з аналітиками розвідки, вона в основному зосереджена на вчиненні фінансово мотивованих кіберзлочинів для підтримки уряду Північної Кореї.
Під час пандемії коронавірусу увага переключилася на фармацевтичні та інші компанії, пов’язані зі здоров’ям. Інші дії, до яких, як стверджується, причетний APT43, включають реєстрацію веб-доменів, які мають виглядати як законні веб-сайти, включно з Корнельським університетом. Група також використовувала програми для викрадення імен користувачів і паролів і генерації криптовалюти.
"APT43 надзвичайно переконлива, - сказав Фріс, аналітик Mandiant. – Ми бачили, як APT43 створюють електронні адреси, схожі на адреси репортерів новин або аналітиків аналітичних центрів, і одночасно розкручують фальшиві домени, які також виглядають схожими на справжні новини, які вони підробляють. Вони додадуть це до своїх електронних підписів. тож навіть якщо жертва запідозрить та відвідає домен, розміщений на APT43, він буде виглядати як справжній новинний сайт."
